The Cable Guy

Die Richtlinientabelle für die Namensauflösung

Joseph Davies

Die Hostkonfiguration für DNS-Namensabfragen (Domain Name System) besteht normalerweise aus der Bestimmung von einzelnen oder mehreren IPv4- oder IPv6-Adressen von DNS-Servern, die die Abfragen an den Netzwerkschnittstellen entgegennehmen. Diese Konfiguration erfolgt gewöhnlich bei Computern, auf denen Windows Vista oder Windows Server 2008 installiert ist, automatisch anhand des Dynamic Host Configuration-Protokolls (DHCP) oder DHCP für IPv6 (DHCPv6). Bei Computern unter Windows Vista oder Windows Server 2008 gehen alle DNS-Namensabfragen für den gesamten DNS-Namespace an DNS-Server, die durch Netzwerkschnittstellen konfiguriert sind. Diese Server werden nachfolgend als schnittstellenkonfigurierte DNS-Server bezeichnet.

Einige Technologien erfordern eine spezielle Behandlung der Namensabfragen für bestimmte Bereiche des DNS-Namespace. Stimmt der DNS-Name mit angegebenen Bereichen des Namespace überein, muss diese spezielle Behandlung angewendet werden. Stimmt der DNS-Name nicht mit den angegebenen Bereichen des Namespace überein, muss eine normale DNS-Abfrage mit schnittstellenkonfigurierten DNS-Servern durchgeführt werden. Zu diesem Zweck enthalten Windows 7 und Windows Server 2008 R2 die Richtlinientabelle für die Namensauflösung (NRPT).

Die NRPT enthält von einem Administrator konfigurierte Regeln für Namen oder Namespaces sowie die Einstellungen für die erforderliche spezielle Behandlung. Bei der Auflösung eines DNS-Namens vergleicht der DNS-Clientserver den angeforderten Namen mit jeder Regel in der NRPT, bevor eine DNS-Namensabfrage gestellt wird. Auf die Abfragen und Antworten, die mit einer NRPT-Regel übereinstimmen, wird die angegebene spezielle Behandlung angewendet. Fragen und Antworten, die nicht mit einer NRPT-Regel übereinstimmen, werden normal bearbeitet. Dies bedeutet, dass der DNS-Clientdienst die Namensabfragen an schnittstellenkonfigurierte DNS-Server sendet.

In Windows 7 und Windows Server 2008 R2 erfordern DirectAccess und DNS Security Extensions (DNSSEC) eine spezielle Behandlung der DNS-Namensabfragen. Sind Direct Access-Clients an das Internet angeschlossen, senden sie DNS-Abfragen nach Intranetressourcen an die in der NRPT angegebenen DNS-Server. Bei der Auflösung bestimmter Namen oder Namen in bestimmten Namespaces, bei denen es sich gewöhnlich um hochwertige und sichere Intranetressourcen handelt, kann der DNS-Clientdienst DNSSEC verwenden, um sicherzustellen, dass der aufgelöste Name vom DNS-Server bestätigt worden ist.

Konfigurieren der NRPT

Sie können die NRPT mit Gruppenrichtlinien über die Windows Registry (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig) konfigurieren oder für DirectAccess-basierte Regeln mithilfe des Setup-Assistenten für DirectAccess. Es gibt keine Befehlszeilenschnittstellen für die Konfiguration der NRPT. Für DNSSEC-basierte Regeln sind Gruppenrichtlinien die bevorzugte Konfigurationsmethode. Für DirectAccess-basierte Regeln ist der Setup-Assistent für DirectAccess die bevorzugte Konfigurationsmethode.

Um die NRPT durch die Gruppenrichtlinien zu konfigurieren, verwenden Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Namenauflösungsrichtlinie das Gruppenrichtlinien-Add-In für das entsprechende Gruppenrichtlinienobjekt. Abbildung 1 zeigt ein Beispiel dafür.

Abbildung 1  Die NRPT in der Gruppenrichtlinie

Sie können von diesem Gruppenrichtlinien-Add-In eine neue NRPT-Regel erstellen oder vorhandene Regeln ändern oder löschen. Sie müssen für jede Regel den Namespace-Bereich, für den sie zutrifft, angeben und zwar unabhängig davon, ob die spezielle Behandlung der Regel mit einer bestimmten Zertifizierungsstelle verbunden ist, ob die Regel für DNSSEC und die zugehörigen Einstellungen bestimmt ist oder ob die Regel für DirectAccess und die zugehörigen Eintellungen bestimmt ist. Es gibt darüber hinaus erweiterte globale Einstellungen, die auf alle Windows 7- und Windows Server 2008 R2-basierte DNS-Clients Anwendung finden.

Sie können bei der Angabe des Namespace, auf den eine Regel Anwendung findet, Folgendes angeben: Suffix, FQDN, Subnet (IPv4), Subnet (IPv6), Präfix oder Alle. Zur Angabe von DNS-Namen, die in einer bestimmten mehrteiligen Zeichenfolge enden, wählen Sie Suffix aus, und geben Sie den Suffixnamen ein. Wählen Sie beispielsweise für alle DNS-Namen, die in contoso.com enden, Suffix aus, und geben Sie contoso.com ein. Zur Angabe von DNS-Namen, die mit einer bestimmten einteiligen Zeichenfolge enden, wählen Sie Präfix aus, und geben Sie den Präfixnamen ein. Wählen Sie beispielsweise für alle DNS-Namen, die mit „secsvr“ beginnen, Präfix aus, und geben Sie secsvr ein.

Um alle DNS-Namen anzugeben, wählen Sie Alle aus. Eine DirectAccess-basierte NRPT-Regel für Alle wird nur verwendet, wenn die Einstellung Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Gesamten Datenverkehr über das interne Netzwerk weiterleiten der Gruppenrichtlinie für DirectAccess-Force-Tunneling aktiviert ist. Stimmt ein Name mit mehreren Regeln überein, wird die Regel mit der höchsten Priorität angewendet, wobei die Prioritätenreihenfolge folgendermaßen ist: FQDN, Präfix, Suffix und dann Alle.

Wählen Sie zur Angabe von DNS-Namen für die Reverseauflösung für ein IPv4-Subnet Subnet (IPv4) aus, und geben Sie das IPv4-Subnetpräfix anhand der Netzwerkpräfixlängennotation ein. Wählen Sie beispielsweise für alle DNS-Namen, die in 17.168.192.in-addr.arpa enden, Subnet (IPv4) aus, und geben Sie 192.168.17.0/24 ein. Wählen Sie zur Angabe von DNS-Namen für die Reverseauflösung für ein IPv6-Subnet Subnet (IPv6) aus, und geben Sie das IPv6-Subnetpräfix ein. Wählen Sie beispielsweise für alle DNS-Namen, die in 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa enden, Subnet (IPv6) aus, und geben Sie 2001:db8:0:1::/64 ein.

Wenn Sie DNSSEC für eine Regel aktivieren, können Sie angeben, ob der DNS-Clientdienst sicherstellen muss, dass der angefragte Name vom DNS-Server geprüft wird und ob Sie die Internetprotokollsicherheit (IPsec) zum Schutz der DNS-Namensabfragen verwenden wollen. Für den IPsec-Schutz können Sie Keine Verschlüsselung (Nur Integrität), Niedrig: 3DES, AES (128, 192, 256), Mittel: AES (128, 192, 256) und Hoch: AES (192, 256) auswählen. DES ist der Data Encryption Standard (Datenverschlüsselungsstandard), und AES ist der Advanced Encryption Standard (erweiterter Verschlüsselungsstandard).

Wird DirectAccess für eine Regel aktiviert, können Sie die IPv6-Adressen von den Intranet-DNS-Servern angeben, um die Namen für DirectAccess-Clients aufzulösen, wenn diese im Internet sind, und zwar unabhängig davon, ob Sie einen Webproxy oder IPsec zum Schutz der DNS-Namensanfragen verwenden möchten. Sie können den gleichen Satz von Optionen für den IPsec-Schutz verwenden.

Sie können den konfigurierten Satz von NRPT-Regeln auf einem Computer unter Windows 7 oder Windows Server 2008 R2 anhand des Befehls netsh namespace show policy anzeigen. Sie können den aktiven Satz von NRPT-Regeln anhand des Befehls netsh namespace show effectivepolicy anzeigen.

Erweiterte globale Richtlinieneinstellungen

Wenn Sie auf Advanced Global Policy Settings (Erweiterte globale Richtlinieneinstellungen) klicken, zeigt das NRPT-Gruppenrichtlinien-Add-In das Standarddialogfeld Configure Advanced Global Policy Settings (Erweiterte globale Richtlinieneinstellungen konfigurieren) an. Abbildung 2 zeigt ein Beispiel dafür.

Abbildung 2 Das Dialogfeld „Configure Advanced Global Policy Settings“

In Network Location Dependency können Sie DirectAccess-Clients so konfigurieren, dass sie den Netzwerkadressenserver und die Intraneterkennung verwenden, um zu bestimmen, dass immer DirectAccess-basierte NRPT-Regeln verwendet werden oder dass DirectAccess-basierte NRPT-Regeln niemals verwendet werden, wenn sie mit dem Internet verbunden sind.

In Query Failure (Abfragefehler) können Sie die Abfragefehleroptionen aktivieren und anschließend Folgendes entscheiden: ob die lokale Namensauflösung (Link-Local Multicast Name Resolution [LLMNR] und NetBios-Broadcasts) nur dann verwendet werden soll, wenn die Antwort zur DNS-Namensabfrage darauf hinweist, dass der Name nicht existiert, ob die lokale Namensauflösung verwendet werden soll, wenn der Name nicht existiert oder die DNS-Server in einem Netzwerk mit privaten IPv4-Adressen nicht erreichbar sind, oder ob die lokale Namensauflösung bei allen Arten von Lösungsversagen oder -fehlern verwendet werden soll.

In Query Resolution (Abfrageauflösung) können Sie Abfrageauflösungsoptionen aktivieren und angeben, ob Namen in IPv6-Adressen oder sowohl in IPv6- als auch in IPv4-Adressen aufgelöst werden sollen.

Verwenden Sie zur Anzeige der aktuellen Konfiguration dieser Einstellungen den Befehl netsh dns show state.

NRPT-Ausnahmen

Um die Anzahl der NRPT-Regeln zu verringern, sollten Sie Namespaces angeben, die den relevanten Namespace so weit wie möglich umfassen. Es kann jedoch auch angeben werden, dass individuelle Namen oder Namespaces innerhalb dieser Namespaces von der speziellen Behandlung ausgeschlossen sind. In diesen Fällen müssen Sie eine NRPT-Ausnahme konfigurieren. Sie möchten beispielsweise DNSSEC für alle DNS-Namen innerhalb des Namespace secure.corp.contoso.com mit Ausnahme des DNS-Namens waystation.secure.corp.contoso.com verwenden.

Eine NRPT-Ausnahme ist eine Regel, die keine spezielle Behandlung festlegt. Im Falle von DNSSEC wird DNSSEC von dieser Regel aktiviert, es ist jedoch weder eine Bestätigung noch der IPsec-Schutz erforderlich. Im Falle von DirectAccess wird DirectAccess von dieser Regel aktiviert, es werden jedoch weder Intranet-DNS-Server, noch ein Webproxy noch der IPsec-Schutz angegeben. DNS-Namen für NRPT-Ausnahmeregeln werden mithilfe von schnittstellenkonfigurierten DNS-Servern bearbeitet.

Ein Beispiel einer erforderlichen NRPT-Ausnahme ist die FQDN-Regel für die DirectAccess-Netzwerkadressenserver, die von DirectAccess-Clients verwendet werden, um zu bestimmen, ob sie mit dem Intranet verbunden sind. Um DNS-Namensabfragen an Intranetserver zu senden, hat die NRPT für DirectAccess-Clients eine Suffixregel für den Namespace des Intranets (z. B. corp.contoso.com) mit den IPv6-Adressen der Intranet-DNS-Server. Der Netzwerkadressenserver ist gewöhnlich im gleichen Namespace zu finden (z. B. nls.corp.contoso.com). Abhängig von Ihrer IPv6-Infrastruktur können die Intranet-DNS-Server unter Umständen nicht an den angegebenen IPv6-Adressen erreichbar sein; sie sind jedoch unter den schnittstellenkonfigurierten IPv4-Adressen erreichbar.

Ohne Ausnahmeregel versucht der mit dem Intranet verbundene DirectAccess-Client den Namen des Netzwerkadressenservers über IPv6 aufzulösen. Da die Intranet-DNS-Server jedoch nicht erreichbar sind, kann der Direct Access-Client den Netzwerkadressenserver nicht erreichen und geht deshalb davon aus, mit dem Internet anstelle des Intranets verbunden zu sein. In diesem Zustand kann der DirectAccess-Client keine Intranetressourcen nach Namen erreichen. Aus dem Grund muss eine Ausnahmeregel für den Netzwerkadressenserver (nls.corp.contoso.com) vorhanden sein, sodass die Intraneterkennung erfolgreich durchgeführt werden kann. Der Setup-Assistent für DirectAccess erstellt automatisch NRPT-Regeln für Intranetnamespaces und die Ausnahme für den Netzwerkadressenserver.

Funktionsweise der NRPT

Der Namensauflösungsprozess verläuft bei Windows 7 und Windows Server 2008 R2 folgendermaßen:

1. Eine Anwendung verwendet zur Namensauflösung die DnsQuery()-API oder die GetAddrInfo()- oder GetHostByName()-Windows Sockets APIs. Handelt es sich bei dem Namen um einen flachen Namen, erstellt der DNS-Clientdienst einen FQDN anhand der konfigurierten DNS-Suffixe.
2. Der DNS-Clientdienst prüft den DNS-Auflösungscache für den FQDN, der die Einträge in der Hosts-Datei wie auch die Ergebnisse der zuletzt durchgeführten positiven und negativen Namensabfragen enthält. Wird ein Eintrag gefunden, wird das Ergebnis verwendet, und es findet keine weitere Bearbeitung statt.
3. Der DNS-Clientdienst sendet den FQDN durch die NRPT, um die Regeln zu bestimmen, bei denen der FQDN mit dem Namespace der Regel übereinstimmt.
4. Stimmt der FQDN mit keiner Regel oder nur mit einer Ausnahmeregel überein, versucht der DNS-Clientdienst den FQDN anhand der schnittstellenkonfigurierten DNS-Server aufzulösen.
5. Stimmt der FQDN mit einer einzigen Regel überein, bei der es sich nicht um eine Ausnahmeregel handelt, wendet der DNS-Clientdienst die angegebene spezielle Behandlung an.
6. Stimmt der FQDN mit mehreren Regeln überein, sortiert der DNS-Clientdienst die übereinstimmenden Regeln in der folgenden Reihenfolge nach Priorität: FQDN, längstes übereinstimmendes Präfix, längstes übereinstimmendes Suffix (einschließlich IPv4- und IPv6-Subnets), Alle – um die Regel zu bestimmen, die am besten auf den FQDN zutrifft.
7. Nachdem die Regel mit der besten Übereinstimmung bestimmt worden ist, wendet der DNS-Clientdienst die angegebene spezielle Behandlung an.

Zusammenfassung

Die NRPT in Windows 7 und Windows Server 2008 R2 ermöglicht es Ihnen, spezielle Behandlungen für DNS-Namensabfragen in Form von Regeln festzulegen, die für DNSSEC und DirectAccess erforderlich sind. Hierbei können Namespaces, Präfixe, FQDNs und Ausnahmen angegeben werden.

Am Rande: Beispiel: NRPT-Regeln für DirectAccess

Die Contoso Corporation verwendet den DNS-Namespace contoso.com für Internet-DNS-Namen und corp.contoso.com für Intranet-DNS-Namen. Die URL (Uniform Resource Locator) des Netzwerkadressenservers lautet , und der DirectAccess-Server wurde mit der DNS-Server-IPv4-Adresse 10.0.0.1 auf seiner Intranetschnittstelle konfiguriert. Basierend auf dieser Konfiguration erstellt der Setup-Assistent für DirectAccess zwei NRPT-Regeln, die für DirectAccess aktiviert sind:

1. Eine Suffixregel für .corp.contoso.com, um DNS-Anfragen an die IPv6-Adresse 2002:836b:2:1:0:5efe:10.0.0.1 zu senden. Hierbei handelt es sich um eine IPv6-Adresse, die von der öffentlichen IPv4-Adresse des DirectAccess-Servers und der IPv4-Adresse des DNS-Servers abgeleitet wurde.
2. Eine Ausnahmeregel für nls.corp.contoso.com.

Im folgenden Beispiel wird gezeigt, wie diese beiden Regeln auf einem DirectAccess-Client mit dem Befehl netsh namespace show policy angezeigt werden:

DNS Name Resolution Policy Table SettingsSettings for nls.corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              :DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxySettings for .corp.contoso.com----------------------------------------------------------------------Certification authority                 : DC=com, DC=contoso, DC=corp,                                          CN=corp-DC1-CADNSSEC (Validation)                     : disabledDNSSEC (IPsec)                          : disabledDirectAccess (DNS Servers)              : 2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec)                    : disabledDirectAccess (Proxy Settings)           : Bypass proxy 

Joseph Davies ist Principal Technical Writer im Autorenteam für Windows-Netzwerke bei Microsoft. Er ist Autor oder Koautor einer Reihe von Büchern, die von Microsoft Press veröffentlicht wurden, darunter Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition und Windows Server 2008 TCP/IP Protocols and Services*.*

Verwandter Inhalt

• The Cable Guy: NAP im Internet
• The Cable Guy: Support für IPv6 in Windows Server 2008 R2 und Windows 7
• The Cable Guy: DirectAccess und das Thin-Edge-Netzwerk