# Windows DNS Server: Das Rückgrat des Verzeichnisdienstes

TL;DR / Management Summary Ohne DNS gibt es kein Active Directory. Der Windows DNS-Server ist eng mit dem AD verzahnt und speichert seine Daten meist direkt in der AD-Datenbank (AD-integrierte Zonen). Ein Senior Admin sorgt für eine saubere Struktur aus Forward- und Reverse-Lookup-Zonen, konfiguriert effiziente Weiterleitungen (Forwarders) zum Schutz der Privatsphäre und härtet den Dienst gegen Cache-Poisoning.

# 1. Einführung & Architektur

Die Suche nach der Antwort.

# AD-integrierte Zonen

Anstatt die Zonen-Daten in Textdateien (.dns) zu speichern, liegen sie in der AD-Partition (Artikel 487).

# Die Record-Typen

# 2. DNS-Konfiguration in der Praxis

Produktionsreife Zonen.

# Forwarders vs. Root Hints

Wenn der DNS-Server eine Adresse nicht kennt (z.B. google.de):

  1. Forwarders (Empfohlen): Die Anfrage wird an einen externen Resolver (z.B. 1.1.1.1 oder 9.9.9.9) geschickt.
  2. Root Hints: Der Server fragt direkt bei den 13 weltweiten Root-Servern an (langsamer, mehr Traffic).

# PowerShell Management

# Neuen A-Record hinzufügen
Add-DnsServerResourceRecordA -Name "wiki" -ZoneName "firma.local" -IPv4Address "10.0.0.50"

# DNS Cache leeren (auf dem Server)
Clear-DnsServerCache

# 3. Deep Dive: DNS Scavenging

Den Müll rausbringen.

Alte Computer-Einträge verbleiben oft ewig im DNS, wenn die Hardware entsorgt wurde. Scavenging löscht diese automatisch.

# 4. Day-2 Operations: DNS-Sicherheit

Härtung des Dienstes.

# DNSSEC (DNS Security Extensions)

Signiert DNS-Antworten kryptographisch, um sicherzustellen, dass sie nicht manipuliert wurden.

# DNS Policies (Query Resolution)

Ermöglicht “Split-Brain” DNS oder Geo-Location.

# 5. Troubleshooting & “War Stories”

Wenn die Namen verwirren.

# Top 3 Fehlerbilder

  1. Symptom: Clients können der Domäne nicht beitreten.

    • Ursache: Fehlende SRV-Records (_ldap._tcp.dc._msdcs...).
    • Lösung: net stop netlogon und net start netlogon am DC triggern (erzwingt Neuregistrierung der SRV-Records).

  2. Symptom: DNS-Server antwortet extrem langsam.

    • Ursache: Recursion Timeouts durch tote Forwarder oder IPv6-Suche in IPv4-Only Netzen.
    • Lösung: Forwarder-Liste bereinigen.

  3. Symptom: nslookup zeigt falsche IPs an.

    • Ursache: Veraltete Einträge im DNS-Cache oder doppelte A-Records für den gleichen Namen.

# “War Story”: Der “Hidden” DNS am Router

In einer kleinen Zweigstelle klagten User über langsame Logins. Die Analyse: Die PCs bekamen via DHCP den Internet-Router der Telekom als primären DNS und den Firmen-DC als sekundären DNS zugewiesen. Das Ergebnis: Windows fragte zuerst den Router nach _ldap._tcp.dc.... Der Router antwortete mit “Existiert nicht”. Windows wartete auf den Timeout, bevor es den DC fragte. Lehre: In einer AD-Umgebung darf NIEMALS ein externer DNS-Server (Router, Cloudflare, Google) direkt am Client eingetragen werden. Alle Anfragen müssen über den internen Windows DNS laufen!

# 6. Monitoring & Reporting

DNS-Health.

# DNS-Audit Logging

Aktivieren Sie das Analytische DNS-Protokoll, um jede einzelne Anfrage zu sehen (Vorsicht: Erzeugt hunderte MB pro Minute). Ideal für die Fehlersuche bei “Spionage-Software”.

# 7. Fazit & Empfehlung

DNS ist das Adressbuch Ihrer Firma.

# Anhang: Cheatsheet

Aufgabe Befehl
DNS Konsole dnsmgmt.msc
Records suchen (PS) Get-DnsServerResourceRecord -ZoneName ...
Forwarder setzen Set-DnsServerForwarder -IPAddress "1.1.1.1"
Cache löschen (Local) ipconfig /flushdns

# Referenzen