Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was ist DNS in Active Directory?

Was ist DNS in Active Directory?

Feb 17, 2017

IT-Administratoren arbeiten seit der Einführung der Technologie in Windows 2000 Server mit und um Active Directory herum. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, aber viele Administratoren begannen bereits Ende 1999 mit Active Directory zu arbeiten, als es am 15. Dezember 1999 zur Herstellung freigegeben wurde (RTM).

Was ist Active Directory DNS?

AD DS bietet eine integrierte Methode zum Speichern und Replizieren von DNS records mithilfe von Active Directory-integrierten DNS zones.

Alle Datensätze und Zonendaten, die innerhalb der Zone gespeichert sind, werden mithilfe des nativen AD DS replication service auf andere DNS-Server repliziert. Jeder DC speichert eine beschreibbare Kopie der DNS-Zonendaten für Namensräume, für die sie autoritativ sind. Active Directory-integrierte Zonen bieten auch die Möglichkeit, sichere dynamische Updates zu nutzen, die steuern, welche Computer Updates durchführen dürfen und nicht autorisierte Änderungen verhindern.

DNS-Zonendaten werden in einer Anwendungsverzeichnispartition gespeichert. Eine partition für den gesamten Wald namens ForestDnsZones wird für die Zonendaten verwendet. Für jede AD DS-Domäne wird eine Domänenpartition erstellt, die DomainDnsZones genannt wird.

Üblicherweise werden DNS-Implementierungen mit einem contiguous namespace verwendet.

Beispielsweise könnte der Fully Qualified Domain Name (FQDN) einer AD DS-Domäne corp.contoso.com sein, und der FQDN eines Clients in dieser Domäne wäre client.corp.contoso.com. Jedoch unterstützen AD DS und Active Directory-integrierte DNS-Zonen disjoint namespaces. In einem solchen Szenario könnte der FQDN der AD DS-Domäne na.corp.contoso.com sein, während ein Client-FQDN client.corp.contoso.com sein könnte. Beachten Sie, dass der Teil „na“ des FQDN im Client-FQDN nicht vorhanden ist. Es gibt mehrere Anforderungen und Überlegungen bei der Verwendung eines disjoint namespace.

Weitere Informationen finden Sie unter https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx.

Drei spezifische DNS-Komponenten

AD DS benötigt DNS zum Funktionieren und verwendet drei spezifische Komponenten für die AD DS-Infrastruktur:

  • Domain Controller-Locator.

Der Locator ist im Net Logon-Dienst implementiert und stellt die Namen der DCs in einer AD DS-Umgebung bereit. Der Locator verwendet Adress- (A) und Dienst- (SRV) DNS-Ressourceneinträge, um DCs in einer AD DS-Umgebung zu identifizieren.

  • Active Directory-Domänennamen im DNS.

Die AD DS-Domänennamen in DNS sind die FQDN, über die wir zuvor gesprochen haben.

  • Active Directory DNS-Objekte.

Obwohl DNS-Domänen und AD DS-Domänen normalerweise denselben Namen haben, handelt es sich um zwei separate Objekte mit unterschiedlichen Rollen. DNS speichert Zonen und Zonendaten, die von AD DS benötigt werden und beantwortet DNS-Anfragen von Clients. AD DS speichert Objektnamen und Objektdatensätze und verwendet LDAP-Anfragen, um Daten abzurufen oder zu ändern. DNS-Zonen, die in AD DS gespeichert sind, haben ein Containerobjekt, das zur dnsZone-Klasse gehört. Das dnsZone-Objekt hat einen DNS-Knoten, der die dnsNode-Klasse verwendet. Jeder eindeutige Name in einer DNS-Zone hat ein einzigartiges dnsNode-Objekt. Für AD DS beinhaltet dies auch individuelle Funktionen. Daher kann ein DC mehrere Rollen haben, wie zum Beispiel die eines global catalog-Servers, was im dnsNode-Objekt angezeigt wird.

DNS-Einträge in Active Directory

Wie bereits erwähnt, werden DCs durch die SRV records in einer DNS zone identifiziert. Komponenten von AD DS werden im DNS unter Verwendung des folgenden Formats in der _msdcs-Subdomain gespeichert: _Service.Protocol.DcType._msdsc.DnsDomainName.

Beispielsweise wäre der Dienst des Lightweight Directory Access Protocol (LDAP) des Primary Domain Controller (PDC) in der contoso.com AD DS-Domäne _ldap._tcp.pdc.contoso.com. Die Dienst- und Protokollzeichenfolgen verwenden Unterstriche (_) als Präfix, um mögliche Kollisionen mit bestehenden Ressourcen oder Einträgen im Namensraum zu vermeiden.

Der Net Logon-Dienst benötigt 17 verschiedene SRV-Einträge für Abfragen. Eine vollständige Liste der SRV-Einträge finden Sie unter https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx.

Neben den SRV-Einträgen benötigt der Net Logon-Dienst auch zwei A-Einträge für Clients, die möglicherweise nicht SRV-kompatibel sind. Dies umfasst einen Eintrag für den DnsDomainName und einen Eintrag für gc._msdsc.DnsForestName. Dies ermöglicht es nicht-SRV-kompatiblen Clients, einen Domänencontroller oder globalen Katalogserver über einen A-Eintrag zu finden.

Best Practices

DNS ist anfällig für Sicherheitsbedrohungen, wie Footprinting, Denial-of-Service-Angriffe, Datenmanipulation und Umleitung.

Um diese Bedrohungen zu mildern, können DNS-Zonen durch die Verwendung von secure dynamic updates, Einschränkung von Zonentransfers sowie Implementierung von Zonendelegierung und DNS Security Extensions (DNSSEC) gesichert werden. Durch die Verwendung von secure dynamic updates werden Computer über Active Directory authentifiziert und Sicherheitseinstellungen beim Durchführen eines Zonentransfers angewendet.

Zusätzlich können Zonentransfers auch auf bestimmte IP-Adressen innerhalb des Netzwerks beschränkt werden. Die Zonendelegation kann mit zwei Methoden angegangen werden.

Zuerst ist es die DNS-Änderungen auf ein einzelnes Team oder eine Entität zu beschränken, wobei alle Änderungen nachverfolgt und genehmigt werden. Diese Methode begrenzt die Anzahl der Personen, die Änderungen vornehmen, erlaubt aber einen einzelnen Ausfallpunkt.

Zweitens können Zonen an Einzelpersonen delegiert werden, die jede Komponente eines Netzwerks oder einer Domäne verwalten. Obwohl Änderungen möglicherweise immer noch genehmigt und verfolgt werden müssen, verteilt dies das Risiko auf mehrere Personen und kann den Schaden begrenzen, falls nur eine Komponente kompromittiert wird.

DNSSEC

DNSSEC validiert DNS-Antworten, indem es Herkunftsnachweis, Datenintegrität und authentifizierte Verweigerung der Existenz bereitstellt. Die Implementierung von DNSSEC in Windows Server 2012 entspricht den Standards für RFC 4033, 4034, und 4035.

Es gibt sechs Resource Record-Typen, die speziell mit DNSSEC verwendet werden:

  • Resource Record Signature (RRSIG)
  • Next Secure (NSEC)
  • Next Secure 3 (NSEC3)
  • Next Secure 3 Parameter (NSEC3PARAM)
  • DNS-Schlüssel (DNSKEY)
  • Delegation Signer (DS)

Weitere Informationen zu den einzelnen Datensatztypen und deren Verwendung finden Sie unter https://technet.microsoft.com/en-us/library/jj200221.aspx.

Weitere Informationen zu den Grundlagen von Active Directory finden Sie in unserem AD tutorial for beginners.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Brian Svidergol

IT

Experte für Microsoft-Infrastruktur und Cloud-basierte Lösungen rund um Windows, Active Directory, Azure, Microsoft Exchange, System Center, Virtualisierung und MDOP. Neben dem Verfassen von Büchern erstellt Brian Schulungsmaterial, Whitepapers und ist technischer Gutachter bei einer Vielzahl von Büchern und Publikationen.

Erfahren Sie mehr zu diesem Thema

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Wie man Passwörter mit PowerShell erstellt, ändert und testet

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Vertrauensstellungen in Active Directory

Ransomware-Angriffe auf Active Directory

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen