DNS-Verkürzungsebene im Active Directory konfigurieren


    Tags: , ,

    Die DNS-Verkürzungsebene kann man manuell in den Gruppenrichtlinien einstellen (Thumbnail)Für die Namensauflösung per DNS gestattet Windows dem Benutzer eine gewisse Bequemlichkeit: Er muss nicht immer den vollqualifizierten Hostnamen vorgeben, damit die zugehörige IP-Adresse von DNS gefunden wird. Will etwa ein Benutzer der Domäne germany.emea.contoso.com seine Webmail unter der URL http://webmail1.germany.emea.contoso.com aufrufen, reicht es, in die Adresszeile des Browsers webmail1 einzugeben. Der Windows-DNS-Client ergänzt den fehlenden Teil selbständig und löst den Namen auf.

    So funktioniert DNS-Verkürzung

    Für den Benutzer unsichtbar umfasst der Service-Level des DNS-Clients mehr als die bloße Ergänzung der eigenen Domäne: Gibt es zum Beispiel keinen eigenen Webmail-Server für Deutschland, sondern nur einen gemeinsamen für EMEA, wird kann er den selbst zusammengestellten Namen webmail1.germany.emea.contoso.com nicht auflösen. In diesem Falle fährt er selbständig fort und löst webmail1.emea.contoso.com auf. Gelingt auch dies nicht, versucht er es weiter mit webmail1.contoso.com – auch ein konzernzentraler Server wird also gefunden, wenn es keine in den einzelnen Subdomänen gibt. Danach ist Schluss – die Zahl der am Ende übrig gebliebenen Namenbestandteile ist 2, was der Voreinstellung der DNS-Verkürzungsebene entspricht.

    DNS-Verkürzung: Bequem, aber ein Sicherheitsrisiko

    Die DNS-Verkürzungsebene kann man manuell in den Gruppenrichtlinien einstellenDieser Benutzerkomfort beinhaltet ein Sicherheitsrisiko: Bei zweiteiligen TLDs, wie sie etwa in UK üblich sind (.co.uk), würde oben beschriebenes Schema bei laufenden Fehlschlägen (etwa weil der Benutzer sich vertippt hat), erst auf webmail1.co.uk stoppen – eine Domäne, die höchstwahrscheinlich nicht mehr zu *.contoso.co.uk gehört. Für Länder mit einem solchen DNS-Layout muss man also eine DNS-Verkürzungsebene von 3 wählen. Als Administrator kann man dies manuell in den Gruppenricht­linien unter „Computerkonfiguration, Richtlinien, Administrative Vorlagen, Netzwerk, DNS-Client“ vorgeben.

    Windows Server 2008 R2 und Windows 7 nicht betroffen, Security Advisory und Fix für ältere Betriebssysteme

    In Windows 7 und Windows Server 2008 R2 hat Microsoft die Einstellung der DNS-Verkürzungsebene geändert, um diesem Sicherheitsrisiko zu begegnen. Die DNS-Verkürzung wird hier ganz abgeschaltet, falls die Root-Domäne der Gesamtstruktur nicht mit dem DNS-Eintrag übereinstimmt. Ansonsten richtet sich die DNS-Verkürzungsebene nach der Anzahl der Felder in der Root-Domäne der Gesamtstruktur – bei contoso.co.uk etwa würde sie automatisch auf 3 gesetzt. Für ältere Betriebssysteme stellt Microsoft das Security Advisory 971888 und einen DNS-Update-Fix bereit.

    Keine Kommentare