IT

DNS und DHCP besser NICHT auf dem Domain Controller bzw. Windows-Server betreiben?!

Tobias Langnervon Tobias Langner

Seit meiner Ausbildung vor 15 Jahren ist es für mich gewohnte Praxis die Server-Rollen für die Dienste DNS und DHCP auf dem Domain Controller, also einem Windows-Server, zu installieren und zu betreiben. Technisch spricht relativ wenig dagegen und ist bei den meisten Unternehmen so verbreitet. Allerdings gibt es trotzdem Gründe die dagegen sprechen können DHCP und DNS überhaupt auf einem Windows- Server zu betreiben!

 

DNS und DHCP-Service auf dem Domain Controller / Windows Server betreiben?

Das gleichzeitige Betreiben von DNS und DHCP auf einem Domain Controller (DC) ist technisch unproblematisch und wie bereits erwähnt  in vielen Netzwerkinfrastrukturen sogar üblich.

Optimale Integration im Active Directory

Microsofts Active Directory ist stark auf DNS angewiesen. Ein DC benötigt einen funktionierenden DNS-Server, um Dienste wie die Replikation und Authentifizierung bereitzustellen. DNS direkt auf dem DC zu betreiben, reduziert die Abhängigkeit von externen DNS-Servern und zusätzliche Einstellungen am DNS-Server sind nicht notwendig.

DHCP-DNS-Dynamik

Wenn DHCP und DNS auf dem selben Server laufen, können dynamische DNS-Updates besonders effizient durchgeführt werden. Der DHCP-Server kann neue IP-Adressen direkt im DNS registrieren. In der Praxis dürfte dies aber wenig ausmachen. Da es beim DHCP aber eigentlich keine technischen Vorteile gibt, zumindest habe ich das in einem Webinar so erfahren, sollte man diesen nach Möglichkeit doch eher auf einem eigenen Windows-Server betreiben. Zumindest wenn man eine Datacenter-Lizenz hat, sollte dies kein wirkliches Problem sein, ansonsten verursacht es natürlich weitere Kosten.

Ressourcennutzung

DNS und DHCP sind vergleichsweise ressourcenschonende Dienste, die keine signifikante Last verursachen, ganz im Gegensatz zu einem Exchange-Server.

Zentrale Verwaltung

Die Kombination aller drei Rollen (DC, DNS, DHCP) auf einem Server vereinfacht die Verwaltung in kleinen bis mittelgroßen Netzwerken und reduziert die Anzahl der zu wartenden Systeme und somit auch Updates.

Aus technischer Sicht spricht somit nichts oder beim DHCP nicht viel dagegen, DNS und DHCP auf einem Domain Controller zu betreiben. Im Gegenteil: Es bringt zumindest beim DNS einige praktische Vorteile mit sich. Voraussetzung ist natürlich eine sorgfältige Konfiguration und Sicherstellung der Verfügbarkeit (z. B. durch Backup-DCs oder Failover für DHCP).

 

DNS und DHCP-Service besser gar nicht auf einem Windows-Server betreiben?

Ein wichtiger und oft nicht bedachter Nachteil beim Betrieb von DHCP und DNS auf einem Domain Controller bzw. generell auf Windows-Servern ergibt sich aus lizenzrechtlichen Aspekten, nämlich im Zusammenspiel mit den Windows Server Client Access Licenses (CALs).

CAL-Pflicht für alle zugreifenden Geräte!

Wenn DHCP und/oder DNS auf einem Domain Controller laufen, gelten alle Geräte, die diesen Server nutzen (auch nicht-domaingebundene Geräte), als Clients des Domain Controllers.

Das bedeutet: Alle Drucker, Scanner oder Produktionsmaschinen, die eine IP-Adresse vom DHCP-Server beziehen oder DNS-Abfragen machen benötigen streng genommen eine CAL. Auch WLAN-Gäste, die nur eine IP-Adresse per DHCP erhalten oder DNS-Anfragen stellen, nutzen damit einen Windows Server-Dienst auf einem Domain Controller.

Damit müssen für jedes dieser Geräte grundsätzlich Windows Server CALs (Client Access Licenses) vorhanden sein – auch wenn diese Geräte nicht Mitglied der Domäne sind.

In Umgebungen mit z. B. einem Gäste-WLAN, öffentlichen Terminals oder Bring-Your-Own-Device (BYOD)-Konzepten kann es sehr schnell zu einem Lizenzverstoß kommen, wenn Geräte mit dem DC kommunizieren, ohne dass für sie gültige CALs vorhanden sind. Microsoft unterscheidet nicht danach, ob der Zugriff authentifiziert ist, sondern ob ein Dienst genutzt wird, der CAL-pflichtig ist.

Komplexität bei der Lizenzverwaltung

Wenn der DHCP– oder DNS-Dienst vom Domain Controller bereitgestellt wird, ist es schwer nachvollziehbar, welche Geräte genau auf den Server zugreifen. Das erschwert die korrekte Lizenzierung und erhöht das Risiko bei Lizenz-Audits.

 

Fazit zum DNS und DHC-Server auf Windows-Server

Auch wenn es technisch problemlos ist, DNS und DHCP auf einem Domain Controller zu betreiben, kann es schnell lizenzrechtlich problematisch sein. Vor allem in Netzwerken mit vielen nicht-domaingebundenen Geräten (z. B. Gäste, IoT-Geräte, BYOD, Produktionsmaschinen).

Wer keine zusätzlichen Kosten für Server-CALs durch all diese zusätzlichen Geräte produzieren möchte oder sogar gar nicht garantieren kann, korrekt lizenziert zu sein (z.B. durch das Gäste-WLAN oder Smartphones, die sich im Netz anmelden) sollte in Betracht ziehen, für diese oder alle Netzwerke keinen Windows-Server für die Dienste DHCP und DNS zu nutzen. Stattdessen bieten sich dann eigentlich nur eigene Linux-Server, Appliances wie pfSense oder Router bzw. Firewalls, wenn diese keine ähnlichen Lizenz-Einschränkungen haben, für diese Dienste an!

Tobias Langner

Tobias Langner

Ich arbeite seit mehreren Jahren als Software-Release-Manager, zuvor als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-"Pausierer" an der FernUni Hagen. Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Alle Beiträge ansehen von Tobias Langner →

Das könnte dich auch interessieren

404-Aufrufe eines Webprojektes auswerten

Securepoint VPN Client unter Windows 10 unbrauchbar

Firefox: Port aus Sicherheitsgründen blockiert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert