DNS: 7 Best-Practice-Tipps von Microsoft

Das Directory-Services-Team von Microsoft gibt auf seinem Blog 7 Tipps zum Betrieb von DNS im Active Directory, die sich in der Praxis als wesentlich herausgestellt haben. Der Beitrag ist im Original nicht allzu prominent als Antwort auf eine wöchentliche Beantwortung gesammelter Leseranfragen plaziert, Friday Mail Sack genannt.

Dies sind die einzelnen Punkte:

1. Wenn auf einem Domänencontroller auch DNS betrieben wird, sollte er in den Client-Einstellungen auf seinen eigenen Service verweisen.
2. Domänencontroller sollten mindestens 2 DNS-Einträge in ihren Client-Einstellungen haben.
3. In den Client-Einstellungen sollte er einen anderen als primären und sich selbst als sekundären oder tertiären DNS-Server eingetragen haben.
4. Der Verweis auf den eigenen Service sollte stets über die Loopback-, nicht die „äußere“ IP-Adresse erfolgen. In IPv4 ist dies etwa 127.0.0.1, in IPv6 ::1.
5. Alle Domänencontroller sollten DNS anbieten und zumindest ihre eigene und die msdcs-Zone hosten. Dies ist Voreinstellung seit Windows Server 2003.
6. Die DNS-Einstellungen für die Client sollten per DHCP oder per Gruppenrichtlinie eingestellt werden, um sie mit jeweils für ihr Subnetz passenden DNS-Servern zu versorgen. Zusammen mit Punkt 5 wird so DNS so lokal wie möglich verwaltet und dadurch gegen Ausfälle von Verbindungen oder Teilnetzwerken robuster.
7. Zu guter Letzt weist das Team darauf hin, dass während etwa der BIND-Server selbst frei sei, dies auf dessen Support nicht zutreffe und rät energisch zur Verwendung des Microsoft-Produktes. Dass dieser Tipp technischer und nicht kommerzieller Natur sei, ergebe sich schon daraus, dass der Kunde dass mit dem Erwerb eines Microsoft-Domänencontrollers DNS bereits bezahlt habe – auch wenn er sie nicht nutzen sollte.