Andrew Warren ist Inhaber eines IT-Trainings- und Beratungsunternehmen in Großbritannien. Er war als Themenexperte an Kursen zu Windows Server 2016 beteiligt und hatte für Trainings zu Windows 10 die technische Leitung inne. Außerdem war er Co-Autor von TechNet-Sessions zu Microsoft Exchange Server. Andrew wohnt im ländlichen Somerset im United Kingdom.

Zu diesem Buch – sowie zu vielen weiteren dpunkt.büchern – können Sie auch das entsprechende E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus+: www.dpunkt.plus

Netzwerkinfrastruktur mit Windows Server 2016 implementieren

Original Microsoft Prüfungstraining 70-741

Andrew James Warren

Andrew James Warren

Übersetzung: Rainer G. Haselier

Lektorat: Sandra Bollenbacher

Copy-Editing: Petra Heubach-Erdmann, Düsseldorf

Satz: Birgit Bäuerlein

Herstellung: Susanne Bröckelmann

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Druck und Bindung: M. P. Media-Print Informationstechnologie GmbH, 33100 Paderborn

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Print978-3-86490-442-4

PDF978-3-96088-208-4

ePub978-3-96088-209-1

mobi978-3-96088-210-7

Translation Copyright für die deutschsprachige Ausgabe © 2017 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Authorized translation from the English language edition, entitled EXAM REF 70-741 NETWORKING WITH WINDOWS SERVER 2016, 1st Edition by ANDREW WARREN, published by Pearson Education, Inc, publishing as Microsoft Press, Copyright © 2017 by Andrew James Warren

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.

German language edition published by DPUNKT.VERLAG GMBH, Copyright © 2017

ISBN of the English language edition: 978-0-7356-9742-3

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buchs stehen.

5 4 3 2 1 0

Inhaltsverzeichnis

Einführung

Aufbau des Buches

Microsoft-Zertifizierungen

Danksagungen

Kostenlose E-Books von Microsoft Press

Microsoft Virtual Academy

Schneller Zugriff auf Onlinematerialien

Errata, Updates und Support

Wir wollen von Ihnen hören

Bleiben Sie am Ball

Wichtig: Wie Sie dieses Buch für die Prüfungsvorbereitung verwenden

Kapitel 1

Domain Name System (DNS) implementieren

Prüfungsziel 1.1:
DNS-Server installieren und konfigurieren

Namensauflösung im Überblick

DNS-Installationsanforderungen bestimmen

Installieren der DNS-Serverrolle

Unterstützte DNS-Bereitstellungsszenarien auf Nano Server bestimmen

Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren

Sicherheitserweiterungen für DNS konfigurieren

DNS verwalten

Prüfungsziel 1.2:
DNS-Zonen und Ressourceneinträge erstellen und konfigurieren

DNS-Zonen im Überblick

DNS-Zonen konfigurieren

Konfigurieren von DNS-Ressourceneinträgen

Definieren von DNS-Bereichen

DNS überwachen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 2

DHCP implementieren

Prüfungsziel 2.1:
DHCP installieren und konfigurieren

DHCP im Überblick

DHCP installieren

DHCP-Adressbereiche erstellen und verwalten

DHCP-Relay-Agent und PXE-Boot konfigurieren

DHCP-Server exportieren, importieren und migrieren

Prüfungsziel 2.2:
DHCP verwalten und warten

Hochverfügbarkeit mit DHCP-Failover konfigurieren

DHCP-Datenbank sichern und wiederherstellen

DHCP-Fehler beheben

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 3

IP-Adressverwaltung (IPAM) implementieren

Prüfungsziel 3.1:
IP-Adressverwaltung installieren und konfigurieren

Architektur

Voraussetzungen und Planungsüberlegungen

IPAM-Datenbankspeicher auf SQL Server konfigurieren

IPAM manuell oder mithilfe von Gruppenrichtlinien bereitstellen

Serverermittlung konfigurieren

IP-Adressblöcke und -Bereiche erstellen und verwalten

Nutzung des IP-Adressraums überwachen

Vorhandene Arbeitsauslastungen zu IPAM migrieren

Szenarien für die Verwendung von IPAM mit System Center Virtual Machine Manager für physische und virtuelle IP-Adressbereichsverwaltung bestimmen

Prüfungsziel 3.2:
DNS und DHCP mit IPAM verwalten

DHCP mit IPAM verwalten

DNS mit IPAM verwalten

DNS- und DHCP-Server in mehreren Active Directory-Gesamtstrukturen verwalten

Verwaltung für DNS und DHCP mit rollenbasierter Zugriffssteuerung delegieren

Prüfungsziel 3.3:
IPAM überwachen

Auf dem DNS- und dem DHCP-Server durchgeführte Änderungen überwachen

Den IPAM-Adressnutzungsweg überwachen

DHCP-Leasing- und Benutzeranmeldungsereignisse überwachen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 4

Netzwerkkonnektivität und Remotezugriffslösungen implementieren

Prüfungsziel 4.1:
Netzwerkkonnektivitätslösungen implementieren

NAT implementieren

Routing konfigurieren

Prüfungsziel 4.2:
Virtuelles privates Netzwerk (VPN) und DirectAccess implementieren

VPNs im Überblick

Festlegen, wann ein Remotezugriff-VPN oder S2S-VPN verwendet und wann welche Protokolle konfiguriert werden sollen

DirectAccess implementieren

Probleme bei DirectAccess lösen

Prüfungsziel 4.3:
Netzwerkrichtlinienserver implementieren

RADIUS konfigurieren

NPS-Vorlagen konfigurieren

NPS-Richtlinien konfigurieren

Zertifikate konfigurieren

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 5

Kernnetzwerkdienste und dezentrale Netzwerklösungen implementieren

Prüfungsziel 5.1:
IPv4- und IPv6-Adressierung implementieren

IPv4-Adressierung implementieren

IPv6-Adressierung implementieren

Interoperabilität zwischen IPv4 und IPv6 konfigurieren

IPv4- und IPv6-Routing konfigurieren

Border Gateway Protocol konfigurieren

Prüfungsziel 5.2:
DFS und Lösungen für Zweigniederlassungen implementieren

DFS-Namespaces installieren und konfigurieren

DFS-Replikation konfigurieren

DFS-Fehlertoleranz konfigurieren

DFS-Datenbanken verwalten

BranchCache implementieren

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 6

Erweiterte Netzwerkinfrastruktur-Features implementieren

Prüfungsziel 6.1:
Hochleistungsfähige Netzwerklösungen implementieren

NIC-Teamvorgang- oder die Switch Embedded Teaming-(SET-)Lösung implementieren und bestimmen, wann welche Lösung verwendet werden soll

Empfangsseitige Skalierung aktivieren und konfigurieren

Netzwerk-QoS mit Data Center Bridging (DCB) aktivieren und konfigurieren

SMB Direct auf RDMA-fähigen Netzwerkadaptern aktivieren und konfigurieren

SR-IOV auf einem unterstützten Netzwerkadapter aktivieren und konfigurieren

Prüfungsziel 6.2:
Szenarien und Voraussetzungen für die Implementierung eines softwaredefinierten Netzwerks ermitteln

Anforderungen und Szenarien für die Implementierung von HNV ermitteln

Netzwerkcontroller bereitstellen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Index

Einführung

Schwerpunkte der Prüfung 70-741 sind die Netzwerkfeatures und die Netzwerkfunktionalität, die in Windows Server 2016 zur Verfügung stehen. Die Prüfung behandelt die Implementierung von DNS, DHCP und IPAM sowie Remotezugriffslösungen wie VPN und DirectAccess. Außerdem behandelt die Prüfung DFS und BranchCache-Lösungen, Features für Hochleistungsnetzwerke sowie die Implementierung von softwaredefinierten Netzwerken (Software Defined Networking, SDN), wie Hyper-V Netzwerkvirtualisierung (Hyper-V Network Virtualization, HNV) und SDN-Netzwerkcontroller.

Die Prüfung 70-741 richtet sich an Netzwerkadministratoren, die ihr vorhandenes Wissen festigen und sich über neue und geänderte Funktionalitäten in der Netzwerktechnologie von Windows Server 2016 informieren wollen.

Dieses Buch behandelt alle Themen, die in der Prüfung vorkommen können, jedoch wird nicht jede Prüfungsfrage behandelt. Nur das Microsoft-Team hat Zugang zu den Prüfungsfragen. Außerdem ändert Microsoft regelmäßig die Prüfungsfragen, was es unmöglich macht, spezifische Fragen zu behandeln. Sie sollten dieses Buches daher als Ergänzung Ihrer wichtigen Erfahrungen aus dem echten Leben und zu weiteren Studienmaterialien betrachten. Falls Sie in diesem Buch einem Thema begegnen, in dem Sie sich noch nicht zu Hause fühlen, können Sie die Links in den Abschnitten Weitere Informationen verwenden, um weiterführende Informationen zu finden. Nehmen Sie sich dann die Zeit, das Thema weiter zu untersuchen und zu studieren. Ausgezeichnete Informationen finden Sie im Microsoft Developer Network (MSDN), auf Microsoft TechNet sowie in Blogs und Foren.

Aufbau des Buches

Dieses Buch ist anhand der Prüfungsziele und erforderlichen Fähigkeiten organisiert, die für diese Prüfung veröffentlicht wurden. Sie finden die Übersichten der Prüfungsziele/Fähigkeiten für alle Prüfungen auf der Microsoft Learning-Website unter www.microsoft.com/de-de/learning/exam-list.aspx. Jedes Kapitel dieses Buches entspricht einem der aufgeführten Hauptthemen und jede technische Aufgabe innerhalb eines Themas findet sich im Aufbau des betreffenden Kapitels wieder. Da die Prüfung 70-741 sechs Hauptthemen abdeckt, enthält dieses Buch sechs Kapitel.

Microsoft-Zertifizierungen

Mit Microsoft-Zertifizierungen können Sie sich von anderen unterscheiden und belegen, dass Sie eine breite Palette an Kenntnissen und Erfahrungen mit den aktuellen Microsoft-Produkten und -Technologien besitzen. Die Prüfungen und die zugehörigen Zertifizierungen wurden entwickelt, um zu bestätigen, dass Sie die entscheidenden Kompetenzen beherrschen, um in der Infrastruktur sowohl vor Ort als auch in der Cloud Lösungen mit Microsoft-Produkten und -Technologien zu planen, zu entwickeln, zu implementieren und zu unterstützen. Die Zertifizierung bringt sowohl dem Einzelnen als auch Mitarbeitern und Unternehmen zahlreiche Vorteile.

Danksagungen

Das Schreiben eines Buches ist immer Teamarbeit. Daher möchte ich meiner Editorin, Tina Mac-Donald, für ihre Beratung danken. Außerdem möchte ich meiner Frau Naomi und meiner Tochter Amelia für ihre Geduld danken, während ich einen Sommer lang in meinem Büro eingeschlossen war, um dieses Buch zu schreiben.

Andrew Warren

Kostenlose E-Books von Microsoft Press

Angefangen bei technischen Überblicken bis hin zu detaillierten Informationen zu Spezialthemen: Das ist das Spektrum der zahlreichen Themen, die von den kostenlosen Microsoft Press-E-Books abgedeckt werden. Die englischsprachigen E-Books stehen im PDF-m-, EPUB- und Mobi-für-Kindle-Format hier zum Download bereit:

https://aka.ms/mspressfree

Zu diesem Buch – sowie zu vielen weiteren dpunkt-Büchern – können Sie auch das entsprechende deutsche E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus+:

www.dpunkt.plus

Microsoft Virtual Academy

Erweitern Sie Ihre Kenntnisse über Microsoft-Technologien und nutzten Sie dafür die kostenlosen Onlineschulungen der Microsoft Virtual Academy (MVA). Auf MVA finden Sie eine umfangreiche Videobibliothek, Live-Events und vieles mehr, mit dem Sie sich über die neuesten Technologien informieren und sich auf die Zertifizierungsprüfung vorbereiten können. Sie finden hier sicher, was Sie brauchen:

https://www.microsoftvirtualacademy.com

Schneller Zugriff auf Onlinematerialien

Im Verlauf dieses Buches finden Sie an zahlreichen Stellen Links zu Webseiten, die der Autor empfiehlt und auf denen Sie weiterführende Informationen finden. Ein Teil dieser URL-Adressen ist recht lang; daher ist es etwas mühselig, sie in Ihren Browser einzugeben. Aus diesem Grund haben wir alle Adressen in einer Liste zusammengetragen, die Sie als Leser der gedruckten Edition des Buches verwenden können, während Sie das Buch lesen.

Sie können diese Linkliste hier herunterladen: https://dpunkt.de/70-741

Diese Linkliste ist nach Kapiteln und Überschriften organisiert. Immer dann, wenn Sie beim Lesen auf eine URL stoßen, suchen Sie in der Liste nach dem Hyperlink, klicken Sie ihn an und gehen Sie so direkt zu der betreffenden Webseite.

Errata, Updates und Support

Wir haben uns sehr um die Richtigkeit der in diesem Buch enthaltenen Informationen bemüht. Fehler, die seit der Veröffentlichung der englischen Originalausgabe des Buches bekannt geworden sind, werden auf der Microsoft Press-Website aufgelistet:

https://aka.ms/examref741/errata

Sollten Sie einen Fehler finden, der noch nicht aufgeführt ist, würden wir uns freuen, wenn Sie uns auf dieser Seite darüber informieren (in englischer Sprache).

Falls Sie zusätzlichen Support benötigen, können Sie sich an den englischsprachigen Buchsupport von Microsoft Press wenden. Sie erreichen ihn unter dieser E-Mail-Adresse:

mspinput@microsoft.com

Mit Anmerkungen, Fragen oder Verbesserungsvorschlägen zu diesem Buch können Sie sich aber auch an den dpunkt.verlag wenden:

hallo@dpunkt.de

Bitte beachten Sie, dass über diese E-Mail-Adressen kein Software- oder Hardware-Support angeboten wird. Für Supportinformationen bezüglich der Software- und Hardwareprodukte von Microsoft besuchen Sie bitte die Microsoft-Website:

http://support.microsoft.com

Wir wollen von Ihnen hören

Bei Microsoft Press steht Ihre Zufriedenheit an oberster Stelle. Daher ist Ihr Feedback für uns sehr wichtig, Lassen Sie uns auf dieser englischsprachigen Website wissen, wie Sie dieses Buch finden:

https://aka.ms/tellpress

Wir wissen, dass Sie viel zu tun haben. Darum finden Sie auf der Webseite nur wenige Fragen. Ihre Antworten gehen direkt an das Team von Microsoft Press. (Es werden keine persönlichen Informationen abgefragt.) Im Voraus vielen Dank für Ihre Unterstützung.

Über Ihr Feedback per E-Mail freut sich außerdem der dpunkt.verlag über:

hallo@dpunkt.de.

Bleiben Sie am Ball

Falls Sie News, Updates usw. zu Microsoft Press-Büchern erhalten möchten, wir sind auf Twitter:

https://twitter.com/dpunkt_verlag

Wichtig: Wie Sie dieses Buch für die Prüfungsvorbereitung verwenden

Die Prüfungen und Zertifizierungen bestätigen Ihre Berufserfahrungen und Ihre Produktkenntnisse. Verwenden Sie dieses Microsoft-Prüfungstraining, um Ihr Verständnis der in der Prüfung abgefragten Fähigkeiten zu überprüfen und um zu beurteilen, ob Sie die Prüfung erfolgreich absolvieren können. Ermitteln Sie die Themen, in denen Sie sich gut auskennen, sowie die Bereiche, in denen Sie weitere Erfahrungen und zusätzliches Wissen benötigen. Um Ihre Fähigkeiten in bestimmten Bereichen aufzufrischen, finden Sie im Buch zahlreiche »Weitere-Informationen-Abschnitte«, die Links enthalten, die Sie zu ausführlicheren Informationen außerhalb dieses Buches bringen.

Das Microsoft-Prüfungstraining ist kein Ersatz für praktische Erfahrungen. Das Buch wurde nicht mit dem Ziel entwickelt, Ihnen neue Fähigkeiten beizubringen.

Wir empfehlen Ihnen, zur Vorbereitung auf die Zertifizierungsprüfung eine Kombination aus den verfügbaren Studienmaterialen und Kursen vorzubereiten. Weitere Informationen über herkömmliche Präsenztrainings oder einen der neuen offiziellen Microsoft On-Demand-Kurse finden Sie auf https://www.microsoft.com/learning. Für zahlreiche Prüfungen stehen auch englischsprachige offizielle Microsoft-Praxistests zur Verfügung: https://aka.ms/practicetests. Informationen zu weiteren Onlinekursen, Videos und Live-Events finden Sie in der Microsoft Virtual Academy unter https://www.microsoftvirtualacademy.com.

Dieses Buch ist anhand der Prüfungsziele und Fähigkeiten organisiert, die für diese Prüfung veröffentlicht wurden. Sie finden die Übersichten der Prüfungsziele/Fähigkeiten für alle Prüfungen auf der Microsoft Learning-Website unter https://www.microsoft.com/de-de/learning/exam-list.aspx.

Beachten Sie, dass dieses Prüfungstraining auf den öffentlich zugänglichen Informationen und den Erfahrungen des Autors basiert. Um die Integrität der Prüfung zu gewährleisten, haben die Autoren keinen Zugang zu den Prüfungsfragen.

KAPITEL 1

Domain Name System (DNS) implementieren

Anwender und Computer verwenden üblicherweise Hostnamen anstelle von Netzwerkadressen des Typs Internet Protocol Version 4 (IPv4) oder Internet Protocol Version 6 (IPv6), um mit anderen Hosts und Diensten in Netzwerken zu kommunizieren. Ein Windows Server 2016-Dienst mit dem Namen Domain Name System(DNS)-Serverrolle löst diese Namen in IPv4- oder IPv6-Adressen auf.

Viele wichtige Apps und Dienste benötigen die DNS-Serverrolle. Daher ist es wichtig zu wissen, wie Sie die Windows Server 2016-Namensauflösung mit der DNS-Serverrolle installieren und konfigurieren. Daher behandelt die Prüfung 70-741 »Netzwerkinfrastruktur mit Windows Server 2016 implementieren« die Installation und Konfiguration der DNS-Serverrolle in Windows Server 2016.

Die Prüfung 70-741 »Netzwerkinfrastruktur mit Windows Server 2016 implementieren« behandelt außerdem die Implementierung von Zonen und DNS-Einträgen mit der DNS-Serverrolle. Sie müssen daher wissen, wie Sie mit der Windows Server 2016 DNS-Serverrolle DNSZonen erstellen und verwalten und wie Sie in diesen Zonen host- und dienstbezogene Einträge erstellen.

Prüfungsziele in diesem Kapitel

• DNS-Server installieren und konfigurieren
• DNS-Zonen und Ressourceneinträge erstellen und konfigurieren

Prüfungsziel 1.1:
DNS-Server installieren und konfigurieren

Windows Server 2016 stellt die DNS-Serverrolle zur Verfügung, damit Sie für die Geräte und Computer in der Netzwerkinfrastruktur Ihrer Organisation Namensauflösung zur Verfügung stellen können. Der erste Schritt beim Implementieren von DNS besteht darin, die DNS-Serverrolle auf Windows Server 2016-Netzwerkcomputern bereitzustellen.

Namensauflösung im Überblick

Obwohl die IP-Adressierung nicht sehr komplex ist, ist es für Anwender dennoch einfacher, mit den Hostnamen und nicht mit den IPv4- oder IPv6-Adressen von Hosts, wie beispielsweise Websites, zu arbeiten, mit denen sie sich verbinden wollen. Wenn eine Anwendung, wie beispielsweise Microsoft Edge, den Namen einer Website referenziert, wird der Name in der URL in die sich dahinter verbergende IPv4- oder IPv6-Adresse konvertiert. Dieser Vorgang wird Namensauflösung genannt. Windows 10- und Windows Server 2016-Computer können zwei verschiedene Arten von Namen verwenden. Diese sind:

• HostnamenEin Hostname, der maximal 255 Zeichen lang ist, enthält lediglich alphanumerische Zeichen, Punkte und Bindestriche. Ein Hostname ist ein Alias, der mit einem DNS-Domänennamen kombiniert ist. So wird beispielsweise der Alias computer1 dem Domänennamen contoso.com vorangestellt, um den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) computer1.contoso.com zu erzeugen.
• NetBIOS-NamenNetBIOS-Namen sind heute weniger relevant. Sie verwenden eine nicht hierarchische Struktur, die auf 16 Zeichen langen Namen basiert. Das 16. Zeichen identifiziert einen bestimmten Dienst, der auf einem Computer läuft, dessen Name in den vorhergehenden 15 Zeichen angegeben ist. So handelt es sich bei LON-SVR1[20h] um den NetBIOS-Serverdienst auf dem Computer mit dem Namen LON-SVR1.

Die Methode, mit der ein Windows 10- oder Windows Server 2016-Computer Namen auflöst, hängt von der jeweiligen Konfiguration ab. Prinzipiell läuft der Vorgang so ab, wie es Abbildung 1–1 zeigt.

Abb. 1–1Typische Phasen bei der Namensauflösung auf einem Windows Server-Computer

Der folgende Prozess verdeutlicht die typischen Phasen bei der Namensauflösung für einen Windows 10- oder Windows Server 2016-Computer:

1. 1. Prüfen, ob der abgefragte Hostname mit dem lokalen Hostnamen identisch ist.
2. 2. Im DNS-Auflösungscache nach dem abgefragten Hostnamen suchen. Der Cache wird aktualisiert, wenn Einträge erfolgreich aufgelöst werden können. Zusätzlich wird der Inhalt der lokalen Hosts-Datei in den DNS-Auflösungscache eingefügt.
3. 3. An einen DNS-Server eine Abfrage für den erforderlichen Hostnamen schicken.

Die Namensauflösung in Windows Server 2016 kümmert sich natürlich um mehr als nur um die einfache Auflösung eines Namens in eine IP-Adresse. Computer verwenden die DNS-Serverrolle auch dazu, um innerhalb der Netzwerkinfrastruktur bestimmte Dienste zu lokalisieren. Nach dem Start eines Computers muss sich der Benutzer beispielsweise an einer Active Directory-Domäne anmelden und möglicherweise Microsoft Outlook öffnen. Der Clientcomputer muss dazu in der Lage sein, einen Server zu lokalisieren, der in der lokalen Active Directory-Site Authentifizierungsdienste zur Verfügung stellt. Für das Starten von Outlook muss der Clientcomputer den Microsoft Exchange-Server mit der Mailbox des sich anmeldenden Benutzers ermitteln können. Für beide Vorgänge ist DNS erforderlich.

DNS-Installationsanforderungen bestimmen

Bevor Sie die DNS-Serverrolle installieren, müssen Sie sicherstellen, dass Ihr Computer die Installationsvoraussetzungen der Rolle erfüllt.

Die Installationsvoraussetzungen für die DNS-Serverrolle sind:

• SicherheitSie müssen sich beim Servercomputer als Mitglied der lokalen Administratorengruppe anmelden.
• IP-KonfigurationDem Server muss eine statische IPv4- und/oder IPv6-Adresse zugewiesen sein. So ist sichergestellt, dass Clientcomputer die DNS-Serverrolle anhand der IP-Adresse lokalisieren können.

Neben diesen Servervoraussetzungen müssen Sie darauf vorbereitet sein, Fragen über die Netzwerkinfrastruktur Ihrer Organisation beantworten zu können. Diese Fragen umfassen Ihre Internetpräsenz und den registrierten Domänennamen, den Sie öffentlich verwenden wollen. Sie müssen diese Informationen noch nicht während der Installation der DNS-Serverrolle angeben; sie sind jedoch erforderlich, wenn Sie die DNS-Serverrolle konfigurieren.

Installieren der DNS-Serverrolle

Sie können die DNS-Serverrolle mit dem Server-Manager oder mit der Windows PowerShell installieren.

Installieren von DNS mit dem Server-Manager

So installieren Sie die DNS-Serverrolle mit dem Server-Manager:

1. 1. Melden Sie sich beim Zielserver als lokaler Administrator an.
2. 2. Starten Sie den Server-Manager.
3. 3. Klicken Sie in der Konsole Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
4. 4. Klicken Sie auf der Seite Vorbemerkungen des Assistenten zum Hinzufügen von Rollen und Features auf Weiter.
5. 5. Aktivieren Sie auf der Seite Installationstyp auswählen das Optionsfeld Rollenbasierte oder featurebasierte Installation und klicken Sie auf Weiter.
6. 6. Wählen Sie auf der Seite Zielserver auswählen in der Liste Serverpool den gewünschten Server aus und klicken Sie auf Weiter.
7. 7. Schalten Sie auf der Seite Serverrollen auswählen das Kontrollkästchen DNS-Server ein (siehe Abb. 1–2). Klicken Sie auf Weiter.
8. 8. Klicken Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features auf Features hinzufügen.
9. 9. Klicken Sie auf der Seite Features auswählen auf Weiter.
10. 10. Klicken Sie auf der Seite DNS-Server auf Weiter.
11. 11. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. Klicken Sie auf Schließen, sobald die Installation abgeschlossen ist.

Abb. 1–2DNS-Serverrolle mit dem Server-Manager installieren

Installieren von DNS mit Windows PowerShell

Obwohl die Verwendung des Server-Managers zur Installation von Rollen und Features einfach ist, ist dies nicht immer die schnellste Methode. Um die DNS-Serverrolle und alle zugehörigen Verwaltungstools mit Windows PowerShell zu installieren, führen Sie folgende Schritte durch:

1. 1. Melden Sie sich beim Zielserver als lokaler Administrator an.
2. 2. Öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten.
3. 3. Geben Sie an der Eingabeaufforderung der Windows PowerShell (siehe Abb. 1–3) den folgenden Befehl ein und drücken Sie die -Taste.

Abb. 1–3DNS-Serverrolle mit Windows PowerShell installieren

Unterstützte DNS-Bereitstellungsszenarien auf Nano Server bestimmen

Nano Server ist eine neue Bereitstellungsoption für Windows Server 2016. Nano Server entspricht weitestgehend Windows Server Core, jedoch sind die Hardwarevoraussetzungen viel geringer. Außerdem stellt Nano Server nur eingeschränkte lokale Anmeldemöglichkeiten und lokale Administrationsfunktionen bereit. Überdies werden nur 64-Bit-Apps, -Agenten und -Tools unterstützt.

Es gibt jedoch zahlreiche Situationen, in denen Sie erwägen sollten, Nano Server anstatt der anderen Bereitstellungsoptionen von Windows Server 2016 zu verwenden. So ist Nano Server beispielsweise eine gute Plattform für einen Webserver, der die Internet Informationsdienste (Internet Information Services, IIS) ausführt. Auch für die DNS-Serverrolle ist Nano Server ideal.

Sie können eine der beiden folgenden Vorgehensweisen verwenden, um die DNS-Serverrolle auf Nano Server zu installieren:

• Installation der DNS-Serverrolle als Teil der Bereitstellung von Nano ServerWenn Sie Nano Server mit dem Cmdlet New-NanoServerImage bereitstellen, können Sie den Parameter -Packages Microsoft-NanoServer-DNS-Package verwenden, um die DNS-Serverrolle zu installieren.
• Rolle nach der Bereitstellung hinzufügenNachdem Sie Nano Server bereitgestellt haben, können Sie den Server-Manager oder Windows PowerShell verwenden, um die DNS-Serverrolle hinzuzufügen. Da es sich bei Nano Server um eine Serverplattform ohne GUI handelt, die nur wenige lokale Verwaltungsmöglichkeiten bietet, müssen Sie den Server remote verwalten.

Sie können die Rolle dem Nano Server hinzufügen, indem Sie eine der beiden folgenden Methoden verwenden:

• Wählen Sie im Server-Manager die Option Weitere zu verwaltende Server hinzufügen, um den Nano Server als verwaltbaren Server hinzuzufügen. Fügen Sie dann diesem Server die DNS-Serverrolle hinzu und gehen Sie so vor, wie weiter vorne im Abschnitt »Installieren von DNS mit dem Server-Manager« (S. 3) beschrieben.
• Starten Sie eine PowerShell-Remote-Session mit dem Nano Server und verwenden Sie dazu das Cmdlet Enter-PSSession. Sie können dann wie weiter vorne beschrieben zur Installation der DNS-Serverrolle Windows PowerShell-Cmdlets verwenden. Um beispielsweise über eine Remote-Sitzung die DNS-Serverrolle auf einem Nano Server zu installieren, verwenden Sie den folgenden Befehl:

Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren

Nachdem Sie die DNS-Serverrolle auf Ihrem Windows Server 2016 installiert haben, müssen Sie DNS konfigurieren. Hierzu gehören die Konfiguration von Weiterleitungen, Stammhinweise, Rekursion und Delegierung.

Weiterleitungen konfigurieren

Mit DNS-Weiterleitungen legen Sie fest, was mit einer DNS-Anfrage passieren soll, falls der angefragte DNS-Server nicht in der Lage ist, die DNS-Anfrage aufzulösen. Sie können DNSWeiterleitungen konfigurieren und verwenden, um den Fluss von DNS-Anfragen in Ihrer Organisation so zu konfigurieren, dass lediglich bestimmte DNS-Server Internet-DNS-Anfragen bearbeiten.

DNS-Weiterleitungen bieten diese Möglichkeiten:

• Konfigurieren Sie einen DNS-Server so, dass er nur auf die Anfragen reagiert, die er anhand von lokal gespeicherten Zoneninformationen bearbeiten kann. Für alle anderen Anfragen muss der angefragte DNS-Server die Anfrage an einen anderen DNS-Server weiterleiten.
• Legen Sie das Weiterleitungsverhalten für bestimmte DNS-Domains fest, indem Sie bedingte Weiterleitungen konfigurieren. Falls die DNS-Anfrage in diesem Szenario einen bestimmten Domainnamen enthält, wie beispielsweise contoso.com, wird sie an einen bestimmten DNS-Server weitergeleitet.

Gehen Sie folgendermaßen vor, um Weiterleitungen zu konfigurieren:

1. 1. Klicken Sie im Server-Manager auf Tools und dann auf DNS.
2. 2. Klicken Sie im Navigationsbereich des DNS-Managers den DNS-Server mit der rechten Maustaste an und wählen Sie Eigenschaften.
3. 3. Klicken Sie im Dialogfeld Servereigenschaften auf der Registerkarte Weiterleitungen auf Bearbeiten.
4. 4. Geben Sie in die Liste mit den IP-Adressen des Dialogfelds Weiterleitungen bearbeiten die IP-Adresse des Servers ein, an den Sie alle DNS-Anfragen weiterleiten wollen, und klicken Sie dann auf OK. Sie können hier mehrere DNS-Server konfigurieren; diese Server werden in der festgelegten Reihenfolge abgefragt. Außerdem können Sie die Anzahl der Sekunden angeben, die der DNS-Server abwartet, bevor eine andere Weiterleitungs-IP verwendet wird.
5. 5. Auf der Registerkarte Weiterleitungen des Dialogfelds Servereigenschaften (siehe Abb. 1–4) können Sie die Liste der DNS-Weiterleitungen sehen und bearbeiten. Außerdem können Sie festlegen, was passiert, wenn keine der DNS-Weiterleitungen erreicht werden kann. Falls keine Weiterleitungen verfügbar sind, werden standardmäßig die Stammhinweise verwendet. Stammhinweise werden im folgenden Abschnitt beschrieben. Klicken Sie auf OK, um die Konfiguration abzuschließen.

Abb. 1–4DNS-Weiterleitungen konfigurieren

Gehen Sie folgendermaßen vor, um bedingte Weiterleitungen zu konfigurieren:

1. 1. Klicken Sie im Navigationsbereich der Konsole DNS-Manager den Knoten Bedingte Weiterleitungen mit der rechten Maustaste an und wählen Sie Neue bedingte Weiterleitung.
2. 2. Geben Sie in das Feld DNS-Domäne des Dialogfelds Neue bedingte Weiterleitung den Domänennamen ein, für den Sie eine bedingte Weiterleitung einrichten wollen (siehe Abb. 1–5). Geben Sie dann in die Liste IP-Adressen der Masterserver die IP-Adresse des Servers ein, den Sie als Weiterleitung für diese Domäne verwenden wollen. Drücken Sie die -Taste.
3. 3. Optional können Sie die Anzahl der Sekunden angeben, die der DNS-Server abwartet, bevor eine andere Weiterleitungs-IP verwendet wird. Der Standardwert ist fünf Sekunden.
4. 4. Klicken Sie auf OK.

Abb. 1–5Konfiguration einer bedingten DNS-Weiterleitung

Stammhinweise konfigurieren

Falls Sie keine DNS-Weiterleitungen konfigurieren und der angefragte DNS-Server nicht in der Lage ist, die DNS-Anfrage aufzulösen, verwendet er hierfür die Stammhinweise. Bevor wir uns die Stammhinweise ansehen, ist es wichtig zu verstehen, wie eine Internet-DNS-Anfrage bearbeitet wird.

SO WIRD EINE INTERNET-DNS-ANFRAGE BEARBEITET

Eine Client-App, wie Microsoft Edge, will einen Namen (beispielsweise www.contoso.com) in die entsprechende IPv4-Adresse auflösen. Diese App wird als DNS-Client bezeichnet. Der Vorgang der Namensauflösung ist nachfolgend beschrieben und in Abbildung 1–6 dargestellt.

1. 1. Der DNS-Client schickt an den konfigurierten DNS-Server eine Anfrage für den erforderlichen Eintrag (beispielsweise www.contosco.com) und verwendet hierzu eine rekursive Abfrage.

• Der abgefragte DNS-Server prüft, ob er für den angegebenen Eintrag autoritativ ist. Trifft dies zu, gibt er die angeforderten Informationen zurück.
• Falls er nicht autoritativ ist, prüft der DNS-Server den lokalen Auflösungscache, um zu ermitteln, ob der Eintrag kürzlich aufgelöst wurde. Falls der Eintrag im Cache gefunden wurde, wird er an den anfragenden DNS-Client zurückgegeben.

1. 2. Falls der Eintrag nicht im Cache vorhanden ist, richtet der DNS-Server eine Reihe von iterativen DNS-Abfragen an andere DNS-Server. Hierbei wird der angefragte Eintrag übergeben. Er beginnt mit dem Rootserver.

1. 3. Wenn der Rootserver für den angeforderten Eintrag autoritativ ist, gibt er den Eintrag zurück. Anderenfalls gibt der Rootserver die IP-Adresse eines für die Domäne der nächsttieferen Ebene autoritativen DNS-Servers zurück, in diesem Fall. com.
2. 4. Der ursprüngliche DNS-Server schickt an den angegebenen für .com zuständigen DNS-Server eine weitere iterative Abfrage.
3. 5. Der .com-Server ist nicht autorisierend und gibt daher die IP-Adresse des DNS-Servers zurück, der für comtoso.com zuständig ist.
4. 6. Der ursprüngliche DNS-Server schickt an den angegebenen contoso.com-DNS-Server eine weitere iterative Abfrage.
5. 7. Der contoso.com-DNS-Server ist autoritativ und gibt daher die angeforderte Information zurück; in diesem Beispiel ist dies die IPv4-Adresse für www.contoso.com.
6. 8. Der ursprüngliche DNS-Server fügt den Eintrag in den Auflösungscache ein und übergibt dem DNS-Client die angeforderte Information.

Abb. 1–6So funktionieren Internet-DNS-Abfragen

SO WERDEN STAMMHINWEISE VERWENDET

Wie Sie in der Beschreibung und im Diagramm des vorherigen Abschnitts sehen können, fragt ein DNS-Server, der nicht autoritativ ist und für diese DNS-Domäne keinen Cache enthält, einen Rootserver ab. So wird der Vorgang gestartet, der den für den angefragten Eintrag autoritativen Nameserver ermittelt. Ohne die IP-Adresse der DNS-Rootserver kann dieser Vorgang jedoch nicht gestartet werden.

Stammhinweise werden von DNS-Servern verwendet, damit sie in der DNS-Hierarchie im Internet navigieren können. Ausgangspunkt ist der Stamm. Die Microsoft DNS-Server sind bereits mit den wichtigsten Einträgen für die Stammhinweise vorkonfiguriert. Sie können die Liste der Stammhinweisserver mit der Konsole DNS-Manager oder mit Windows PowerShell bearbeiten.

Sie können die Informationen mit den Stammhinweisen beispielsweise dann bearbeiten, wenn Sie den Ablauf des Datenverkehrs mit DNS-Abfragen innerhalb Ihres internen Netzwerks konfigurieren wollen. Dies ist auch zwischen Ihrem internen Netzwerk und dem Perimeternetz nützlich, das sich zwischen Ihrem internen Netzwerk und dem Internet befindet.

STAMMHINWEISE BEARBEITEN

Führen Sie die folgenden Schritte durch, um die Informationen zu den Stammhinweisen mit der Konsole DNS-Manager zu bearbeiten:

1. 1. Klicken Sie im Server-Manager auf Tools und dann auf DNS.
2. 2. Suchen Sie in der Konsole DNS-Manager nach dem entsprechenden DNS-Server. Klicken Sie den Servernamen mit der rechten Maustaste an und wählen Sie Eigenschaften.
3. 3. Klicken Sie im Dialogfeld Eigenschaften von Server auf die Registerkarte Stammhinweise, die Sie in Abbildung 1–7 sehen.
4. 4. Sie können neue Namenserver hinzufügen und vorhandene Einträge bearbeiten oder entfernen. Sie können auch die Schaltfläche Vom Server kopieren anklicken, um die Stammhinweise eines anderen DNS-Servers zu importieren. Klicken Sie auf OK, nachdem Sie die Stammhinweise bearbeitet haben.

Abb. 1–7Stammhinweise konfigurieren

Sie können auch die Windows PowerShell verwenden, um die Informationen zu den Stammhinweisen auf Ihrem DNS-Server zu bearbeiten. Die folgenden Cmdlets stehen zur Verfügung:

• Add-DnsServerRootHintErmöglicht das Hinzufügen neuer Stammhinweiseinträge.
• Remove-DnsServerRootHintErmöglicht das Löschen von Stammhinweiseinträgen.
• Set-DnsServerRootHintErmöglicht die Bearbeitung von vorhandenen Stammhinweiseinträgen. Sie können das Cmdlet Get-DnsServerRootHint verwenden, um den benötigten Eintrag für die Bearbeitung abzurufen.
• Import-DnsServerRootHintErmöglicht das Kopieren der Stammhinweisinformationen von einem anderen DNS-Server.

Um beispielsweise den Wert für die Stammhinweise, die H.Root-Servers.adatum.com zugewiesen sind, zu aktualisieren, verwenden Sie die beiden folgenden PowerShell-Befehle:

Der erste Befehl ruft den Stammhinweis für H.Root-Servers.Adatum.com ab und weist ihn der Variablen $hint zu. Das Cmdlet Get-DnsServerRootHint gibt eine Liste aller Stammhinweise zurück. Mit dem Cmdlet Where-Object werden die Ergebnisse gefiltert, um lediglich den Stammhinweiseintrag für H.Root-Servers.Adatum.com zu erhalten.

Rekursionseinstellungen konfigurieren

Die Rekursion ist eine Namensauflösungstechnik, bei der ein DNS-Server im Namen des anfordernden Clients Abfragen zur vollständigen Auflösung eines Namens an andere DNS-Server sendet. Die DNS-Server senden die Antwort anschließend an den Client zurück. Standardmäßig führen alle DNS-Server im Namen ihrer DNS-Clients sowie im Namen von DNS-Servern, die DNS-Clientabfragen an ihn weiterleiten, rekursive Abfragen durch.

Da Angreifer die Rekursion verwenden können, um Ihre Server mit einem Denial-of-Service-Angriff zu stören, sollten Sie in Ihrem Netzwerk die Rekursion auf allen Servern deaktivieren, die keine rekursiven Abfragen empfangen sollen.

Führen Sie folgende Schritte durch, um die Rekursion zu deaktivieren:

1. 1. Klicken Sie im Server-Manager auf Tools und dann auf DNS.
2. 2. Klicken Sie in der Konsole DNS-Manager den gewünschten Servernamen mit der rechten Maustaste an und wählen Sie Eigenschaften.
3. 3. Öffnen Sie die Registerkarte Erweitert. Schalten Sie in der Liste Serveroptionen das Kontrollkästchen Rekursionsvorgang (und Weiterleitungen) deaktivieren ein (siehe Abb. 1–8). Klicken Sie dann auf OK.

Abb. 1–8Rekursion deaktivieren

REKURSIONSBEREICHE

Obwohl es eine gute Idee zu sein scheint, den Rekursionsvorgang zu deaktivieren, kann es auch Server geben, die für ihre Clients und andere DNS-Server rekursive Abfragen durchführen müssen. Hierbei besteht jedoch das Risiko, dass Ihr Netzwerk bösartigen Angriffen ausgesetzt ist. Mit dem Windows Server 2016-Feature Rekursionsbereiche können Sie das Verhalten rekursiver Abfragen steuern. Hierfür verwenden Sie DNS-Server-Richtlinien.

Nehmen Sie beispielsweise an, dass Sie einen DNS-Server einsetzen, der rekursive Abfragen von internen Clients aus der Domäne adatum.com bearbeiten und gleichzeitig alle rekursiven Abfragen, die von sich im Internet befindenden Computern eintreffen, blockieren soll. Um dieses Verhalten zu konfigurieren, öffnen Sie Windows PowerShell und führen dann die beiden folgenden Befehle aus:

Der erste Befehl deaktiviert den Rekursionsvorgang für den Standardrekursionsbereich, wodurch im Ergebnis die Rekursion deaktiviert wird. Der Standardrekursionsbereich besteht aus den Rekursions- und Weiterleitungseinstellungen auf Server-Ebene, die weiter vorne im Abschnitt »Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren« (S. 7) beschrieben sind.

Der zweite Befehl erstellt einen neuen Rekursionsbereich mit dem Namen InternalAdatum-Clients. Für Clients, die sich in diesem Bereich befinden, wird die Rekursion aktiviert. Anschließend müssen Sie definieren, welche Clients zu diesem Rekursionsbereich gehören. Verwenden Sie folgenden Windows PowerShell-Befehl, um dies zu erreichen:

In diesem Beispiel werden DNS-Anfragen, die auf der Netzwerkschnittstelle des DNS-Servers mit der IP-Adresse 10.24.60.254 eintreffen, so ausgewertet, als ob sie von Clients gesendet werden, die zu InternalAdatumClients gehören, und die Rekursion ist aktiviert. Für DNS-Anfragen, die auf anderen Netzwerkschnittstellen des Servers eintreffen, ist der Rekursionsvorgang deaktiviert.

Delegierung konfigurieren

Dieses Thema wird weiter hinten in diesem Kapitel im Abschnitt »DNS-Delegierung konfigurieren« (S. 37) behandelt.

Sicherheitserweiterungen für DNS konfigurieren

Mit der Konfiguration von Weiterleitungen, Rekursion und Stammhinweisen können Sie die Grundlagen steuern, wie DNS-Abfragen in Ihrem Unternehmen verarbeitet werden. Nachdem Sie diese Einstellungen konfiguriert haben, können Sie einen Schritt weiter gehen und die erweiterten Einstellungen festlegen.

DNSSEC konfigurieren

DNSSEC ist eine Sicherheitseinstellung für DNS, mit der alle Einträge in einer DNS-Zone digital signiert werden, damit die DNS-Clients die Identität des DNS-Servers überprüfen können, von dem sie die Antwort erhalten. DNSSEC hilft sicherzustellen, dass der DNS-Client mit einem authentifizierten DNS-Server kommuniziert.

Wenn ein Client eine Abfrage an einen DNS-Server sendet, für den DNSSEC konfiguriert ist, gibt der Server sowohl die DNS-Ergebnisse als auch eine digitale Signatur zurück. Um sicherstellen zu können, dass diese Signatur gültig ist, erhält der Client von einem Vertrauensanker den öffentlichen Schlüssel des öffentlich-privaten Schlüsselpaars, das mit dieser Signatur verknüpft ist. Damit dies funktioniert, müssen Sie für Ihre DNS-Clients einen Vertrauensanker für die signierte DNS-Zone konfigurieren.

VERTRAUENSANKER

Um DNSSEC zu implementieren, müssen Sie eine Vertrauensankerzone erstellen. Diese Zone wird verwendet, um öffentliche Schlüssel zu speichern, die mit bestimmten DNS-Zonen verknüpft sind. Sie müssen für die gesicherte Zone auf jedem DNS-Server, auf dem sich die Zone befindet, einen Vertrauensanker erstellen.

RICHTLINIENTABELLE FÜR DIE NAMENSAUFLÖSUNG

Außerdem müssen Sie eine Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) erstellen, konfigurieren und verteilen. Eine DNSSEC-Regel in der Richtlinientabelle für die Namensauflösung wird von den DNS-Clients verwendet, um spezielle Verhaltensweisen der Clients festzulegen. Sie wird von DNSSEC verwendet, um die Clients anzuweisen, die Validierung durch die Verwendung einer Signatur anzufordern.

DNSSEC IMPLEMENTIEREN

Nachdem Sie Windows Server 2016 installiert und die DNS-Serverrolle hinzugefügt haben, führen Sie die folgenden Schritte durch, um DNSSEC zu implementieren:

1. 1. Starten Sie den DNSSEC-Konfigurationsassistenten von der Konsole DNS-ManagerDNSSECZone signierenAbbildung 1–9