In diesem Artikel widme ich mich den erweiterten Einstellungen eines DNS-Server unter Windows Server 2016 und Vorgängerversionen. Was bedeuten die Einstellungen Round-Robin, Cache vor Beschädigungen sichern, Rekursionsvorgang (und Weiterleitungen) deaktivieren, BIND-Sekundärzonen aktivieren, Beim Laden unzulässiger Zonendaten einen Fehler zurückgeben und Netzwerkmaskenanforderung aktivieren im Detail? Genau diese Frage möchte ich beantworten.

Standardeinstellungen

Die Settings sind in dnsmgmt.msc in den Eigenschaften des DNS-Servers zu finden (rechte Maustaste auf den Computernamen – Eigenschaften).

Was bedeutet das für meinen DNS-Server?

Ich habe die Settings durchnummeriert um es übersichtlicher zu gestalten.

1 – Rekursionsvorgang (und Weiterleitungen) deaktivieren

Wird der Rekursionsvorgang deaktiviert dann nimmt der Server nur iterative Anfragen entgegen.

Rekursiv

Rekursiv bedeutet, dass der DNS-Server Daten von einem anderen DNS-Server holt. Clients fragen in der Regel immer rekursiv. Clients erwarten eine Antwort oder keine und keine weiteren Verweise. Um das zu verdeutlichen aktiviere ich das Feature.

Die Namensauflösungsanfrage bei deaktiviertem Rekursionsvorgang geht dann mit einem Query refused ins Leere.

Iterativ

Die Einstellung Rekursionsvorgang (und Weiterleitungen) deaktivieren ist unter anderem bei den DNS Root Servern aktiv. Bei der iterativen Anfrage verweist der Root Server den DNS-Server A auf andere DNS-Server. Soll bedeuten, dass der Root Server nicht die Arbeit für DNS-Server A macht.

2 – BIND-Sekundärzonen aktivieren

Dieses Feature ist für Legacy BIND (Open Source, Linux) Secondary DNS-Server gedacht. Wenn der Windows DNS-Server mit einem Linux DNS-Server einen DNS-Zonentransfer durchführen soll, dann muss dieses Feature aktiviert sein.

3 – Beim Laden unzulässiger Zonendaten einen Fehler zurückgeben

Bei fehlerhaften Einträgen in der Zonendatenbank wird diese nicht geladen, Fehler werden protokolliert. Das heißt einfacher gesagt, dass bei Fehler der Datenbank einer Zone der Server die Funktion als DNS-Server dieser Zone eingestellt.

4 – Roundrobin aktivieren

Existieren mehrere A oder AAAA Einträge für einen Host gibt der DNS-Server einmal Eintrag A und beim nächsten Mal Eintrag B zurück (Lastverteilung). Im Screenshot hat Computer A zwei Einträge.

Der DNS-Server wird nun bei einer DNS-Anfrage für Computer A einmal die IP 192.168.0.150 und das nächste Mal die IP 192.168.0.151 zurückgeben und dann wieder 192.168.0.150 usw… Mit nslookup lässt sich der Vorgang zeigen.

5 – Netzwerkmaskenanforderung aktivieren

Existieren mehrere Einträge für einen Host wird die IP-Adresse zurückgegeben, welche sich im gleichen Subnetz wie der anfragende DNS-Client befindet (setzt Roundrobin außer Kraft). Für ComputerB existieren zwei Einträge.

Mein Computer befindet sich im Subnetz 192.168.0.0/24. Dies entspricht dem ersten Eintrag von ComputerB (192.168.0.152). Bei einem ping zu ComputerB wird – intelligent – die IP 192.168.0.152 zurückgegeben.

6 – Cache vor Beschädigungen sichern

Hindert einen Angreifer an einer Beschädigung des Server-Cache durch Ressourcen-Einträge, die nicht vom DNS-Server angefordert wurden. Sprich keine Fragen keine Antworten. Antworten ohne Fragen werden nicht angenommen.

Weiterführendes

Mehr zur DNS Namensauflösung in meinem Beitrag Wie funktioniert die DNS Namensauflösung?. Wer aus einem Nano Server, der kleinsten Variante eines Windows Servers einen DNS-Server machen möchte wird hier fündig: Nano Server (Teil 4): Nano Server als DNS-Server konfigurieren