Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Neues beim DNS-Server

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

In diesem Thema werden die DNS-Serverfunktionen beschrieben, die in Windows Server 2012 R2 und Windows Server 2012 neu eingeführt oder geändert wurden. Informationen zur Bereitstellung des DNS-Clientdiensts finden Sie unter Neues im DNS-Client.

Inhalte dieses Themas:

Unter Windows Server 2012 R2 bietet der DNS-Server eine verbesserte Unterstützung in den folgenden Bereichen.

Funktion

Neu oder verbessert

Beschreibung

DNS-Protokollierung und Diagnose

new

Die verbesserte DNS-Protokollierung und -Diagnose in Windows Server 2012 R2 und höher inklusive DNS-Überwachungsereignissen und DNS-Analyseereignissen. Durch die verbesserte Protokollierung ist es möglich, alle DNS-Abfragen und -Antworten sowie betriebliche Transaktionen zu überwachen.

Statistiken auf Zonenebene

Verbessert

Statistiken auf Zonenebene stehen für verschiedene Ressourcendatensatztypen, Zonenübertragungen und dynamische Updates zur Verfügung.

DNSSEC-Unterstützung

Verbessert

Verbesserte Verwaltung der DNSSEC-Schlüssel und Unterstützung für signierte Zonen mit Sicherungsdatei.

Windows PowerShell-Unterstützung

Verbessert

Neue Windows PowerShell-Parameter sind für DNS-Server verfügbar.

Dynamische DNS-Weiterleitungen

new

DNS verwaltet nun eine Liste der DNS-Weiterleitungen sortiert nach Reaktionszeit, damit Abfragen an die Weiterleitungen mit schnelleren Reaktionszeiten gesendet werden.

Folgende DNS-Serverstatistiken stehen in Windows Server® 2012 über das Windows PowerShell-Cmdlet Get-DnsServerStatistics zur Verfügung: CacheStatistics, DatabaseStatistics, DnssecStatistics, DsStatistics, ErrorStatistics, MasterStatistics, MemoryStatistics, NetBiosStatistics, PacketStatistics, PrivateStatistics, Query2Statistics, QueryStatistics, RecordStatistics, RecursionStatistics, SecondaryStatistics, SecurityStatistics, TimeoutStatistics, TimeStatistics, UpdateStatistics und WinsStatistics.

In Windows Server 2012 R2 stehen darüber hinaus noch folgende Statistiken zur Verfügung:

  • ZoneQueryStatistics: Zonenabfragestatistiken enthalten Informationen über:

    • QueriesFailure: Die Anzahl der Abfragen ohne erfolgreiche Antwort, z. B. wenn die Antwort ein DNS-Serverfehler war.

    • QueriesNameError: Die Anzahl von Abfragen mit der Antwort NXDOMAIN oder EMPTY AUTH.

    • QueriesReceived: Die Gesamtanzahl der für den angegebenen Datensatztyp empfangenen Abfragen.

    • QueriesResponded: Die Gesamtanzahl der Abfragen mit einer gültigen DNS-Antwort.

    Abfrageinformationen werden für die folgenden Ressourcendatensatztypen bereitgestellt: A, AAAA, PTR, CNAME, MX, AFSDB, ATMA, DHCID, DNAME, HINFO, ISDN, MG (Mailgruppe), MB (Postfach), MINFO (Postfachinformation), NAPTR (Namensvergebungsstellen-Zeiger), NXT (Nächste Domäne), KEY (öffentlicher Schlüssel), MR (Umbenanntes Postfach), RP (verantwortliche Person), RT (Durchleitungsroute), SRV (Dienstidentifizierung), SIG (Signatur), TXT (Text), WKS (bekannte Dienste), X.25, DNSKEY, DS, NS, SOA.

  • ZoneTransferStatistics: Zonenübertragungsstatistiken enthalten Informationen über AXFR- und IXFR-Übertragungen, einschließlich:

    • RequestReceived: Die Gesamtanzahl der Zonenübertragungsanforderungen, die über den DNS-Serverdienst empfangen wurden, während dieser als primärer Server für eine bestimmte Zone fungierte.

    • RequestSent: Die Gesamtanzahl der Zonenübertragungsanforderungen, die über den DNS-Serverdienst gesendet wurden, während dieser als sekundärer Server für eine bestimmte Zone fungierte.

    • ResponseReceived: Die Gesamtanzahl der Zonenübertragungsanforderungen, die über den DNS-Serverdienst empfangen wurden, während dieser als sekundärer Server für eine bestimmte Zone fungierte.

    • SuccessReceived: Die Gesamtanzahl der Zonenübertragungsanforderungen, die über den DNS-Serverdienst empfangen wurden, während dieser als sekundärer Server für eine bestimmte Zone fungierte.

    • SuccessSent: Die Gesamtanzahl der erfolgreichen Zonenübertragungen, die über den DNS-Serverdienst gesendet wurden, während dieser als primärer Server für eine bestimmte Zone fungierte.

  • ZoneUpdateStatistics: Zonenaktualisierungsstatistiken enthalten Informationen über:

    • DynamicUpdateReceived: Die Gesamtanzahl der dynamischen Updateanforderungen, die vom DNS-Server empfangen wurden.

    • DynamicUpdateRejected: Die Gesamtanzahl der dynamischen Updates, die vom DNS-Server abgelehnt wurden.

Um Statistiken auf Zonenebene zu erhalten, geben Sie die folgenden Befehle an einer Windows PowerShell mit erhöhten Rechten ein.

PS C:\> $statistics = Get-DnsServerStatistics –ZoneName contoso.com $statistics.ZoneQueryStatistics $statistics.ZoneTransferStatistics $statistics.ZoneUpdateStatistics

Zur erweiterten Unterstützung für DNSSEC gehören Änderungen an der Onlinesignierung für Zonen mit Sicherungsdatei und eine erweiterte Unterstützung der Verwaltung von Signaturschlüsseln :

  • In Windows Server 2012 R2 wurde die Rolle „Schlüsselmaster“ für Zonen mit mehreren Mastern und Sicherungsdatei eingeführt.

    System_CAPS_noteHinweis

    Der Schlüsselmaster ist ein autorisierender DNS-Server, der die Signaturschlüssel für eine Zone mit DNSSEC-Schutz generiert und verwaltet. Die Rolle „Schlüsselmaster“ wurde in Windows Server 2012 für Active Directory-integrierte Zonen eingeführt. Weitere Informationen finden Sie unter Overview of DNSSEC.

  • DNSSEC wurde verbessert, um die Isolation des Schlüsselverwaltungsprozesses von den primären DNS-Servern zu ermöglichen, die nicht die Schlüsselmaster einer Zone sind. Der gesamte Prozess von Erstellung, Speicherung, Rollover, Ablauf und Löschung von Signaturschlüsseln kann nur vom Schlüsselmaster initiiert werden, während die anderen primären Server das Signieren in der Zone durch den Zugriff auf diese Schlüssel fortsetzen können.

    Die Trennung der DNSSEC-Schlüssel erfolgt durch die Möglichkeit der Erstellung und Speicherung von Schlüsseln in einem CNG (Cryptography Next Generation)-kompatiblen Offlinespeichermodul.

Die folgenden neuen Windows PowerShell-Cmdlets und -Parameter werden in Windows Server 2012 R2 eingeführt:

  • Step-DnsServerSigningKeyRollover: Dieses Cmdlet erzwingt einen KSK-Rollover beim Warten auf das Update eines übergeordneten Delegierungssignaturgebers (DS). Wenn ein Server eine sichere delegierte Zone hostet und nicht überprüfen kann, ob der DS-Datensatz im übergeordneten Element aktualisiert wurde, können Sie mit diesem Parameter einen Rollover erzwingen. Es wird erwartet, dass der DS-Datensatz manuell im übergeordneten Element aktualisiert wurde.

  • Add-DnsServerTrustAnchor -Root: Der Root-Parametersatz ermöglicht es Ihnen, die Vertrauensanker aus der in der RootTrustAnchorsURL-Eigenschaft des DNS-Servers angegebenen URL abzurufen. Dieses Cmdlet hat den folgenden Alias: Retrieve-DnsServerRootTrustAnchor.

  • RootTrustAnchorsURL: Die Cmdlets „Get-DnsServerSetting“ und „Set-DnsServerSetting“ wurden erweitert, um eine neue Ausgabezeichenfolge von RootTrustAnchorURL hinzuzufügen.

Wenn Sie in den Einstellungen für einen DNS-Server unter Windows Server 2012 R2 mehr als eine Weiterleitung hinzufügen, sortiert der DNS-Dienst die Liste der Server in der Liste der Weiterleitungen nach der Reaktionszeit der einzelnen Server in der Liste. Die Neuanordnung und das Überprüfen der Antwortzeiten sind in Windows Server 2012 R2 standardmäßig aktiviert. Wenn Sie dieses Feature deaktivieren möchten, müssen Sie den folgenden DWORD-Registrierungswert in 0 ändern:

HKLM\System\CurrentControlSet\Services\DNS\Parameters\EnableForwarderReordering

In Windows Server 2012 bieten DNS-Server verbesserte Unterstützung in den folgenden Bereichen:

In Windows Server 2012 wurde die Unterstützung für DNS-Sicherheitserweiterungen (DNS Security Extensions, DNSSEC) erweitert und beinhaltet jetzt Onlinesignierung und automatische Schlüsselverwaltung. Weitere Verbesserungen an DNSSEC:

  • Unterstützung für Active Directory-integrierte DNS-Szenarios einschließlich dynamischer DNS-Updates in mit DNSSEC signierten Zonen

  • Unterstützung für aktualisierte DNSSEC-Standards einschließlich NSEC3 und RSA/SHA-2

  • Automatische Verteilung von Vertrauensankern über Active Directory

  • Unterstützung für das automatische Schlüsselrollover nach RFC 5011

  • Aktualisierte Benutzeroberfläche mit Assistenten für die Bereitstellung und Verwaltung

  • Überprüfung von Datensätzen, die mit aktualisierten DNSSEC-Standards (NSEC3, RSA/SHA-2) signiert wurden

  • Einfache Extrahierung des Stammvertrauensankers

Weitere Informationen zu DNSSEC finden Sie unter Übersicht über DNSSEC und Schritt für Schritt: Vorführen von DNSSEC in einem Testlabor.

Die Konfiguration und Verwaltung von DNS wird durch Windows PowerShell u. a. durch folgende Features erweitert:

  • Parität mit der Benutzeroberfläche und "dnscmd.exe"

  • Installieren und Entfernen der DNS-Serverrolle mithilfe von Windows PowerShell

  • Windows PowerShell-Clientabfrage mit DNSSEC-Überprüfungsergebnissen

  • Die Serverkonfiguration ist auch für Computer unter älteren Betriebssystemen möglich.

Anzeigen: