Active Directory und DNS

Erstellt am 18. März 2000 von Rainer Gerhards. 

Microsoft's Active Directory ist in hohem Maße mit DNS verbunden. DNS wird grundsätzlich genutzt, um wichtige Ressourcen, z. B. Domänen-Controller, aufzufinden. Da diese wiederum zur Anmeldung von Benutzern notwendig sind, geht ohne DNS eigentlich nichts mehr.

Problematisch ist, dass Microsoft leider ganz besondere Anforderungen an den DNS-Server stellt. Realistisch betrachtet funktioniert es einfach eigentlich nur mit dem Microsoft DNS Server - und zwar dem mit Windows 2000 mitgelieferten. Im Folgenden  möchten wir versuchen, die wesentlichen "Knackpunkte" zu erläutern und zu umschiffen.

Wofür benötigt Windows 2000 DNS?

Microsoft hat sich dazu entschieden, Active Directory auf Internet-Standards aufzubauen. DNS ist *der* Internet-Standard zum Auffinden von Ressourcen, bisher jedoch vornehmlich IP-Adressen. So wird z. B. die IP-Adresse von www.win2k-reporter.de mit Hilfe einer DNS-Anfrage ermittelt. Der Browser kann sich dann anschließend mit dem entsprechenden Server verbinden.

Unter Windows 2000 werden aber nicht nur Rechner-IP-Adressen ermittelt. Vielmehr wurde das DNS um sogenannte "Service-Einträge" (SRV-Records) erweitert. Auch dies ist ein offener Standard, der nicht nur von Microsoft unterstützt wird. Allerdings unterstützen nicht alle DNS-Server diesen neuen Standard. Wer BIND einsetzt (ein unter UNIX üblicher DNS-Server), sollte mindestens Version 8.1.2 verwenden. Sonst gibt es Probleme.

Mit Hilfe der Service-Records können  für Active Directory wichtige Dienste ermittelt werden. Zu nennen wäre da beispielsweise der Domänen Controller (ist für die Anmeldung notwendig) oder der sogenannte "Global Catalog Server" (sowohl für die Anmeldung als auch zum Suchen im Active Directory). Erst wenn Windows 2000 diese Dienste auffinden kann, kann Active Directory korrekt arbeiten. Daher ist deren korrekter Eintrag in DNS ganz wichtig.

Was ist DDNS?

Bleibt die Frage, wie denn die Einträge ins DNS hineingelangen. Die bisher typische Antwort war: der Administrator trägt sie manuell ein. Das geht auch unter Active Directory - ist aber wohl eher eine theoretische Möglichkeit. Denn die Einträge sind recht kryptisch und zahlreich. Außerdem können Sie sich bei Rekonfiguration des Active Directory relativ rasch ändern. Ganz zu schweigen von den Clients, die natürlich auch im DNS eingetragen werden (das ist aber nicht zwingend erforderlich).

Microsoft hat sich hier eine Lösung ausgedacht: DDNS, das "Dynamic DNS". Dynamisch bedeutet in diesem Zusammenhang, das sich die Systeme automatisch mit Ihre Diensten registrieren. Ein neu installierter Server teilt dem DDNS beispielsweise mit, das es ihn jetzt gibt, wie seine IP-Adresse lautet und welche Services auf ihm abgerufen werden können (z. B. Domänen-Controller). Manuelle Einträge  durch den Administrator sind nicht mehr notwendig.

Eine feine Sache also - eigentlich. Es gibt aber einen entscheidenden Wermutstropfen: momentan unterstützt nur der mit Windows 2000 mitgelieferte DNS-Server DDNS. Es gibt kein anderes System (weder Linux, noch NetWare oder andere Unix-Derivate) die zum Stand der Erstellung dieses Artikel DDNS beherrschten. Zu DDNS gibt es übrigens einen Internet-Standard (RFC) - von Microsoft  eingebracht...

Diese fehlende Kompatibilität ist allerdings kein Grund, direkt die "Flinte ins Korn zu werfen". Zum einen kann man mit DDNS sehr gut leben - es ist tatsächlich eine Arbeitserleichterung. Zum anderen kann man Windows 2000 (D)DNS Server durchaus in bestehende DNS-Umgebungen integrieren. Es muss nur darauf geachtet werden, dass die Windows 2000 Systeme untereinander möglichst nur DDNS Server verwenden. Und, wie gesagt, für ganz Abgehärtete gibt es theoretisch noch die Möglichkeit, die DNS Einträge von Hand einzutragen und auf DDNS ganz zu verzichten. Davon ist aber dringendst abzuraten. Aufgrund des existierenden Standards ist außerdem davon auszugehen, dass auch andere Hersteller zukünftig DDNS Server anbieten werden. Dadurch entspannt sich die Lage weiter.

Was bedeutet das für die Praxis?

Die Abhängigkeit von DDNS hat natürlich klare Folgen. Ein Windows 2000 Server ohne Active Directory kann problemlos einen beliebigen DNS-Server verwenden, z. B. den des Internet-Providers. Wird auf dem selben Server nun aber Active Directory installiert (dcpromo aufgerufen), so sollte der DNS-Eintrag auf einen DDNS-Server verweisen.

Häufig bleibt in einem solchen Fall aber der bisherige DNS-Server eingestellt. Das passiert z. B. leicht, wenn ein NT 4 Server auf Windows 2000 aufgerüstet wird. Da der bisherige - herkömmliche - DNS-Server aber kein DDNS unterstützt, kann sich der Domänen-Controller auch nicht korrekt im DDNS registrieren. Diesen Fehler meldet er dann übrigens auch im Ereignis-Protokoll. Leider ist die Meldung für viele Benutzer unverständlich. Damit beginnt dann meist der Ärger: durch die fehlenden Informationen im DNS arbeitet Active Directory nicht korrekt. Die meisten Funktionen schlagen fehl, das Ereignisprotokoll füllt sich rasch mit einer Reihe weiterer Fehlermeldungen. Soll dann noch ein weiter Domänen-Controller installiert werden, gelingt dies nicht. Die Fehlermeldung deutet dann darauf hin dass die Domäne nicht existiert - obwohl man sie im Dialog zuvor noch gesehen hat....

Solche und ähnlich kuriose Meldungen sind ein klarer Hinweis darauf, dass die DNS-Einträge nicht korrekt sind. Wie gesagt, meist ist der Grund das fehlende DDNS. Wichtigste Regel daher bei Installation eines Active Directory:

Noch bevor Active Directory installiert wird, sollte zunächst ein DDNS Server installiert werden. Dies geht am einfachsten, indem man auf dem ersten Windows 2000 Server gleich nach der Grundinstallation den DNS-Dienst installiert. Nachdem der DNS-Dienst installiert und gestartet ist, muss die gewünschte Domäne im Server aktiviert, d. h. eingetragen werden. Das geht mit dem DNS-Manager.

Anschließend muß in den IP-Einstellungen der  Netzwerkkarte auch auf den neuen DNS-Server verwiesen werden. Der folgende Screenshot (leider nur in Englisch) zeigt das beispielhaft:

Die IP-Adresse des Servers wird gleichzeitig als Adresse des DNS Servers eingesetzt. Übrigens ist zu beachten, dass in den Dialogen  immer nur von "DNS" die Rede ist. Eigentlich ist aber DDNS gemeint.

Bei Installation von weiteren Rechner unbedingt daran denken: dieser DNS-Server muss  dann auch von allen anderen Windows 2000 Server und Workstations (Windows 2000 Professionell) verwendet werden. Denn sonst sehen die sich gegenseitig nicht.

Nachdem der DNS-Dienst nun installiert wurde und auch verwendet wird, steht der erfolgreichen Installation von Active Directory nichts mehr im Wege. Übrigens ist es für alle hier beschriebenen Arbeitsschritte nicht notwendig, Windows 2000 neu zu starten. Man sollte also nicht überrascht sein.

Es gibt übrigens auch eine Möglichkeit, die hier beschriebenen Tätigkeiten weitgehend automatisch ausführen zu lassen. Zumindest der Update-Wizard (bei Update z. B. von NT 4) bietet an, einen DNS-Server samt entsprechender Zone einzurichten. Gestattet man Ihm das, so braucht man sich um die Einstellungen auch der Netzwerkkarte nicht zu kümmern. Das macht er automatisch. Erfolgskontrolle schadet aber nicht - vor allen Dingen, wenn sich das System nachher unerwartet verhält.

Active Directory will geplant werden!

Zum Schluß noch eine wichtige Anmerkung: ich habe diesen Artikel verfasst, nachdem mir die große Anzahl von Fragen zu diesem Thema aufgefallen ist. Active Directory ist sehr leistungsfähig - aber auch sehr komplex. Wer Active Directory auf dem heimischen PC "mal ausprobieren" möchte, kann es sicherlich einmal mit dem "Try and Error" Ansatz versuchen. Und wird dabei wahrscheinlich den einen oder anderen Frust erleben....

Soll Active Directory aber in einer Unternehmung - egal wie klein oder groß - eingesetzt werden, kann ich nur dringend dazu raten, es "sauber" durchzuplanen. Denn sonst kann es leider sehr schnell böse daneben gehen!