Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows Server 02.06.2026 · 8 min Lesezeit

DHCP- und DNS-Rolle auf Windows Server konfigurieren

DHCP- und DNS-Rolle auf Windows Server 2022/2025 installieren, Scopes, Zonen und Weiterleitungen einrichten – per GUI und PowerShell.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Linux-Terminal mit systemctl-Befehlen zur Service-Verwaltung

DHCP- und DNS-Rollen auf Windows Server 2022/2025 zu konfigurieren ist eine der ersten Aufgaben beim Aufbau einer On-Premises-AD-Infrastruktur. DHCP versorgt Clients automatisch mit IP-Adressen, Subnetzmaske, Gateway und DNS-Server. DNS löst Hostnamen in IP-Adressen auf und ist die Grundlage für Active Directory. Diese Anleitung zeigt dir Schritt für Schritt, wie du beide Rollen installierst, einen DHCP-Scope anlegst, DHCP in Active Directory autorisierst, DNS-Zonen und Weiterleitungen einrichtest und typische Fallstricke vermeidest – wahlweise über den Server-Manager oder per PowerShell.

Voraussetzungen

  • Windows Server 2022 oder 2025, vollständig in eine Active-Directory-Domäne eingebunden
  • Enterprise-Admin- oder Domänen-Admin-Berechtigungen (für DHCP-Autorisierung in AD zwingend Enterprise-Admin)
  • Statische IP-Adresse auf dem Server, der DHCP und DNS betreiben soll
  • Windows Server CAL für alle Clients (in allen Editionen Standard/Datacenter enthalten)
  • PowerShell 5.1 oder höher (auf Windows Server 2022/2025 vorinstalliert)
  • Netzwerkkonnektivität zum Domain Controller, Port 389 (LDAP) offen

Schritt 1: Rollen installieren

GUI (Server-Manager)

Öffne den Server-Manager und folge dem Assistenten:

  1. Start → Server-Manager → Verwalten → Rollen und Features hinzufügen
  2. Installationstyp: Rollenbasierte oder featurebasierte Installation
  3. Zielserver auswählen
  4. Unter Serverrollen die Haken bei DHCP-Server und DNS-Server setzen; Verwaltungstools mitnehmen
  5. Weiter bis zur Zusammenfassung, dann Installieren
  6. Kein Neustart erforderlich; nach der Installation erscheint im Server-Manager das Benachrichtigungsfähnchen mit dem Link DHCP-Konfiguration abschließen

PowerShell

Beide Rollen lassen sich mit einem Befehl in einer erhöhten PowerShell-Sitzung installieren:

# DHCP-Rolle mit Verwaltungstools installieren
Install-WindowsFeature DHCP -IncludeManagementTools

# DNS-Rolle installieren (Management-Tools optional)
Install-WindowsFeature -Name DNS -IncludeManagementTools

Beide Befehle erfordern keinen Neustart. Du kannst sie auch kombinieren:

Install-WindowsFeature DHCP, DNS -IncludeManagementTools

Schritt 2: DHCP in Active Directory autorisieren

Ein DHCP-Server muss in AD autorisiert sein, bevor er Adressen vergibt. Ohne Autorisierung verweigert der Dienst das Starten. Du benötigst Enterprise-Admin-Rechte.

GUI

  1. Start → Windows-Verwaltungstools → DHCP
  2. Rechtsklick auf den Serverknoten (z. B. DHCP1.corp.contoso.com)
  3. Kontextmenü: Autorisieren
  4. Anschließend erneut Rechtsklick → Aktualisieren – der Pfeil vor dem Server wechselt von rot auf grün

PowerShell

# DHCP-Server in AD autorisieren
Add-DhcpServerInDC -DnsName DHCP1.corp.contoso.com -IPAddress 10.0.0.3

# Autorisierungsstatus prüfen
Get-DhcpServerInDC

Die Ausgabe von Get-DhcpServerInDC listet alle autorisierten Server mit DNS-Name und IP. Erscheint dein Server dort, ist die Autorisierung erfolgreich.

Schritt 3: DHCP-Scope anlegen

Ein Scope definiert den Adressbereich, aus dem Clients IPs erhalten. Typischerweise ein /24-Subnetz.

GUI

  1. DHCP-Konsole → Server → IPv4 → Rechtsklick → Neuer Bereich
  2. Assistent: Name vergeben (z. B. Labornetz), Start-IP, End-IP und Subnetzmaske eingeben
  3. Ausschlussbereiche definieren (z. B. statische Geräte wie Router, Server, Drucker)
  4. Leasedauer festlegen (Standard: 8 Tage; bei mobilen Umgebungen empfiehlt sich 1 Tag)
  5. DHCP-Optionen: Router (003), DNS-Server (006), DNS-Domäne (015) eintragen
  6. Scope aktivieren: Ja, diesen Bereich jetzt aktivieren

PowerShell

# Scope erstellen
Add-DhcpServerv4Scope `
  -Name 'Labornetz' `
  -StartRange 10.10.10.100 `
  -EndRange   10.10.10.200 `
  -SubnetMask  255.255.255.0 `
  -LeaseDuration 8.00:00:00

# Ausschlussbereich (statische Geräte: .1 bis .10)
Add-DhcpServerv4ExclusionRange `
  -ScopeId    10.10.10.0 `
  -StartRange 10.10.10.1 `
  -EndRange   10.10.10.10

# DHCP-Optionen setzen (Router, DNS-Server, DNS-Domäne)
Set-DhcpServerv4OptionValue `
  -ScopeId   10.10.10.0 `
  -Router    10.10.10.1 `
  -DnsServer 192.168.1.2 `
  -DnsDomain 'contoso.com'

Die Leasedauer folgt dem Format D.HH:MM:SS, also 8 Tage = 8.00:00:00, 1 Tag = 1.00:00:00.

Schritt 4: DHCP-Reservierungen anlegen

Für Geräte, die immer dieselbe IP erhalten sollen (Drucker, Server, NAS), legst du Reservierungen per MAC-Adresse an. Das Trennzeichen muss ein Bindestrich sein.

GUI

  1. DHCP-Konsole → Scope → Reservierungen → Rechtsklick → Neue Reservierung
  2. Name, reservierte IP-Adresse und MAC-Adresse (Format: 00-11-22-33-44-55) eingeben
  3. Hinzufügen

PowerShell

# Reservierung für einen Drucker (MAC-Format mit Bindestrich!)
Add-DhcpServerv4Reservation `
  -ScopeId   10.10.10.0 `
  -IPAddress 10.10.10.150 `
  -ClientId  '00-11-22-33-44-55' `
  -Description 'Drucker Buero 1'

Achtung: Colons (00:11:22:33:44:55) oder Formate ohne Trennzeichen werden nicht akzeptiert – nur Bindestriche.

Schritt 5: DNS-Zonen erstellen

In AD-integrierten Umgebungen empfehlen sich AD-integrierte Zonen mit -ReplicationScope Forest oder Domain. Sie replizieren automatisch über alle DCs und unterstützen sichere dynamische Updates.

Forward-Lookupzone (GUI)

  1. Start → Windows-Verwaltungstools → DNS
  2. Server aufklappen → Forward-Lookupzonen → Rechtsklick → Neue Zone
  3. Zonentyp: Primäre Zone, Haken bei Zone in Active Directory speichern
  4. Replikationsbereich: Für alle DNS-Server in dieser Gesamtstruktur (= Forest)
  5. Zonenname eingeben, z. B. contoso.com
  6. Dynamische Updates: Nur sichere dynamische Updates zulassen

Forward-Lookupzone (PowerShell)

# AD-integrierte Forward-Lookupzone, Replikation auf gesamte Gesamtstruktur
Add-DnsServerPrimaryZone `
  -Name             'contoso.com' `
  -ReplicationScope 'Forest' `
  -DynamicUpdate    'Secure' `
  -PassThru

# Alternativ: dateibasierte Zone (ohne AD)
Add-DnsServerPrimaryZone `
  -Name     'contoso.com' `
  -ZoneFile 'contoso.com.dns'

Reverse-Lookupzone (GUI)

  1. DNS-Manager → Reverse-Lookupzonen → Rechtsklick → Neue Zone
  2. Zonentyp: Primäre Zone, AD-integriert
  3. Netzwerk-ID eingeben, z. B. 10.10.10 für das /24-Netz (erzeugt 10.10.10.in-addr.arpa)

Reverse-Lookupzone (PowerShell)

# Reverse-Lookupzone für 10.10.10.0/24 (erzeugt 10.10.10.in-addr.arpa)
Add-DnsServerPrimaryZone `
  -NetworkID        '10.10.10.0/24' `
  -ReplicationScope 'Forest' `
  -DynamicUpdate    'Secure'

Schritt 6: DNS-Ressourceneinträge anlegen

A-Records verknüpfen Hostnamen mit IPv4-Adressen, PTR-Records die Rückrichtung, CNAME-Records Aliase.

GUI

  1. DNS-Manager → Forward-Lookupzone → Rechtsklick in der Zonenliste → Neuer Host (A oder AAAA)
  2. Name und IP-Adresse eingeben; Haken bei Zugehörigen PTR-Eintrag erstellen für automatische Erstellung des Reverse-Eintrags
  3. CNAME: Rechtsklick → Neuer Alias (CNAME)

PowerShell

# A-Record (host1.contoso.com -> 10.10.10.5, TTL 1 Stunde)
Add-DnsServerResourceRecordA `
  -ZoneName    'contoso.com' `
  -Name        'host1' `
  -IPv4Address '10.10.10.5' `
  -TimeToLive  ([System.TimeSpan]::FromSeconds(3600))

# PTR-Record in der Reverse-Zone
Add-DnsServerResourceRecordPtr `
  -ZoneName      '10.10.10.in-addr.arpa' `
  -Name          '5' `
  -PtrDomainName 'host1.contoso.com'

# CNAME-Eintrag (alias1 -> host1.contoso.com)
Add-DnsServerResourceRecord `
  -ZoneName      'contoso.com' `
  -Name          'alias1' `
  -RecordType    CNAME `
  -CanonicalName 'host1.contoso.com'

Schritt 7: DNS-Weiterleitungen (Forwarder) konfigurieren

Weiterleitungen bestimmen, an welchen externen DNS-Server Anfragen für nicht-lokale Zonen weitergeleitet werden. Ohne Forwarder nutzt Windows die Root-Hints.

GUI

  1. DNS-Manager → Rechtsklick auf den Servernamen → Eigenschaften
  2. Reiter WeiterleitungenBearbeiten
  3. IP-Adressen der Upstream-DNS-Server eintragen (z. B. 8.8.8.8 und 8.8.4.4)

PowerShell

# Weiterleitungen auf Google DNS setzen
Set-DnsServerForwarder -IPAddress @('8.8.8.8', '8.8.4.4')

# Vorhandene Weiterleitungen prüfen
Get-DnsServerForwarder

Schritt 8: DNS-Alterung und Bereinigung (Aging & Scavenging)

Dynamisch registrierte DNS-Einträge können veralten, wenn Clients ohne ordentliche Abmeldung aus dem Netz verschwinden. Aging & Scavenging räumt diese stale Records automatisch auf. Die Standardintervalle betragen je 7 Tage für No-Refresh- und Refresh-Intervall, also 14 Tage bis zum Cleanup.

GUI

  1. DNS-Manager → Rechtsklick auf die Zone → Alterung
  2. Haken bei Veraltete Ressourcendatensätze bereinigen setzen; Intervalle anpassen
  3. Auf Serverebene: Rechtsklick auf Servernamen → Bereinigung konfigurieren

PowerShell

# Aging auf Zonenebene aktivieren (No-Refresh + Refresh je 7 Tage)
Set-DnsServerZoneAging `
  -ZoneName          'contoso.com' `
  -Aging             $true `
  -RefreshInterval   7.00:00:00 `
  -NoRefreshInterval 7.00:00:00

# Scavenging manuell anstoßen (zur Prüfung)
Invoke-DnsServerZoneScavenging -ZoneName 'contoso.com'

Hinweis: Aging muss sowohl auf der Zone als auch auf dem Server aktiviert sein. Statische Einträge werden nie durch Scavenging entfernt.

Troubleshooting

  • DHCP-Server gibt keine Adressen aus (Fehlercode 20070): Der Server ist nicht in AD autorisiert. Mit Get-DhcpServerInDC prüfen; Add-DhcpServerInDC mit Enterprise-Admin-Rechten erneut ausführen. Port 389 zum DC mit Test-NetConnection -ComputerName DC1 -Port 389 prüfen.
  • DHCP-Konsole zeigt roten Pfeil: Autorisierung fehlt oder Dienst läuft nicht. Get-Service DHCPServer prüfen, ggf. Start-Service DHCPServer.
  • PTR-Record lässt sich nicht erstellen: Die Reverse-Lookupzone muss vor dem PTR-Record existieren. Netzwerk-ID im Format 10.10.10.0/24 angeben (nicht nur 10.10.10 bei PowerShell).
  • DHCP-Reservierung schlägt fehl: MAC-Adresse muss im Format 00-11-22-33-44-55 mit Bindestrichen angegeben werden. Colons oder kein Trennzeichen führen zu Fehlern.
  • DNS Scavenging löscht Einträge nicht: Aging muss auf Zone UND Server aktiviert sein. Nur dynamisch registrierte Einträge werden entfernt, keine statisch angelegten.
  • Dynamische DNS-Updates schlagen fehl: In AD-integrierten Zonen -DynamicUpdate 'Secure' oder 'NonsecureAndSecure' verwenden. Bei None kann DHCP keine DNS-Einträge registrieren.
  • Zonendelegierung funktioniert nicht: Sicherstellen, dass NS-Records und Glue-A-Records für Subzonen in der übergeordneten Zone vorhanden sind.

Häufige Fragen

Wie lange sollte die DHCP-Leasedauer sein?

Der Standardwert beträgt 8 Tage und ist für stabile Büroumgebungen geeignet. In Umgebungen mit vielen mobilen Geräten oder häufigem Gerätewechsel empfiehlt sich eine kürzere Dauer von 1 Tag (1.00:00:00). Damit werden IP-Adressen schneller freigegeben.

Muss ich DHCP und DNS auf demselben Server betreiben?

Nein. Die Rollen können auf getrennten Servern laufen. In kleineren Umgebungen ist die Kombination auf einem Server üblich. In größeren Umgebungen sollte DNS auf jedem Domain Controller installiert sein, während DHCP auf einem dedizierten Server oder dem DC laufen kann.

Was ist der Unterschied zwischen AD-integrierter und dateibasierter DNS-Zone?

AD-integrierte Zonen werden in der AD-Datenbank gespeichert und über alle DCs repliziert. Sie unterstützen sichere dynamische Updates und Multi-Master-Replikation. Dateibasierte Zonen liegen in einer .dns-Datei und eignen sich für Server, die kein AD-Mitglied sind, oder für spezielle Szenarien.

Was sind DHCP-Optionen 003, 006 und 015?

Option 003 definiert den Standard-Router (Gateway), Option 006 den DNS-Server und Option 015 den DNS-Domänennamen. Diese drei Optionen sind für eine funktionierende Netzwerkversorgung im AD-Umfeld zwingend notwendig.

Kann ich mehrere Scopes auf einem DHCP-Server betreiben?

Ja. Pro Subnetz legst du einen eigenen Scope an. Bei VLAN-Umgebungen mit mehreren Subnetzen konfigurierst du einen Scope pro VLAN. Jeder Scope hat seinen eigenen Adressbereich, Ausschlüsse und Optionen.

Wie reserviere ich eine IP für ein Gerät ohne DHCP-Eintrag?

Reservierungen binden eine IP an eine MAC-Adresse. Das Gerät erhält dann immer dieselbe IP via DHCP, ohne dass eine statische IP auf dem Gerät selbst konfiguriert werden muss. Vorteil: zentrale Verwaltung, einfacheres Troubleshooting.

Fazit

Mit den in dieser Anleitung beschriebenen Schritten hast du DHCP und DNS auf Windows Server 2022/2025 vollständig eingerichtet: Rollen installiert, DHCP in AD autorisiert, einen Scope mit Optionen und Reservierungen angelegt sowie DNS-Zonen, Ressourceneinträge, Weiterleitungen und Aging konfiguriert. Beide Wege – GUI über den Server-Manager und die jeweiligen MMC-Konsolen sowie PowerShell-Cmdlets – führen zum gleichen Ergebnis. PowerShell empfiehlt sich für automatisierte Deployments und reproduzierbare Konfigurationen.

Weiterführende Anleitungen und Quellen

Offizielle Microsoft-Dokumentation: DHCP-Server installieren und konfigurieren (Microsoft Learn) und DNS-Server installieren und konfigurieren (Microsoft Learn).

Verwandt

Weiter lesen

Alle Artikel →
Serverraum im Rechenzentrum als Sinnbild fuer Docker-Container-Monitoring mit cAdvisor und Prometheus
02.06.2026 ·9 min

Hyper-V: erste virtuelle Maschine erstellen und Checkpoints nutzen

Hyper-V auf Windows Server 2022/2025 einrichten, erste VM anlegen und Checkpoints sicher einsetzen – mit GUI und PowerShell.
Server-Racks im Rechenzentrum als Sinnbild für eine lokale Vektordatenbank
02.06.2026 ·11 min

Dateiserver mit NTFS- und Freigabeberechtigungen richtig einrichten

Schritt-für-Schritt: SMB-Freigabe erstellen, NTFS-Rechte korrekt setzen, AGDLP-Prinzip anwenden und typische Fallstricke vermeiden – per GUI und PowerShell.
Notebook mit blauer Windows-Hintergrundgrafik als Symbolbild für das optionale Mai-Update für Windows 11.
02.06.2026 ·9 min

Gruppenrichtlinien (GPO) Grundlagen mit Praxisbeispielen

Gruppenrichtlinien (GPO) zentral verwalten: GPMC, LSDOU-Verarbeitungsreihenfolge, Kennwortrichtlinie, Netzlaufwerk-Mapping per GPP und Bildschirmsperre-Timeout Schritt für Schritt.