Manchmal lassen sich keine Server-Namen im Netzwerk auflösen, mit dem ein VPN verbunden ist, oder im eigenen Netzwerk funktioniert die Auflösung nicht korrekt. Das ist vor allem bei Active Directory-Netzwerken problematisch, weil die Clients dann keine Domänen-Controller zur Anmeldung oder für Gruppenrichtlinien erreichen können.
Viele Unternehmen stellen Websites und andere Ressourcen für externe und interne Clients bereit. In der Vergangenheit haben sie dafür oft getrennte DNS-Server aufgesetzt. Microsofts Split-Brain-DNS-Deployment von Active Directory-integrierten Zonen vermeidet solche Redundanzen. Die Einrichtung der DNS-Richtlinien erfolgt mittels PowerShell.
Wenn sich im Active Dirctory die Mitglieder von privilegierten Gruppen ändern, dann sollte gewährleistet sein, dass es sich dabei um eine legitime Aktion handelt. Ähnliches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür einige Basisfunktionen.
Wenn man Tools wie die Gruppenrichtlinienverwaltung oder AD-Benutzer und -Computer öffnet, dann kann es vorkommen, dass diese die Domäne nicht finden. Verantwortlich dafür sind fast immer Netzwerkprobleme im Allgemeinen und solche mit DNS im Besonderen. Eine besondere Rolle spielt dabei die IPv6-Konfiguration.
Die aktuelle Insider-Preview im Dev-Channel enthält die Unterstützung für DNS over TLS (DoT). Bei diesem handelt es sich um ein alternatives verschlüsseltes DNS-Protokoll zu DNS over HTTPS (DoH). Es läuft ohne HTTP-Schicht direkt über einen TLS-Tunnel und fällt daher schlanker aus. Die Konfiguration erfolgt aktuell nur mit netsh.
Microsoft unterstützt Multicast DNS (mDNS) zwar schon seit Windows 10 1703, stellt aber erst jetzt die Weichen, um NetBIOS und Link-Local Multicast Name Resolution (LLMNR) vollständig durch mDNS zu ersetzen. In den Previews von Windows 11 ist die NetBIOS-Namensauflösung per Voreinstellung nur mehr als Fallback konfiguriert.
Office 365 erhält mit dem Support für DNS-based Authentication of Named Entities (DANE) und Domain Name System Security Extensions (DNSSEC) zwei neue Sicherheitsfunktionen. Sie sollen bis Ende März ausgerollt werden und gewährleisten, dass ausgehende Nachrichten verschlüsselt über vertrauenswürdige Gateways versandt werden.
DNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authentizität des DNS-Servers gewährleistet und die Anfragen an diesen Dienst vor neugierigen Zeitgenossen verbirgt. Microsoft hat den Support für DoH in Windows schon länger angekündigt, in den aktuellen Previews lässt es sich via GUI oder GPO konfigurieren.
Failover-Cluster spricht man normalerweise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfiguration ist oft Ursache für Verbindungsprobleme.
Let's Encrypt betreibt eine freie und mittlerweile sehr populäre CA für SSL-Zertifikate. Deren größte Einschränkung besteht in der Gültigkeit von nur 90 Tagen. Daher wird man das Verlängern und Installieren der Zertifikate möglichst automatisieren. Der ACME2-Client für Windows bietet entsprechende Funktionen.
Domain Keys Identified Mail (DKIM) ist eine Methode zur E-Mail-Authentifizierung. Die für die Signierung und Überprüfung von Nachrichten erforderlichen Schlüssel lassen sich mit OpenSSL im Subsystem für Linux erzeugen. Der Public Key muss dann mittels eines TXT-Records in das DNS eingetragen werden.