DNS – vom Windows Server 2003 bis Windows Server 2012 R2

DNS - ein Dienst, der seit Jahr und Tag im Hintergrund werkeln und kaum ein Benutzer oder IT-Profi achtet auf diese Basis aller Netzwerkkommunikation. Auf den ersten Blick hat sich zwischen den Windows-Servern hinsichtlich DNS doch nicht viel getan, oder doch? [...]

WINDOWS SERVER 2008 R2, 2012 R2 UND DER KOMMENDE WINDOWS SERVER VNEXT
DNS-Clients, die unter Windows Vista/7 oder Windows Server 2008 R2 arbeiten, können Namen in einem lokalen Netzwerksegment über LLMNR (Link-Local Multicast Name Resolution) auflösen, wenn kein DNS-Server verfügbar sein sollte. Diese Technik hilft insbesondere Domänenmitglieds-Computern bei der Suche nach einem Domänencontroller, auch wenn die DNS-Namensauflösung nicht verwendbar ist. Vor Windows 7/2008R2 nutzten DNS-Clients stets den Domänencontroller, mit dem sie zunächst in Kontakt treten konnten. Die nun eingeführte DNS-Assoziation hilft DNS-Clients dabei auf einen schneller reagierenden, möglicherweise näherliegenden Domänencontroller erreicht.

DNS ist so etwas wie das Telefonbuch in IP-Netzwerken. Welcher Name steckt hinter welcher Nummer? (c) Thomas Bär / Frank-Michael Schlede

Die größte Änderung mit Windows Server 2008 R2 und dem dazugehörigen Windows 7 Client-Betriebssystem ist jedoch die Unterstützung für DNSSEC (DNS Security Extensions). DNNSSEC basiert auf diversen RFCs, die DNS dahingehend erweitern, dass die Herkunftsautorität und Datenintegrität gewährleistet und ein authentifiziertes Dementieren der Existenz möglich ist. Bis jedoch DNSSEC in der Praxis umfassend eingesetzt wird, dürften noch einige Jahre vergehen, da in gemischten Umgebungen alle beteiligten Server, die für eine DNSSEC-signierte Zone autorisierend sind, DNSSEC-fähig sein müssen. Konzeptionell ist jedoch auch eine Konfiguration möglich, bei der DNSSEC-fähige Server Abfragen rekursiv an einen nicht DNSSEC-fähigen DNS-Server senden. Eine Vertraulichkeit der Kommunikation, sprich eine Verschlüsselung der DNS-Anfragen bei DNSSEC findet jedoch nicht statt. Eine „Schritt für Schritt-Anleitung“ findet der interessierte Windows-Administrator im Microsoft TechNet „Vorführen von DNSSEC in einem Testlabor“.
Mit der Einführung von Windows Server 2012 hat Microsoft einen Installationsassistenten vorgestellt, der die Implementierung von DNSSEC vereinfacht. Zu den kleinen Veränderungen in Windows Server 2012 gehören eine bessere Schlüsselverwaltung und Onlinesignierung bei den DNS-Sicherheitserweiterungen (DNSSEC) sowie neu unterstützte DNSSEC-Standards (NSEC3 und RSA/SHA-2) mit besserer Integration in Active Directory.

Beim LLMNR gab es gleich wieder eine Anpassung. Windows 8/2012 DNS-Clients nutzen keine mobilen Breitband- oder VPN-Verbindungen für das Auffinden von DNS-Servern und Domänencontrollern. Das Aussenden von LLMNR- und NetBIOS-Anfragen findet seit dieser Windows-Version parallel statt, nicht mehr hintereinander, was die Antwortzeiten verbessert. Es versteht sich beinahe von selbst, dass die Anzahl von PowerShell Commandlets für DNS mit jeder neuen Version ansteigt.

Die Installation eines DNS-Servers, auch bei vNEXT, setzt eine statische IP-Adresse voraus. Ansonsten dauert der Vorgang lediglich ein paar Augenblicke. (c) Thomas Bär / Frank-Michael Schlede

Diese Anzahl stieg auch beim Windows Server 2012 R2 weiter an, neben einigen Detailverbesserungen beim DNSSEC-Support und bei den Zone-Level-Statistiken. Komplett neu ist indes die Unterstützung für ein DNS-Logging und -Diagnostik-Tool, welches Administratoren unter dem Update 2919355 für Windows 8.1/2012R2 herunterladen können.

Diese Auswertmöglichkeiten sind im künftigen Microsoft Server vNext bereits enthalten. Eine detaillierte Beschreibung der Logging- und Analysefunktionen findet der interessierte Administrator im Technet von Microsoft im Artikel „DNS Logging and Diagnostics“ in Englischer Sprache.

DNS – UND ES GEHT WEITER
Es ist richtig – auf den ersten Blick hat sich beim DNS nicht wirklich etwas getan, was ein Vergleich der Kontextmenüs der verschiedenen Windows-Server-Editionen zeigt. Unter der Haube haben die Entwickler von Microsoft einige Neuerungen und Verbesserungen vorgenommen.

*Thomas Bär und Frank-Michael Schlede sind freie Autoren.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*