Active Directory-DNS & Namensauflösung

1. Warum DNS im Active Directory unverzichtbar ist

Active Directory basiert auf dem Domain Name System (DNS).
Ohne DNS kann kein Computer im Netzwerk einen Domänencontroller finden oder sich anmelden.

DNS übersetzt Namen in IP-Adressen (z. B. dc01.firma.local → 10.10.10.10),
aber im Active Directory übernimmt es noch mehr Aufgaben:
Es enthält auch spezielle Einträge, mit denen Clients automatisch erkennen,
welcher Server im Netzwerk welche Dienste anbietet.

Ein funktionierendes DNS ist daher die Grundvoraussetzung,
damit Anmeldungen, Gruppenrichtlinien oder Replikationen funktionieren.

2. Wie ein Client den Domänencontroller findet

Wenn ein Client sich in der Domäne anmeldet, läuft im Hintergrund dieser Ablauf:

Schritt	Vorgang	Erklärung
1	Der Client weiß, dass er zur Domäne `firma.local` gehört.	Dieser Name wird in der Systemsteuerung bzw. in der Computerkonfiguration gespeichert.
2	Er fragt beim DNS-Server nach dem Eintrag `_ldap._tcp.dc._msdcs.firma.local`.	Der Client sucht damit den Server, der den Verzeichnisdienst (LDAP) bereitstellt.
3	DNS antwortet mit einem SRV-Record, z. B. `dc01.firma.local` auf Port 389.	SRV steht für Service Record – ein spezieller DNS-Eintrag, der auf Dienst-Endpunkte verweist.
4	Der Client verbindet sich mit diesem Server über LDAP (Lightweight Directory Access Protocol).	LDAP ist das Protokoll, mit dem AD-Daten wie Benutzer, Gruppen und OUs abgefragt werden.
5	Die eigentliche Anmeldung erfolgt über Kerberos oder als Fallback über NTLM.	Kerberos arbeitet mit Ticket-System, NTLM ist älter und unsicherer.

Der gesamte Ablauf passiert innerhalb weniger Millisekunden –
vorausgesetzt, der Client nutzt den richtigen (internen) DNS-Server.

3. Aufbau des DNS im Active Directory

Bei der Installation eines Domänencontrollers wird automatisch eine passende DNS-Zone angelegt.
Sie enthält sowohl Standard-Einträge als auch spezielle SRV-Records für AD-Dienste.

Zonename	Zweck	Beispiel
`firma.local`	Standard-Zone für normale Namensauflösung	`dc01.firma.local → 10.10.10.10`
`_msdcs.firma.local`	Enthält SRV-Records für AD-Dienste (LDAP, Kerberos, GC)	`_ldap._tcp.dc._msdcs.firma.local`
Reverse-Zone	Wandelt IP-Adressen zurück in Namen	`10.10.10.10 → dc01.firma.local`

Diese Zonen sind AD-integriert, das heißt:
Sie werden automatisch mit dem Active Directory repliziert.
Jeder Domänencontroller kennt also dieselben DNS-Einträge.

4. Dynamische DNS-Einträge

Windows-Clients tragen sich selbstständig in DNS ein,
wenn sie Mitglied einer Domäne sind oder sich neu verbinden.

Das geschieht über den Befehl:

ipconfig /registerdns

Dadurch erzeugt der Client automatisch einen A-Record (Hostname → IP).
Ändert sich seine Adresse, wird der Eintrag aktualisiert.
So bleibt das DNS auch in Umgebungen mit DHCP immer aktuell.

5. Praxisbeispiel

Ein PC im Standort Konstanz startet.
Seine IP lautet 10.20.10.50, DNS-Server ist 10.20.10.10.
Der Benutzer meldet sich an der Domäne firma.local an.

Der Client fragt:
_ldap._tcp.dc._msdcs.firma.local
DNS antwortet:
_ldap._tcp.dc._msdcs.firma.local SRV 0 100 389 dc02.firma.local.
Der Client verbindet sich mit dc02.firma.local über Port 389 (LDAP).
Der DC authentifiziert den Benutzer über Kerberos.

Falls der Benutzer sich in Stuttgart befindet, liefert DNS stattdessen dc01.firma.local.
So sorgt DNS dafür, dass jeder Standort „seinen“ Domänencontroller verwendet.

6. Häufige Fehlerquellen und ihre Behebung

Problem	Ursache	Lösung
Anmeldung dauert sehr lange	Client nutzt externen DNS (z. B. 8.8.8.8)	Nur internen AD-DNS in der Netzwerkkonfiguration eintragen.
DC wird nicht gefunden	SRV-Records fehlen oder fehlerhaft	`ipconfig /registerdns` ausführen, `dcdiag /test:dns` prüfen.
Namensauflösung schlägt fehl	Kein Eintrag oder Tippfehler	Mit `nslookup` prüfen.
Reverse-Zone fehlt	Rückwärtseintrag existiert nicht	Reverse Lookup Zone anlegen.
Mehrere Standorte, aber falscher DC	Sites und Subnetze nicht definiert	In „Active Directory-Standorte und -Dienste“ Subnetze zuordnen.

7. DNS-Abfragen in der Praxis

Diese Befehle helfen dir, DNS-Probleme im AD zu prüfen:

nslookup dc01.firma.local
nslookup -type=SRV _ldap._tcp.dc._msdcs.firma.local
ipconfig /displaydns
ipconfig /registerdns

PowerShell (Server-seitig):

Get-DnsServerResourceRecord -ZoneName "firma.local" -RRType SRV

8. Visualisierung: DNS-Anmeldung im AD

Wie ein Client den Domänencontroller über DNS findet

Client
Startet Anmeldung und kennt nur den Domänennamen firma.local.

DNS-Abfrage
Client fragt: „Wer bietet LDAP für firma.local?“

DNS-Server
Liefert SRV-Record für dc01.firma.local (Port 389).

Domänencontroller
Nimmt Verbindung über LDAP an und prüft Benutzer.

Kerberos
Erstellt Ticket, damit der Benutzer auf Netzwerkressourcen zugreifen kann.

Der Client nutzt DNS-SRV-Einträge, um den Domänencontroller zu finden, baut dann per LDAP eine Verbindung auf und authentifiziert sich über Kerberos.

9. Zusammenfassung

Thema	Kernaussage
DNS im AD	Active Directory nutzt DNS nicht nur für Namensauflösung, sondern auch, um Dienste wie LDAP oder Kerberos zu finden.
SRV-Records	Spezielle Einträge, über die Clients automatisch den passenden Domänencontroller finden.
Zonen	Forward-, Reverse- und `_msdcs`-Zonen werden bei der AD-Installation automatisch angelegt.
Nur interner DNS	Clients müssen immer den internen AD-DNS-Server nutzen, nie öffentliche Server.
Fehlerbehebung	`nslookup`, `ipconfig /registerdns`, `dcdiag /test:dns` helfen bei der Analyse.