1.2 DNS-zones en -records maken en configureren

Hoewel DNS is gebaseerd op het concept van domeinen en subdomeinen, slaat u informatie over deze domeinen en subdomeinen en de relatie daartussen op in DNS-zones. U kunt een DNS-zone beschouwen als een of meer domeinen en subdomeinen van uw DNS-infrastructuur.

De domeinen Adatum.com en sales.adatum.com kunnen bijvoorbeeld beide zijn opgeslagen in een DNS-zone met de naam Adatum.com, of sales.adatum.com kan worden opgeslagen in een gedelegeerde zone met de naam sales.adatum.com, terwijl de bovenliggende domein, Adatum.com, wordt opgeslagen in een eigen zone.

U kunt de zone opslaan in bestanden op de DNS-server of in de Active Directory Domain Services (AD DS)-database. Het is belangrijk dat u weet hoe en wanneer u primaire en secundaire zones, gedelegeerde zones, AD DS-geïntegreerde zones en stub-zones moet maken.

1.2.1 Overzicht van DNS-zones

Zones worden door DNS-servers gebruikt om DNS-query’s van clients op te lossen. Gewoonlijk voeren clients forward lookup-query’s uit waarbij een hostnaam moet worden omgezet in het corresponderende Internet Protocol Version 4 (IPv4) of Internet Protocol Version 6 (IPv6)-adres. Forward lookup-query’s worden opgelost door te verwijzen naar forward lookup-zones.

Forward lookup-zones bevatten een verscheidenheid aan DNS-recordtypes (besproken in de volgende sectie):

Minder vaak vraagt een DNS-client een DNS-server naar de naam van een host wanneer deze het IPv4- of IPv6-adres van de host heeft. Dit wordt een reverse lookup genoemd en wordt voldaan door te verwijzen naar een reverse lookup-zone. Omgekeerde opzoekzones bevatten aanwijzerrecords (PTR).

Voordat u uw zone aanmaakt, moet u eerst bepalen of de zone een zone voor voorwaartse of achterwaartse opzoeking is. Vervolgens moet u bepalen of de zone primair, secundair of AD DS-geïntegreerd is. Strikt genomen is het niet de zone die primair of secundair is. In plaats daarvan is het de lokale kopie van de zone die primair of secundair is. Met andere woorden, om een secundaire zone voor Adatum.com te hebben, moet er al een primaire zone voor Adatum.com bestaan op een andere DNS-server waarvan de secundaire zone de zonegegevens kan verkrijgen.

Wanneer u de DNS-serverrol voor het eerst implementeert in Windows Server 2016, bevat het DNS Manager-consolenavigatievenster het serverknooppunt en daaronder knooppunten voor Forward Lookup Zones, Reverse Lookup Zones, Trust Points en Conditional Forwarders. Deze knooppunten zijn allemaal leeg totdat u zones begint te maken op de DNS-server.

1.2.2 DNS-zones configureren

Windows Server 2016 ondersteunt een aantal verschillende zonetypen. Deze omvatten primaire zones, secundaire zones en geïntegreerde Active Directory-zones. Het is belangrijk dat u weet hoe u deze verschillende soorten zones kunt maken en configureren.

1.2.2.1 Primaire zones maken

Een primaire zone is een beschrijfbare kopie van een DNS-zone die bestaat op een DNS-server. Gebruik de volgende procedure om een primaire zone te maken in de DNS Manager-console:

  1. Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
  2. Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
  3. Selecteer op de pagina Zonetype Primaire zone, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  4. Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam. Typ bijvoorbeeld Contoso.com. Klik volgende.
  5. Op de pagina Zonebestand:
    1. Als u een DNS-zonebestand hebt waarmee u uw zone kunt vullen (bijvoorbeeld van een andere DNS-server), klikt u op Dit bestaande bestand gebruiken, geeft u het pad naar het bestand op en klikt u vervolgens op Volgende.
    2. Als u geen bestaand zonebestand hebt, klikt u op Een nieuw bestand maken met deze bestandsnaam en vervolgens op Volgende. De volgende afbeelding toont de bestandsnaam die automatisch wordt aangemaakt wanneer u deze optie kiest.
  6. Kies op de pagina Dynamische update, weergegeven in de volgende afbeelding, een van de volgende opties en klik vervolgens op Volgende:
    1. Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory) – Met deze optie kunnen clients die dynamische DNS ondersteunen, hun records in de DNS-zone bijwerken, bijvoorbeeld wanneer een clientcomputer een ander IPv4-adres verkrijgt van een DHCP-server (Dynamic Host Configuration Protocol). Deze optie vereist dat elk DNS-record een eigenaar heeft: de entiteit die het oorspronkelijke record heeft geregistreerd. Alleen de eigenaar kan het record bijwerken, wat u helpt uw DNS-records te beveiligen. Deze optie is alleen beschikbaar als u een AD DS-geïntegreerde zone aanmaakt.
    2. Sta zowel niet-beveiligde als beveiligde dynamische updates toe – Met deze optie kunnen clients die dynamische DNS ondersteunen ook hun records in de DNS-zone bijwerken. Het ondersteunt ook niet-beveiligde dynamische updates.
    3. Dynamische updates niet toestaan – Kies deze optie als u alle DNS-records handmatig wilt bijhouden.
  7. Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.

Nadat u uw primaire zone hebt gemaakt, kunt u de oorspronkelijke inhoud van de zone bekijken met behulp van de DNS Manager-console, zoals weergegeven in de volgende afbeelding. Het bevat het Start of Authority (SOA) record en een Name Server (NS) record. Deze twee records bepalen welke computer(s) verantwoordelijk of gezaghebbend zijn voor de zone.

U kunt ook een primaire zone toevoegen met behulp van de Add-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld hetzelfde proces als in het voorgaande voorbeeld wilt voltooien met behulp van Windows PowerShell, voert u de volgende opdracht uit:

Add-DnsServerPrimaryZone -Name "Contoso.com" -ZoneFile "Contoso.com.dns" -DynamicUpdate None

Nadat u de primire zone hebt gemaakt, kunt u deze opnieuw configureren vanuit de DNS Manager-console door met de rechtermuisknop op de zone in het navigatievenster te klikken en op Eigenschappen te klikken. U kunt vervolgens de volgende eigenschappen configureren op elk van de volgende tabbladen:

  • Algemeen – U kunt het zonetype, de naam van het zonebestand, de instelling voor dynamische updates wijzigen en veroudering en opruiming configureren.
  • Start of Authority (SOA) – Getoond in de volgende afbeelding, kunt u het SOA-record opnieuw configureren. Dit omvat de Fully Qualified Domain Name (FQDN) van de primaire server, de contactgegevens van de verantwoordelijke persoon en de intervallen voor vernieuwen, opnieuw proberen en verlopen. Deze intervallen bepalen:
    • Vernieuwingsinterval – De frequentie waarmee andere DNS-servers die de zone hosten, de zonegegevens moeten vernieuwen.
    • Interval – voor opnieuw proberen Het interval waarmee andere DNS-servers een vernieuwingsbewerking opnieuw proberen.
    • Verloopt na – De tijdsduur na het niet vernieuwen van zonegegevens waarbij andere DNS-servers aannemen dat de zonegegevens zijn verlopen.

Het tabblad Start of Authority (SOA) bevat ook de Minimum (Default) TTL-waarde. Dit is de waarde die bepaalt hoe lang records in deze zone in de cache kunnen worden opgeslagen door andere recursieve DNS-servers.

  • Naamservers – Gebruik dit tabblad om de naam en IP-adressen van andere DNS-servers die deze zone hosten toe te voegen, te verwijderen of te bewerken.
  • Zoneoverdrachten – Gebruik dit tabblad om te configureren hoe de zonegegevens worden overgedragen naar andere naamservers die kopieën van de zone hosten.
  • WINS – Gebruik dit tabblad om Windows Internet Name Service (WINS) en DNS-integratie te configureren. WINS ondersteunt de resolutie van NetBIOS-namen. Tegenwoordig minder relevant, gebruiken NetBIOS-namen een niet-hiërarchische structuur op basis van een naam van 16 tekens. Als u de optie WINS Forward Lookup gebruiken inschakelt, kan de DNS-server reageren op verzoeken om NetBIOS-namen zonder dat de clientcomputer rechtstreeks een verzoekschrift moet indienen bij een WINS-server.

U kunt de zone-eigenschappen configureren met behulp van de Set-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld de instellingen voor de dynamische update van de primaire zone van Contoso.com wilt wijzigen met Windows PowerShell, voert u de volgende opdracht uit:

Set-DnsServerPrimaryZone -Naam "Contoso.com" -DynamicUpdate "NonsecureAndSecure"

1.2.2.2 Secundaire zones maken en configureren

Het maken van een secundaire zone is een ander proces dan een primaire zone. Dit komt omdat een secundaire zone een alleen-lezen kopie van een zone host, die het van een andere DNS-server verkrijgt.

Om een secundaire zone te maken, moet u de naam van de zone kennen en de naam en het IP-adres hebben van een DNS-server die een kopie van de zone host.

Examentip

De naamserver die u opgeeft als bron voor een secundaire zone hoeft geen primaire kopie van de zone te hosten. U kunt een secundaire zoneserver naar een andere secundaire zoneserver verwijzen. Er moet echter ergens een primaire kopie van de zone bestaan.

U kunt de DNS Manager-console gebruiken om een secundaire zone te maken. Gebruik hiervoor de volgende procedure:

  1. Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
  2. Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
  3. Selecteer op de pagina Zonetype de optie Secundaire zone en klik vervolgens op Volgende.
  4. Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam en klik op Volgende.
  5. Typ op de pagina Hoofd-DNS-servers in de lijst Hoofdservers het FQDN- of IP-adres van de server die een kopie van de zone host, druk op Enter en klik vervolgens op Volgende, zoals weergegeven in de volgende afbeelding.
  6. Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.

Nadat u de secundaire zone hebt toegevoegd, moet u de hoofd-DNS-server configureren die u hebt opgegeven. Dit is om zoneoverdrachten naar uw secundaire server mogelijk te maken. Om deze stap uit te voeren, schakelt u over naar de DNS Manager-console op de masterserver en voert u de volgende procedure uit:

  1. Klik met de rechtermuisknop op de juiste zone en klik vervolgens op Eigenschappen.
  2. Klik op het tabblad Naamservers in de lijst Naamservers op Toevoegen om de FQDN en het IP-adres op te geven van de DNS-server die de secundaire kopie van de zone host, zoals weergegeven in de volgende afbeelding. Klik OK.
  3. Klik op het tabblad Zoneoverdrachten.
  4. Schakel het selectievakje Zoneoverdrachten toestaan in. Kies vervolgens, zoals weergegeven in de volgende afbeelding, een van de volgende opties:
    1. Naar elke server.
    2. Alleen voor servers die worden vermeld op het tabblad Naamservers.
    3. Alleen naar de volgende servers (Als u deze optie kiest, moet u op Bewerken klikken om de lijst met naamservers op te geven die u wilt toestaan).
  5. Klik op Notify.
  6. Selecteer in het dialoogvenster Melden de Servers vermeld op het tabblad Naamservers of klik op De volgende servers en typ vervolgens de IP-adressen van de secundaire naamservers die u op de hoogte wilt stellen.
  7. Klik tweemaal op OK om de configuratie te voltooien. Schakel vervolgens terug naar de DNS Manager-console op de server die de secundaire zone host. U zou moeten zien dat de DNS-records in de secundaire zone worden ingevuld. Als dit niet onmiddellijk gebeurt, klikt u met de rechtermuisknop op de secundaire zone en klikt u vervolgens op Overdragen van master.

U kunt de Add-DnsServerSecondaryZone Windows PowerShell-cmdlet gebruiken om een secundaire zone te maken. Met de volgende opdracht wordt bijvoorbeeld een secundaire zone gemaakt voor de zone Adatum.com:

Add-DnsServerSecondaryZone -Naam "Adatum.com" -ZoneFile "Adatum.com.dns" -MasterServers 172.16.0.10

1.2.2.3 Delegatie configureren

DNS-delegatie is wanneer een DNS-server autoriteit over een deel van zijn naamruimte delegeert aan een of meer andere DNS-servers. Adatum.com en sales.adatum.com kunnen bijvoorbeeld worden gehost in dezelfde zone, Adatum.com, waarbij sales.adatum.com slechts een subdomeinrecord is. In dit geval zijn de gezaghebbende DNS-servers voor Adatum.com en sales.adatum.com hetzelfde. Het is niet nodig dat de DNS-servers in Adatum.com recursieve DNS-servers naar een ander domein verwijzen.

U kunt ook een aparte zone maken voor zowel Adatum.com als sales.adatum.com, elk met hun eigen DNS-servers. Omdat het ene domein, sales.adatum.com, een onderliggend domein is van een ander domein, Adatum.com, moet er een methode bestaan om de gezaghebbende naamservers voor het subdomein te lokaliseren. Deze methode wordt delegatie genoemd en is in wezen een verwijzing naar de gezaghebbende naamservers voor een subdomein.

In de volgende afbeelding zie je twee DNS-zones: Adatum.com, die een subdomein bevat, marketing.adatum.com, en een tweede zone, sales.adatum.com, die één domein bevat, sales.adatum.com .

Houd rekening met het volgende wanneer u bepaalt of u een subdomein wilt delegeren:

  • Uw DNS-zones groot zijn en met delegatie kunt u de zone in kleinere stukken verdelen binnen uw organisatie.
  • Organisatorische veranderingen, zoals fusies en overnames, betekenen dat u extra subdomeinen moet beheren.
  • U een gedistribueerde beheerstructuur heeft en wilt dat verschillende afdelingen of locaties verantwoordelijk zijn voor het beheer van hun eigen DNS-naamruimten.

Voer de volgende procedure uit om een DNS-delegering te maken in de DNS Manager-console:

  1. Klik met de rechtermuisknop op de bovenliggende zone. Klik bijvoorbeeld met de rechtermuisknop op Adatum.com en klik vervolgens op Nieuwe delegatie. De wizard Nieuwe delegatie wordt gestart.
  2. Klik in de wizard Nieuwe delegatie op de welkomstpagina op Volgende.
  3. Typ op de pagina Gedelegeerde domeinnaam, zoals weergegeven in de volgende afbeelding, in het vak Gedelegeerd domein de naam van het subdomein. Typ bijvoorbeeld Verkoop. Het achtervoegsel wordt automatisch toegevoegd. Klik volgende.
  4. Klik op de pagina Naamservers op Toevoegen.
  5. Typ in het dialoogvenster Nieuwe naamserverrecord in het vak Server Fully Qualified Domain name (FQDN) de naam van de DNS-server die als host fungeert voor de nieuwe gedelegeerde zone, klik op Oplossen en klik vervolgens op OK.
  6. Klik op de pagina Naamservers op Volgende en klik vervolgens op Voltooien.

U kunt de Add-DnsServerZoneDelegation Windows PowerShell-cmdlet gebruiken om een gedelegeerde zone in een bestaande zone te maken. De volgende opdracht maakt bijvoorbeeld de gedelegeerde zone sales.adatum.com in de bestaande Adatum.com-zone:

Add-DnsServerZoneDelegation -Naam "Adatum.com" -ChildZoneName "Sales" -NameServer "ns1.Sales.Adatum.com" -IPAddress 172.16.0.136

Nadat u de overdracht hebt voltooid, moet u, indien nodig, DNS installeren op de naamserver die u in de wizard hebt opgegeven en de gedelegeerde zone maken, in dit geval sales.adatum.com.

1.2.2.4 Active Directory-integratie van primaire zones configureren

Traditionele DNS-zones zijn op bestanden gebaseerd en worden opgeslagen in het lokale bestandssysteem van de DNS-server. DNS-servers die de primaire kopie van een zone hosten, hebben een beschrijfbare versie van het DNS-zonebestand. Secundaire servers hebben alleen-lezen kopieën van het zonebestand; ze verkrijgen periodiek updates door een zoneoverdracht van hun geconfigureerde master te gebruiken, zoals je hebt gezien in Secundaire zones maken en configureren.

In een AD DS-omgeving hebt u de mogelijkheid om AD DS-geïntegreerde zones te maken. In deze situatie zijn alle kopieën van de zonegegevens beschrijfbaar. Bovendien worden de zonegegevens veilig opgeslagen in Active Directory en veilig gerepliceerd als onderdeel van de AD DS-database.

De voordelen van het gebuik van AD DS-geïntegreerde zones zijn:

  • Multimaster-updates – AD DS-geïntegreerde DNS-zones zijn multimaster en updates kunnen worden aangebracht in elke kopie van de zonegegevens. Dit zorgt voor redundantie in uw DNS-infrastructuur. Als uw organisatie dynamische updates in de DNS-zone implementeert, kunnen geografisch externe DNS-clients hun records bijwerken door verbinding te maken met de dichtstbijzijnde DNS-server.
  • Gerepliceerd met AD DS-replicatie – AD DS-replicatie is gebaseerd op kenmerkniveau. Dit betekent dat alleen gewijzigde kenmerken, in plaats van hele records, worden gerepliceerd. Dit betekent dat het volume van zonetransferverkeer kan worden verminderd.
  • Veilige dynamische updates – U kunt veilige dynamische updates implementeren in een AD DS-geïntegreerde zone. Dit wordt besproken in de volgende sectie.
  • Verbeterde beveiliging – U kunt het beheer van AD DS-geïntegreerde zone, domeinen en bronrecords delegeren met de AD DS-toegangscontrolelijst op objectniveau (ACL) voor de zone.

Examentip

Wanneer u een nieuwe domeincontroller in uw AD DS-forest promoveert, wordt de DNS-serverrol automatisch geïmplementeerd. Dit kan worden geconfigureerd op de pagina Opties voor domeincontroller van de Active Directory Domain Services-configuratiewizard.

Wanneer u zones maakt op een DNS-server die ook een domeincontroller is, heeft u de mogelijkheid om een AD DS-geïntegreerde zone te installeren. Gebruik de volgende procedure om een AD DS-geïntegreerde DNS-zone te maken:

  1. Open DNS Manager op uw domeincontroller.
  2. Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
  3. Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
  4. Selecteer op de pagina Zonetype Primaire zone, zoals weergegeven in de volgende afbeelding, selecteer het selectievakje De zone opslaan in Active Directory (alleen beschikbaar als de DNS-server een beschrijfbare domeincontroller is) en klik vervolgens op Volgende.
  5. Selecteer op de pagina Bereik replicatie van Active Directory, zoals weergegeven in de volgende afbeelding, de juiste optie voor zonereplicatie uit de volgende opties:
    1. Naar alle DNS-servers die worden uitgevoerd op domeincontrollers in dit forest – Met deze optie worden de zonegegevens gerepliceerd naar alle domeincontrollers die de DNS-serverrol in het forest uitvoeren.
    2. Naar alle DNS-servers die worden uitgevoerd op domeincontrollers in dit domein – Deze optie (de standaardinstelling) zorgt ervoor dat de zonegegevens worden gerepliceerd naar alle domeincontrollers met de DNS-serverrol in het huidige AD DS-domein.
    3. Naar alle domeincontrollers in dit domein (voor Windows 2000-compatibiliteit) – Deze optie biedt achterwaartse compatibiliteit met eerdere versies van Windows Server. Normaal gesproken zou u deze optie niet selecteren.
    4. Naar alle domeincontrollers die binnen het bereik van deze directorypartitie zijn gespecificeerd – Met directorypartities kunt u een AD DS-replicatiegrens maken die niet beperkt is tot alle domeincontrollers in het forest of het lokale domein. De optie is alleen beschikbaar als u een directorypartitie hebt gemaakt voordat u de DNS-zone configureert.
  6. Klik op Volgende.
  7. Typ op de pagina Zonenaam in het vak Zonenaam de zonenaam, bijvoorbeeld Contoso.com. Klik volgende.
  8. Kies op de pagina Dynamische update een van de volgende opties en klik vervolgens op Volgende.
    1. Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory)
    2. Sta zowel niet-beveiligde als beveiligde dynamische updates toe
    3. Geen dynamische updates toestaan
  9. Klik op de pagina De wizard Nieuwe zone voltooien op Voltooien.

U kunt ook een met AD DS geïntegreerde primaire zone maken met behulp van de Add-DnsServerPrimaryZone Windows PowerShell-cmdlet. Als u bijvoorbeeld hetzelfde proces als in het voorgaande voorbeeld wilt voltooien met behulp van Windows PowerShell, voert u de volgende opdracht uit:

Add-DnsServerPrimaryZone -Naam "Contoso.com" -ReplicationScope "Domein"

Op domeincontrollers kunnen bestaande standaard primaire zones worden geconverteerd naar AD DS-geïntegreerde zones. Klik in DNS Manager met de rechtermuisknop op de zone en klik vervolgens op Eigenschappen. Klik op de pagina Algemeen op Wijzigen en schakel vervolgens het selectievakje De zone opslaan in Active Directory (alleen beschikbaar als de DNS-server een beschrijfbare domeincontroller is) in. Klik tweemaal op OK.

1.2.2.5 Configureer veilige dynamische updates

Als u een met AD DS geïntegreerde primaire zone hebt geïmplementeerd, hebt u de mogelijkheid om beveiligde dynamische updates in te schakelen. Dynamische updates is een functie waarmee DNS-clients hun eigen DNS-records op hun geconfigureerde DNS-server kunnen bijwerken. Dit is met name handig wanneer een organisatie IP-configuratie toewijst aan netwerkclients met behulp van DHCP. Als een client een ander IP-adres verkrijgt van een DHCP-scope, kan deze deze wijziging automatisch registreren op DNS.

Met beveiligde dynamische updates wijst de DNS-server het eigendom toe aan de geregistreerde DNS-records, en alleen de eigenaar, de oorspronkelijke DNS-client, kan de records bijwerken. Om veilige dynamische updates in te schakelen, kunt u een van de volgende opties kiezen:

  • Selecteer de optie Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory) op de pagina Dynamische updates van de wizard Nieuwe zone wanneer u een met AD DS geïntegreerde primaire zone maakt.
  • Nadat u de met AD DS geïntegreerde primaire zone hebt gemaakt, klikt u in DNS Manager met de rechtermuisknop op de DNS-zone en klikt u vervolgens op Eigenschappen. Klik op de pagina Algemeen in de lijst Dynamische updates op Alleen beveiligen.
  • Nadat u de met AD DS geïntegreerde primaire zone in Windows PowerShell hebt gemaakt, gebruikt u de opdracht Set-DnsServerPrimaryZone. Bijvoorbeeld: Set-DnsServerPrimaryZone -Naam “Contoso.com” -DynamicUpdate “Secure”

1.2.2.6 Aanmaken en configureren van stubzones

U kunt voorwaardelijk doorsturen gebruiken om queryverkeer om te leiden naar een aangewezen DNS-server. Als een DNS-query met voorwaardelijke doorsturen een specifieke domeinnaam bevat, bijvoorbeeld Contoso.com, wordt deze doorgestuurd naar een specifieke DNS-server. Zie “Forwarders, roothints, recursie en delegatie configureren” voor meer informatie over Conditional Forwarding.

Als alternatief kunt u ook een stubzone gebruiken om een vergelijkbaar resultaat te bereiken. Een stub-zone wordt door een DNS-server gebruikt om namen tussen twee afzonderlijke DNS-naamruimten op te lossen, bijvoorbeeld na een fusie of overname. Een stub-zone verschilt van conditioneel doorsturen doordat de stub-zone de volledige lijst met DNS-servers voor het andere domein bevat.

1.2.2.7 Voorwaardelijk doorsturen vergelijken met stub-zones

Stel je voor dat twee DNS-naamruimten, Adatum.com en Contoso.com, nu eigendom zijn van de A. Datum Corporation na een overname. Voor DNS-clients in het Adatum.com-domein om bronnen in het Contoso.com-domein te lokaliseren, is het gebruik van root-hints door Adatum.com DNS-servers vereist.

Om dit te voorkomen, kunt u in het domein Adatum.com DNS voorwaardelijke doorsturen configureren voor het domein Contoso.com. Met voorwaardelijke doorsturen configureert u naar welke DNS-server(s) in het Contoso.com-domein DNS-query’s moeten worden doorgestuurd.

U kunt ook een stub-zone gebruiken voor Contoso.com in het Adatum.com-domein. Deze stub-zone bevat de volledige lijst met DNS-servers die gezaghebbend zijn voor het vreemde domein. Deze lijst met servers wordt automatisch bijgewerkt.

Houd rekening met het volgende wanneer u overweegt of u voorwaardelijke doorschakeling of stub-zones wilt gebruiken:

  • U moet handmatig voorwaardelijke doorstuurrecords bijhouden, terwijl stub-zones automatisch worden onderhouden.
  • Met conditioneel doorsturen kunt u de specifieke buitenlandse DNS-server aanwijzen waarnaar query’s moeten worden doorgestuurd, maar met een stub-zone kunt u dit niet.

1.2.2.8 Een stub-zone maken

U kunt de volgende procedure gebruiken om een stubzone te maken. Open DNS-beheer en dan:

  1. Klik met de rechtermuisknop op het knooppunt Forward Lookup Zones en klik vervolgens op Nieuwe zone.
  2. \Klik in de wizard Nieuwe zone op de pagina Welkom bij de wizard Nieuwe zone op Volgende.
  3. Selecteer op de pagina Zonetype Stub Zone en klik vervolgens op Volgende.
  4. Typ op de pagina Zonenaam in het vak Zonenaam de DNS-domeinnaam voor het vreemde domein en klik op Volgende.
  5. Als u op de pagina Zonebestand een DNS-zonebestand hebt dat u gebruikt om uw zone te vullen (bijvoorbeeld van een andere DNS-server), klikt u op Dit bestaande bestand gebruiken, specificeert u het pad naar het bestand op de pagina Zonebestand, en klik vervolgens op Volgende.
  6. Typ op de pagina Hoofd-DNS-servers in de lijst Hoofdservers het IP-adres of FQDN van de DNS-server in het vreemde domein waarvan de DNS-server zone-updates verkrijgt, en klik vervolgens op Volgende.
  7. Klik op Voltooien om de stubzone te maken.

U moet nu de stub-zone vullen met de vereiste records, waaronder het Start of Authority (SOA)-record en de Host- (A) en NS-records die betrekking hebben op de externe DNS-servers en worden opgehaald van de specifieke masterserver(s) . Om deze taak handmatig uit te voeren, klikt u in DNS Manager met de rechtermuisknop op de stub-zone en vervolgens op Overdragen van master.

U kunt de Windows PowerShell Add-DnsServerStubZone-cmdlet gebruiken om een stub-zone te maken. Als u bijvoorbeeld een stub-zone voor Contoso.com wilt maken, gebruikt u de volgende opdracht:

Add-DnsServerStubZone -Naam "Contoso.com" -MasterServers "172.16.0.66" -ZoneFile "Contoso.dns"

Examentip

U kunt AD DS-geïntegreerde stub-zones maken in de DNS Manager-console of met behulp van Windows PowerShell. Als u Windows PowerShell wilt gebruiken, vervangt u de zonefile-parameter door ReplicationScope.

1.2.2.9 Een GlobalNames-zone configureren

Sommige oudere netwerkapps vertrouwen op een niet-hiërarchische naamgevingsstandaard die bekend staat als NetBIOS. In het verleden moesten netwerkclients die toegang hadden tot deze apps deze enkelvoudige NetBIOS-namen kunnen omzetten. U kunt de WINS-serverfunctie gebruiken om te zorgen voor NetBIOS-naamregistratie, resolutie en vrijgave.

De nadelen van het gebruik van WINS zijn:

  • Organisaties moeten twee naamservices onderhouden, met de daaruit voortvloeiende administratieve overhead.
  • Netwerkclients gebruiken mogelijk zowel DNS als WINS om namen om te zetten, wat kan leiden tot vertraging in de naamomzetting.

Als alternatief voor WINS kunt u de DNS GlobalNames-zone in Windows Server 2016 gebruiken.

Wanneer clients single-label namen omzetten, zoals LON-SVR2, worden deze namen omgezet door te verwijzen naar de GlobalNames-zone. Een organisatie heeft slechts één GlobalNames-zone, die u handmatig moet maken. U moet de zone ook vullen met de vereiste CNAME-bronrecords die verwijzen naar de server- en app-bronnen van uw organisatie.

Gebruik de volgende procedure om de GlobalNames-zone te maken:

  1. Open Windows PowerShell.
  2. Voer de opdracht Set-DnsServerGlobalNameZone -AlwaysQueryServer $true uit om de zoneondersteuning van GlobalNames in te schakelen.
  3. Voer de opdracht Add-DnsServerPrimaryZone -Name GlobalNames -ReplicationScope Forest uit om de GlobalNames-zone te maken.
  4. Open DNS Manager en zoek het GlobalNames-zoneknooppunt.
  5. Maak de vereiste CNAME-records voor serverbronnen die nog steeds enkelvoudige namen gebruiken.

1.2.3 DNS-records configureren

Zones bevatten DNS-records die verwijzen naar naamservers, hosts, services of naar andere zones. Nadat u uw zones hebt gemaakt, moet u ze vullen met records die geschikt zijn voor het netwerk van uw organisatie. U moet ook bereid zijn om deze gegevens bij te houden om de nauwkeurigheid van zonegegevens te garanderen.

1.2.3.1 DNS-bronrecords maken en configureren

Er bestaat een DNS-server om naamomzetting voor DNS-clients te bieden. Om dit mogelijk te maken, moet u de DNZ-zones die u aanmaakt vullen met de juiste DNS-bronrecords. Deze bronrecords omvatten:

  • Host – Een hostrecord—meestal gezien de afkorting A—bevat het IPv4-adres voor de opgegeven hostnaam. AAAA-records bevatten het IPv6-adres voor de opgegeven hostnaam. Dit zijn waarschijnlijk de meest voorkomende bronrecords en zijn te vinden in forward lookup-zones.
  • Pointer – Deze records worden ook wel PTR-records genoemd en stellen een DNS-client in staat om een IPv4- of IPv6-adres om te zetten in een hostnaam. Deze records bestaan in zones voor reverse lookup.
  • Begin van autoriteit – Het SOA-record wordt gemaakt wanneer u een primaire zone maakt en bevat informatie over de gezaghebbende server voor de zone, contactgegevens voor de zone en andere informatie, waaronder TTL-waarden voor bronrecords in de zone.
  • Naamserver – Naamserverrecords (NS) identificeren de gezaghebbende naamservers in de zone, met inbegrip van zowel primaire als secundaire servers. Ze identificeren ook naamservers voor gedelegeerde zones.
  • Servicelocatie – Deze records staan bekend als SRV-records en stellen u in staat per service, protocol en DNS-domeinnaam aan te geven welke servers bepaalde apps of services hosten. Als een DNS-client bijvoorbeeld op zoek is naar een webserver, kunt u SRV-records configureren voor de http-service, zodat clients alle servers kunnen vinden die die service leveren. Clients gebruiken vervolgens overeenkomstige A- of AAAA-records om de servernamen om te zetten in IP-adressen. Een SRV-record is complexer dan vele andere en bevat de volgende velden: _Service.Proto.Name TTL Class SRV Priority Weight Port Target. Bijvoorbeeld: http._tcp.Contoso.com. IN SRV 0 0 80 www.Contoso.com. AD DS-services, zoals de Kerberos-verificatieservice, gebruiken SRV-records om zichzelf te adverteren voor clients in een AD DS-netwerk.
  • Alias – CNAME-records stellen u in staat een alias voor een host te maken. De server lonsvr2.adatum.com kan bijvoorbeeld een website hosten. U kunt voor deze host een alias maken met de naam www door een CNAME-record toe te voegen dat verwijst naar de FQDN van de lon-svr2-server.
  • Mail Exchanger – MX-records worden gebruikt door Simple Mail Transfer Protocol (SMTP)-hosts voor het overbrengen van e-mail over internet. Om ervoor te zorgen dat een oorspronkelijke SMTP-host e-mail doorstuurt naar een ontvanger met het e-mailadres Dave@Contoso.com, moet de oorspronkelijke host weten welke hosts de e-mail op Contoso.com kunnen ontvangen. U maakt MX-records in de naamruimte van Contoso.com om te adverteren welke hosts deze service bieden. Om te zorgen voor een betrouwbare inkomende e-mailstroom, kunt u meerdere hosts adverteren door meerdere MX-records te gebruiken.

Aan elk kunnen dezelfde of verschillende mailserverprioriteiten of voorkeurswaarden worden toegewezen. Als u MX-records met dezelfde prioriteit implementeert, wordt er willekeurig e-mail naar gerouteerd, waardoor de belasting wordt verdeeld. Als u andere waarden gebruikt, wordt de lagere waarde eerst gebruikt door de oorspronkelijke server, zodat u een voorkeursserver voor inkomende berichten kunt opgeven.

U kunt deze records handmatig maken vanuit de DNS Manager-console. Klik met de rechtermuisknop op de juiste zone voor forward lookup (zone voor reverse lookup voor PTR-records) en klik vervolgens op de juiste optie voor het recordtype dat u wilt maken, zoals weergegeven in de volgende afbeelding.

Het maken van de resourcerecords is eenvoudig, maar verschilt enigszins voor elk recordtype, omdat u voor elk afzonderlijk verschillende informatie moet opgeven. Dit is echter een zeer intuïtief proces. Voor een nieuw hostrecord moet u bijvoorbeeld de naam en het IP-adres van de host opgeven. U kunt ook de optie selecteren om automatisch een PTR-record voor de host te maken. Voor een MX-record moet u de FQDN opgeven van de host die SMTP-e-mailondersteuning biedt, en een prioriteitswaarde voor de e-mailserver.

Als het gewenste recordtype niet in het contextmenu staat (bijvoorbeeld SRV), selecteert u Ander nieuw record in het contextmenu. Selecteer vervolgens het gewenste recordtype in het dialoogvenster Type bronrecord en klik vervolgens op Record maken, weergegeven in de volgende afbeelding. Deze lijst bevat alle recordtypen, ook de minder vaak gebruikte recordtypen.

U kunt de Add-DnsServerResourceRecord Windows PowerShell-cmdlet gebruiken om resourcerecords te maken. Met de volgende opdracht wordt bijvoorbeeld een host met de naam lon-svr2 gemaakt in het domein Contoso.com:

Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "lon-svr2" -AllowUpdateAny -IPv4Address "172.16.0.27" -TimeToLive 01:00:00 -AgeRecord

1.2.3.2. Zone opruiming configureren

Bronrecords blijven vaak in een DNS-zone, ook al is de host die het record heeft geregistreerd niet langer actief. Dit staat bekend als een oud record. U kunt verouderingsinstellingen gebruiken om te bepalen wanneer de DNS-rol een verouderd record kan verwijderen. Deze verwijdering staat bekend als scavenging.

Twee parameters bepalen het opruimingsgedrag:

  • Niet-vernieuwingsinterval – Het niet-vernieuwingsinterval is de periode dat het record niet in aanmerking komt voor verversing. Standaard is dit ook zeven dagen.
  • Vernieuwingsinterval – Het verversingsinterval is de tijd dat het record in aanmerking komt voor verversing door de client. De standaardwaarde is zeven dagen.

Gewoonlijk kan een client-hostrecord niet worden vernieuwd gedurende zeven dagen nadat deze voor het eerst is geregistreerd (of vernieuwd). Maar dan moet het binnen de volgende zeven dagen worden ververst. Als dit niet het geval is, komt het record in aanmerking voor opruiming.

Examentip

Veroudering en opruiming van resourcerecords zijn standaard uitgeschakeld.

Om opruiming in te schakelen, moet u dit inschakelen op zowel de DNS-zone(s) als op de server(s) die deze zones hosten.

Veroudering en opruiming configureren in een DNS-zone:

  1. Klik in DNS Manager met de rechtermuisknop op de juiste zone en klik vervolgens op Eigenschappen.
  2. Klik op het tabblad Algemeen op Veroudering.
  3. Selecteer in het dialoogvenster Zoneveroudering/opruimingseigenschappen, weergegeven in de volgende afbeelding, het selectievakje Verouderde bronrecords opruimen en configureer vervolgens uw voorkeurswaarden voor interval voor niet-vernieuwing en interval voor vernieuwen.
  4. Klik tweemaal op OK.

U kunt zoneveroudering/opruiming ook inschakelen met de Set-DnsServerZoneAging Windows PowerShell-cmdlet. Bijvoorbeeld: Set-DnsServerZoneAging Contoso.com -Aging $True – ScavengeServers 172.16.0.10

Examentip

U kunt veroudering/opruiming voor alle zones configureren door met de rechtermuisknop op een server in de DNS Manager-console te klikken en vervolgens op Veroudering/opruiming instellen voor alle zones te klikken.

Opruiming configureren op een DNS-server, in de DNS Manager-console:

  1. Klik met de rechtermuisknop op de juiste DNS-server en klik vervolgens op Eigenschappen.
  2. Klik in het dialoogvenster Servereigenschappen op het tabblad Geavanceerd.
  3. Schakel het selectievakje Automatisch opruimen van oude records inschakelen in en geef vervolgens in het vak Opruimperiode het aantal dagen op en klik vervolgens op OK.

U kunt veroudering/opruiming van de DNS-server inschakelen met de Set-DnsServerScavenging Windows PowerShell-cmdlet. Bijvoorbeeld:

Set-DnsServerScavenging -RefreshInterval 7.00:00:00

Examentip

U kunt het opruimen forceren door met de rechtermuisknop op een server in de DNS Manager-console te klikken en vervolgens op Scavenge Stale Resource Records te klikken. U kunt ook de opdracht Start-DnsServerScavenging Windows PowerShell gebruiken.

1.2.3.3 Recordopties configureren

U kunt een aantal opties voor resourcerecords configureren, waaronder voorkeur, gewicht, prioriteit en levend koppelen.

1.2.3.4 Voorkeur, gewicht en prioriteit wijzigen

Aan sommige resourcerecords zijn voorkeurs-, gewichts- en prioriteitswaarden toegewezen. Deze worden gebruikt wanneer er meerdere records zijn die naar dezelfde service of server verwijzen en u wilt bepalen welke servers als eerste worden gebruikt. Een AD DS-domeincontroller registreert bijvoorbeeld de DNS-bronrecords van de Kerberos-verificatieservice met een prioriteitswaarde van 0 en een gewicht van 100, zoals weergegeven in de volgende afbeelding.

U kunt deze beginwaarden aanpassen om te bepalen welke Kerberos-verificatieserver door clients wordt gebruikt. DNS-clients proberen de server met de laagste prioriteitswaarde te gebruiken. Als meerdere servers dezelfde prioriteitswaarde hebben, gebruiken clients de server in verhouding tot hun gewichtswaarden. Evenzo, als er meerdere MX-records bestaan voor een e-maildomeinnaam, wordt de server met de laagste voorkeurswaarde gebruikt. U kunt deze waarden aanpassen met behulp van de DNS Manager-console of de cmdlets van Windows PowerShell Add-DnsServerResourceRecord of Set-DnsServerResourceRecord met behulp van de parameters Priority, Weight en Preference.

1.2.3.5 Time- to-live-waarden wijzigen

Alle resourcerecords hebben een time-to-live-waarde (TTL). De TTL wordt gebruikt om te bepalen hoe lang een record in de DNS-cache kan blijven van een DNS-client of DNS-server die het record onlangs heeft opgelost. Deze waarden moeten representatief zijn voor hoe vaak resourcerecords in uw organisatie veranderen. Als recordwaarden vrij statisch zijn, is een hogere TTL acceptabel. Als ze vaak veranderen, leidt het instellen van een te hoge TTL ertoe dat de DNS-cache verouderd is, met als gevolg fouten in de naamomzetting.

Examentip

Als u individuele TTL-waarden voor bronrecords in een zone wilt wijzigen met behulp van de DNS Manager-console, moet u de weergave Geavanceerd inschakelen. Klik in DNS Manager op Weergeven en klik vervolgens op Geavanceerd.

Om de TTL van een record in DNS Manager te wijzigen:

  1. Klik met de rechtermuisknop op een bronrecord en klik vervolgens op Eigenschappen.
  2. Typ in het dialoogvenster Recordeigenschappen in het vak Time to live (TTL) de gewenste waarde in dagen, uren, minuten en seconden en klik vervolgens op OK.

U kunt ook de cmdlets van Windows PowerShell Add-DnsServerResourceRecord of SetDnsServerResourceRecord gebruiken met de parameter -TimetoLive.

1.2.3.6 Ondersteuning voor onbekende records configureren

Windows Server 2016 voegt ondersteuning toe in de DNS-serverrol voor onbekende records. Onbekende records zijn bronrecords met een indeling die vreemd is aan de Microsoft DNS-server. Ondersteuning voor deze onbekende records betekent dat u de niet-ondersteunde recordtypen aan uw zones kunt toevoegen om specifieke apps te ondersteunen die ze nodig hebben. De Windows DNS-server voert geen recordspecifieke verwerking uit voor deze onbekende records, maar reageert wel op DNS-clientverzoeken voor deze records.

Examentip

U kunt de Add-DnsServerResourceRecord Windows PowerShell-cmdlet met de -Unknown parameter gebruiken om onbekende bronrecords te maken.

1.2.3.7 Round robin configureren

U kunt DNS-round robin gebruiken om de belasting te verdelen over servers die dezelfde service bieden. Als u bijvoorbeeld drie webservers in uw netwerk had en u de clientbelasting over alle drie gelijkelijk wilt verdelen, is een oplossing om hetzelfde hostbronrecord (www.contoso.com) te configureren en dit naar drie verschillende IP-adressen te verwijzen. . Bijvoorbeeld:

  • www.contoso.com 60 IN A 172.16.0.10
  • www.contoso.com 60 IN A 172.16.0.12
  • www.contoso.com 60 IN A 172.16.0.14

Round robin werkt door te reageren op elk verzoek van een klant voor de oplossing van www.contoso.com met een anders geordende lijst met IP-adressen. Op het eerste verzoek wordt de server met het IPv4-adres van 172.16.0.10 bovenaan de lijst geretourneerd. Vervolgens wordt 172.16.0.12 als eerste in de lijst geretourneerd, enzovoort.

U configureert round robin op de DNS-server in het dialoogvenster Geavanceerde serverinstellingen. Het is standaard ingeschakeld. U kunt ook de Set-DnsServer Windows PowerShell-cmdlet gebruiken.

Examentip

U kunt ook netmaskervolgorde gebruiken om een vergelijkbaar resultaat te bereiken, maar in dit geval ontvangt een klant het resultaat dat het meest relevant is voor zijn locatie, op basis van zijn subnet.

 1.2.4 DNS-bereiken configureren

Windows Server 2016 ondersteunt twee typen DNS-bereiken. Dit zijn recursiebereiken en zonebereiken. Recursiebereiken zijn een verzameling instellingen die het recursiegedrag in een DNS-zone definiëren, terwijl zonebereiken verzamelingen van bronrecords zijn. Als u DNS-bereiken wilt maken, configureren en toepassen, moet u het DNS-beleid van Windows Server 2016 gebruiken.

1.2.4.1 Zonebereik configureren

In Windows Server 2016 kunt u uw DNS-zones configureren om meerdere zonebereiken te hebben. Elk zonebereik bevat zijn eigen set DNS-bronrecords. Een bronrecord kan bestaan in meerdere zonebereiken, elk met verschillende IP-adressen, afhankelijk van het bereik. U kunt het zonebereik ook gebruiken om zoneoverdrachten te beheren, zodat bronrecords van een zonebereik in een primaire zone kunnen worden overgedragen naar hetzelfde zonebereik in een secundaire zone.

Meestal is de eerste stap bij het maken van een zonebereik het maken en configureren van clientsubnetten. U doet dit met verwijzing naar uw fysieke netwerktopologie. Als u bijvoorbeeld een subnet wilt maken voor DNS-clients in New York en een ander voor clients in Londen, gebruikt u de volgende Windows PowerShell-opdrachten:

Add-DnsServerClientSubnet -Naam "NYCSubnet" -IPv4Subnet "172.16.0.0/24"
Add-DnsServerClientSubnet -Naam "LONSubnet" -IPv4Subnet "172.16.1.0/24"

Vervolgens maakt u de DNS-zonebereiken voor DNS-clients in New York en Londen met behulp van de volgende opdrachten:

Add-DnsServerZoneScope -ZoneName "Adatum.com" -Name "NYCZoneScope" Add-DnsServerZoneScope -ZoneName "Adatum.com" -Name "LONZoneScope"

1.2.4.2. Records configureren in zonebereiken

Nadat u de zonebereiken hebt gemaakt, moet u deze vullen met resourcerecords. Nogmaals, u moet dit doen met Windows PowerShell. Voer de volgende opdracht uit om een specifiek IP-adresrecord te maken voor clients in het zonebereik van New York City:

Add-DnsServerResourceRecord -ZoneName "Adatum.com" -A -Name "www" -IPv4Address "172.16.0.41" -ZoneScope "NYCZoneScope"

Voer de volgende opdracht uit voor clients in het zonebereik London City:

Add-DnsServerResourceRecord -ZoneName "Adatum.com" -A -Name "www" -IPv4Address "172.16.1.22" -ZoneScope "LONZoneScope"

1.2.4.3 Beleid voor zones configureren

Ten slotte moet u het beleid maken dat de DNS-servers instrueert om te reageren op clientquery’s op basis van de eerder gedefinieerde factoren. Als u de DNS-servers wilt configureren om te reageren met bronrecords uit het zonebereik van New York, maakt u een DNS-beleid:

Add-DnsServerQueryResolutionPolicy -Name "NYCPolicy" -Action ALLOW -ClientSubnet "eq,NYCSubnet" -ZoneScope "NYCZoneScope,1" -ZoneName "Adatum.com"

Evenzo moet u voor clients die zijn gevestigd in het bereik van de Londense zone een ander beleid toevoegen:

Add-DnsServerQueryResolutionPolicy -Name "LONPolicy" -Action ALLOW -ClientSubnet "eq,LONSubnet" -ZoneScope "LONZoneScope,1" -ZoneName "Adatum.com"

Als een client in het subnet van New York een DNS-server verzoekt om het IPv4-adres van de www.adatum.com-host, antwoordt de DNS-server met het IP-adres 172.16.0.41. Als een klant in Londen hetzelfde record opvraagt, ontvangt de klant het IPv4-adres 172.16.1.22.

Opmerking DNS-beleid

Het implementeren van DNS-beleid wordt ook behandeld in “DNS-beleid implementeren”.

1.2.5 DNS controleren

Aangezien DNS zo’n kritieke service is, die naamomzetting en servicelocatie biedt voor geconfigureerde clients, is het belangrijk dat u ervoor zorgt dat DNS betrouwbaar werkt en is geoptimaliseerd. Om u te helpen dit te bereiken, kunt u een aantal controle- en controletools in Windows Server gebruiken.

1.2.5.1 DNS-audit en analytische gebeurtenissen gebruiken

Windows Server 2016 kan een enorme hoeveelheid loggegevens verzamelen. Veel van deze logboekregistratie is standaard ingeschakeld, maar functies zoals foutopsporingsregistratie (besproken in de sectie “DNS-registratie configureren”) moeten eerst worden ingeschakeld voordat u ze kunt gebruiken.

U kunt ook DNS-controlegebeurtenissen en DNS-analysegebeurtenissen gebruiken.

  • DNS-controlegebeurtenissen – Deze zijn standaard ingeschakeld. Gebruik om het bijhouden van wijzigingen op uw DNS-servers in te schakelen. Elke keer dat een server-, zone- of bronrecord wordt bewerkt, wordt een auditgebeurtenis vastgelegd. Gebeurtenis-ID’s met de nummers 513 tot en met 582 worden in dit verband vastgelegd en worden uitgelegd op de volgende website.
  • DNS-analysegebeurtenissen – Deze zijn standaard uitgeschakeld. Windows registreert een analytische gebeurtenis telkens wanneer de DNS-server DNS-informatie verzendt of ontvangt. Gebeurtenis-ID’s met de nummers 257 tot en met 280 worden in dit verband vastgelegd en worden uitgelegd op de onderstaande website.

1.2.5.2 Audit- en analytische gebeurtenissen bekijken

Gebruik de volgende procedure om auditgebeurtenissen te bekijken:

  1. Open Gebeurtenisviewer.
  2. Vouw Logboeken voor toepassingen en services uit, vouw Microsoft uit, vouw Windows uit en klik vervolgens op DNS-server.
  3. Klik op de map Audit, zoals weergegeven in de volgende afbeelding. Vanaf hier kunt u evenementen bekijken.

Gebruik de volgende procedure om analytische gebeurtenissen te bekijken:

  1. Open Gebeurtenisviewer.
  2. Vouw Logboeken voor toepassingen en services uit, vouw Microsoft uit, vouw Windows uit en klik vervolgens op DNS-server.
  3. Klik met de rechtermuisknop op DNS-server, klik op Weergeven en klik vervolgens op Analyse- en foutopsporingslogboeken weergeven. De logboekmappen Analytical en Audit worden weergegeven, zoals weergegeven in Afbeelding 1-33.
  4. Klik met de rechtermuisknop op Analytisch en klik vervolgens op Logboek inschakelen.
  5. Klik in het pop-upvenster Gebeurtenisviewer op OK.

1.2.5.3 Statistieken op zoneniveau analyseren

Geïntroduceerd in Windows Server 2012 R2 en verbeterd in Windows Server 2016, met statistieken op DNS-zoneniveau kunt u begrijpen hoe een DNS-server wordt gebruikt voor elke gezaghebbende zone op die server.

U kunt de volgende statistieken op zoneniveau verzamelen en bekijken:

  • Zonequery’s geeft het aantal:
    • Ontvangen query’s
    • Geslaagde antwoorden
    • Mislukte antwoorden op query’s
    • Naam foutantwoorden
  • Zoneoverdrachten Geeft het aantal zoneoverdrachten aan:
    • Ontvangen verzoeken bij gebruik als primaire server voor een specifieke zone
    • Aanvragen verzonden bij gebruik als secundaire server voor een specifieke zone
    • Ontvangen verzoeken bij gebruik als secundaire server voor een specifieke zone
  • Statistieken voor zoneoverdrachten geven ook het aantal zoneoverdrachten weer
    • Ontvangen door de DNS Server-service bij gebruik als secundaire server voor een specifieke zone
    • Verzonden door de DNS Server-service bij gebruik als masterserver voor een specifieke zone
  • Zone-updates Geeft het totale aantal ontvangen
    • Dynamische updateverzoeken ontvangen
    • Dynamische updates afgewezen

Gebruik de Windows PowerShell Get-DnsServerStatistics-cmdlet om toegang te krijgen tot deze statistieken. Bijvoorbeeld:

Get-DnsServerStatistics -ZoneName "Adatum.com"