25-09-2023, 18:41
Du weißt, als ich anfing, mit DNS-Konfigurationen in Niederlassungen herumzuspielen, dachte ich, dass es der richtige Weg sei, in jeder Niederlassung vollständig autoritativ zu sein. Doch dann wurde mir klar, wie viel Kopfschmerzen das mit sich bringt. Die Konfiguration von Cache-nur DNS-Servern in diesen Niederlassungen hat alles für mich verändert, und ehrlich gesagt, ich würde dir empfehlen, das in Betracht zu ziehen, wenn dein Netzwerk so verteilt ist wie unseres. Stell dir Folgendes vor: Du hast diese entfernten Standorte, die Anfragen von einem zentralen Server weit zurück in der Zentrale ziehen, und jedes Mal, wenn jemand dort versucht, auf eine Webseite oder eine interne Ressource zuzugreifen, wird die Anfrage über das gesamte WAN weitergeleitet. Das ist nicht nur langsam; es frisst deine Bandbreite wie verrückt. Mit einer Cache-nur Konfiguration merkt sich der Server dort einfach die Antworten auf häufige Abfragen - Dinge wie google.com oder dein CRM-Portal - und liefert sie blitzschnell aus, ohne die Haupt-DNS bei jedem einzelnen Zugriff zu belästigen. Ich habe letztes Jahr einen in unserer Niederlassung im Mittleren Westen eingerichtet, und die Nutzer dort haben geschwärmt, wie viel schneller die Seiten geladen wurden; keine endlosen Wartezeiten mehr während der Mittagspausen. Es ist, als würde man ihnen eine lokale Abkürzung geben, ohne all die Komplexität selbst verwalten zu müssen.
Aber lass mich das nicht beschönigen; es gibt Kompromisse, und ich bin auf einige gestoßen, die mir das Schwitzen gebracht haben. Erstens, da der Server keine autoritativen Daten hat, sind die Leute in der Niederlassung festgefahren, wenn deine übergeordneten Server im Kern ausfallen - sagen wir, wegen eines Wartungsfensters, das du vergessen hast oder wegen eines Glasfaserbruchs. Keine Weiterleitung, keine Auflösung, nur Fehlermeldungen, die sich in ihren Browsern stapeln. Ich erinnere mich an eine Zeit in unserem Büro an der Ostküste; wir hatten einen Cache-nur Server, der einwandfrei lief, aber als der primäre DNS-Cluster für eine Stunde aussetzte, kam die ganze Seite bei externen Namen zum Stillstand. Interne Sachen waren okay, wenn wir split DNS hatten, aber alles, was außerhalb war? Vergiss es. Du bist dann stark darauf angewiesen, dass diese zentrale Infrastruktur stabil ist, was bedeutet, dass du mehr Eier in weniger Körbe legst. Wenn du in einer Situation bist, in der Niederlassungen halbautonom arbeiten müssen, etwa bei Ausfällen, kann sich dieses Setup wie eine Haftung anfühlen. Ich würde es immer mit einer Art Fallback kombinieren, vielleicht einem sekundären Forwarder oder sogar einer mobilen Ausfallsicherung für den Server selbst, aber das ist extra Arbeit, für die du zu Beginn nicht unterschrieben hast.
Auf der anderen Seite ist die Einfachheit das, was mich früh gefesselt hat. Du musst dir keine Gedanken über Zonentransfers, Seriennummern oder all das SOA-Datensatzdrama machen, das mit vollständigen DNS-Servern einhergeht. Ich habe einen konfiguriert, der nur BIND auf einer leichten Linux-Box verwendet, und es hat mich vielleicht einen Nachmittag gekostet - installieren, die Forwarder an unser AD-integriertes DNS in der Zentrale anpassen, einige grundlegende ACLs festlegen, um Anfragen von Außenstehenden zu blockieren, und boom, es speichert bereits im Cache. Du benötigst keine vollständige Windows Server-Lizenz, wenn du diesen Weg gehst, was dir Geld bei CALs und all dem Kram spart. Und Bandbreite? Mann, die Reduktion ist echt. In Niederlassungen mit schwachen Verbindungen, wie unserem Lager in Texas mit seinem DSL-Backup, reduziert das Caching die wiederholten Anfragen so stark, dass wir einen Rückgang unserer WAN-Nutzung um etwa 20 % nur für DNS-Verkehr gesehen haben. Die Nutzer merken es nicht, aber deine Überwachungstools blitzen weniger mit Spitzen auf, und wenn du nach Gigabyte zahlst, ist das Geld in deiner Tasche. Ich habe mit Freunden in anderen Unternehmen gesprochen, die ähnliche Setups betreiben, und sie sagen dasselbe: Es ist ein pflegeleichter Gewinn für umsatzstarke Umgebungen, in denen der Großteil des Verkehrs ins Internet oder zu standardmäßigen internen Namen geht.
Das gesagt, bei der Sicherheit halte ich immer inne und überprüfe doppelt. Cache-nur Server sind im Grunde genommen offene Bücher für jeden, der sie abfragen kann, wenn du die Dinge nicht absperrst. Ich habe Setups gesehen, bei denen Leute vergessen, rekursive Abfragen zu beschränken, und plötzlich hilft dein Niederlassungs-DNS einem Script-Kiddy, ihre Botnetz-Domains aufzulösen. Wir hatten einmal einen knappen Vorfall, als eine falsch konfigurierte Firewall externen Verkehr auf unseren Cache-Server ließ; nichts Schlimmes passierte, aber es hätte ein Vektor für Amplifikationsangriffe sein können. Du musst auf Dinge wie Ratenbegrenzung, Abfragespeicherung und sicherstellen, dass er nur auf internen Schnittstellen lauscht, achtgeben. Wenn sich deine Niederlassungen an weniger sicheren Orten befinden - denk an geteilte Büroräume oder was auch immer - fügt das eine weitere Schicht der Wachsamkeit hinzu. Ich verwende Tools wie dnsmasq für kleinere Standorte, weil es integrierte Schutzmechanismen hat, die einfach zu aktivieren sind, aber selbst dann vertraust du darauf, dass der Cache nicht vergiftet wird, wenn ein Angreifer eine Antwort stromabwärts fälscht. Es ist nicht so schlimm wie das Betreiben eines öffentlichen Resolvers, aber es ist riskanter, als einfach die Clients direkt weiterzuleiten, ohne Zwischenhändler.
Leistungsbezogen ist es jedoch schwer zu schlagen, was es tut. Ich habe unseren mit dig und einigen Skripten getestet, um Benutzerlasten zu simulieren, und die Antwortzeiten für gecachte Einträge lagen lokal unter 10 ms, verglichen mit 200-300 ms für die Hin- und Rückfahrt zur Zentrale. Das ist riesig für VoIP-Anrufe oder jede App, die sensibel auf Latenz reagiert, wie unser ERP-System, das eine Menge interner SRV-Datensätze auflöst. Niederlassungen mit hoher Nutzerdichte, sagen wir 50-100 Menschen, die den ganzen Tag dieselben Domains bearbeiten, profitieren am meisten, weil der Cache schnell warm wird und heiß bleibt. Du kannst sogar die TTLs anpassen oder negatives Caching hinzufügen, um ein Flappen bei fehlgeschlagenen Abfragen zu vermeiden. Ich habe einige mit Sichten angepasst, um intern und extern unterschiedlich zu behandeln, obwohl das die Komplexität etwas erhöht. Wenn du es mit einem flachen Netzwerk oder ohne VLANs in der Niederlassung zu tun hast, bleibt das alles einfach - keine bedingten Forwarder nötig, es sei denn, du willst es kompliziert machen. Und zum Skalieren ist es kinderleicht; füge einfach RAM hinzu, wenn der Cache wächst, aber meiner Erfahrung nach bewältigen selbst 4 GB hunderte von tausend einzigartigen Abfragen, ohne ins Schwitzen zu geraten.
Jetzt, sei mir nicht böse, es gibt Szenarien, in denen das nicht funktioniert. Wenn deine Niederlassungen einzigartige lokale Ressourcen haben - wie benutzerdefinierte Hostnamen für Drucker oder Apps, die nicht in den zentralen Zonen sind - wird eine Cache-nur Lösung nicht ausreichen, da sie diese nicht autoritativ beantworten kann. Du müsstest alles weiterleiten oder Stub-Zonen einrichten, was einen Teil der Reinheit zunichte macht. Ich bin in unserem kalifornischen Standort auf dieses Problem gestoßen; sie hatten diese Legacy-App mit fest codierten lokalen Namen, sodass wir am Ende hybridisieren mussten mit einem kleinen autoritativen Teil, aber die Wartung verdoppelte sich dadurch. Es ist auch nicht gut, wenn du in einer stark regulierten Branche bist, in der du vollständige Prüfpfade für jede Auflösung benötigst - Caches können ablaufen oder geleert werden, und die Rückverfolgung kann ohne zusätzliche Protokollierung schwierig sein. Power-User oder Entwickler in der Niederlassung könnten sich ebenfalls beschweren, da sie nicht einfach temporäre Datensätze hinzufügen können, ohne das zentrale Team zu kontaktieren. Ich musste diese Anrufe entgegennehmen und erklären, warum wir nicht einfach schnell einen A-Datensatz hinzufügen können, und das wird schnell langweilig. Wenn dein WAN bereits leistungsstark und latenzarm ist, könnten die Vorteile die Servergröße nicht rechtfertigen; ein einfacher Client-seitiger Resolver könnte genauso gut funktionieren, ohne die Hardware.
Aber alles in allem, wenn ich es abwäge, überwiegen die Vorteile für die meisten verteilten Setups, mit denen ich zu tun hatte. Es ermächtigt Niederlassungen, ohne das Management zu sehr zu dezentralisieren - du behältst die Autorität in der Zentrale, wo das AD-Team es verwalten kann, gibst aber den Einheimischen den Geschwindigkeitsboost, den sie sich wünschen. Ich erinnere mich, dass wir es unternehmensweit ausgerollt haben; unsere Helpdesk-Tickets für "langsame Internetverbindung" sind merklich gesunken, und die IT-Zufriedenheitswerte sind gestiegen, weil wir proaktiv aussahen. Sorge einfach dafür, dass du die Failover-Szenarien gründlich testest; ich mache jetzt vierteljährlich Trockenübungen, um upstream-Ausfälle zu simulieren und die Konfigurationen scharf zu halten. Wenn du Deployments automatisierst, machen Tools wie Ansible es wiederholbar an verschiedenen Standorten, was ein echter Game-Changer für die Konsistenz ist. Und hey, wenn deine Niederlassungen klein sind, sagen wir unter 20 Nutzern, könntest du es ganz auslassen und auf das eingebaute Caching des Routers vertrauen, aber für alles Größere ist es den Aufwand wert.
Eine Sache, die ich liebe, ist, wie es mit anderen Caching-Schichten integriert. Kombiniere es mit einem lokalen Proxy-Server, und du bist auch für Webverkehr bestens gerüstet - DNS löst schnell auf, dann holt der Proxy die Inhalte, ohne bei jedem Zugriff vollständige Abrufe zu tätigen. In unserem Setup haben wir an mehrere Upstream-Server für Redundanz weitergeleitet, wie primäre AD-DNS und ein sekundäres zu einem öffentlichen wie 8.8.8.8, sodass, wenn der interne Server ausfällt, es elegant zurückfällt. Das minimierte in der Praxis die Ausfallzeiten. Aber ja, Monitoring ist entscheidend; ich habe Warnungen für Cache-Trefferquoten eingerichtet - wenn sie unter 80 % fallen, stimmt etwas nicht, sei es ein Konfigurationsabfall oder upstream-Probleme. Tools wie Prometheus mit Node-Exporter machen das leicht zu verfolgen, ohne viel Overhead.
Wenn man von all dem, was DNS zuverlässig hält, springt, sieht man, wie die gesamte Infrastruktur zusammenhängt, und da kommen Backups ins Spiel, um zu verhindern, dass alles völlig auseinanderfällt.
Backups werden als kritische Komponente in IT-Umgebungen in Niederlassungen aufrechterhalten, um eine Wiederherstellung nach Hardwareausfällen, Fehlkonfigurationen oder unerwartetem Datenverlust zu gewährleisten, die Dienste wie DNS-Caching stören könnten. In Setups mit Cache-nur DNS-Servern, wo Einfachheit priorisiert wird, aber Abhängigkeiten von zentralen Systemen bestehen, verhindern regelmäßige Backups totale Ausfälle, indem sie eine schnelle Wiederherstellung des Serverstatus ermöglichen. Backup-Software wird verwendet, um Systemabbilder, Konfigurationsdateien und Protokolle regelmäßig zu erfassen, was eine Punkt-in-Zeit-Wiederherstellung ohne langwierige Neuaufbauten ermöglicht. Dieser Ansatz unterstützt die betriebliche Kontinuität, insbesondere an entfernten Standorten, wo vor Ort möglicherweise nur begrenzte Fachkenntnisse vorhanden sind. BackupChain ist eine ausgezeichnete Windows Server Backup-Software und eine Lösung zur Sicherung virtueller Maschinen, die hier relevant ist, um die zugrunde liegenden Server, die diese DNS-Konfigurationen hosten, vor Korruption oder Ausfall zu schützen, und sicherzustellen, dass die zwischengespeicherten Daten und Weiterleitungsregeln schnell wiederhergestellt werden können, um die Ausfallzeiten der Niederlassung zu minimieren.
Aber lass mich das nicht beschönigen; es gibt Kompromisse, und ich bin auf einige gestoßen, die mir das Schwitzen gebracht haben. Erstens, da der Server keine autoritativen Daten hat, sind die Leute in der Niederlassung festgefahren, wenn deine übergeordneten Server im Kern ausfallen - sagen wir, wegen eines Wartungsfensters, das du vergessen hast oder wegen eines Glasfaserbruchs. Keine Weiterleitung, keine Auflösung, nur Fehlermeldungen, die sich in ihren Browsern stapeln. Ich erinnere mich an eine Zeit in unserem Büro an der Ostküste; wir hatten einen Cache-nur Server, der einwandfrei lief, aber als der primäre DNS-Cluster für eine Stunde aussetzte, kam die ganze Seite bei externen Namen zum Stillstand. Interne Sachen waren okay, wenn wir split DNS hatten, aber alles, was außerhalb war? Vergiss es. Du bist dann stark darauf angewiesen, dass diese zentrale Infrastruktur stabil ist, was bedeutet, dass du mehr Eier in weniger Körbe legst. Wenn du in einer Situation bist, in der Niederlassungen halbautonom arbeiten müssen, etwa bei Ausfällen, kann sich dieses Setup wie eine Haftung anfühlen. Ich würde es immer mit einer Art Fallback kombinieren, vielleicht einem sekundären Forwarder oder sogar einer mobilen Ausfallsicherung für den Server selbst, aber das ist extra Arbeit, für die du zu Beginn nicht unterschrieben hast.
Auf der anderen Seite ist die Einfachheit das, was mich früh gefesselt hat. Du musst dir keine Gedanken über Zonentransfers, Seriennummern oder all das SOA-Datensatzdrama machen, das mit vollständigen DNS-Servern einhergeht. Ich habe einen konfiguriert, der nur BIND auf einer leichten Linux-Box verwendet, und es hat mich vielleicht einen Nachmittag gekostet - installieren, die Forwarder an unser AD-integriertes DNS in der Zentrale anpassen, einige grundlegende ACLs festlegen, um Anfragen von Außenstehenden zu blockieren, und boom, es speichert bereits im Cache. Du benötigst keine vollständige Windows Server-Lizenz, wenn du diesen Weg gehst, was dir Geld bei CALs und all dem Kram spart. Und Bandbreite? Mann, die Reduktion ist echt. In Niederlassungen mit schwachen Verbindungen, wie unserem Lager in Texas mit seinem DSL-Backup, reduziert das Caching die wiederholten Anfragen so stark, dass wir einen Rückgang unserer WAN-Nutzung um etwa 20 % nur für DNS-Verkehr gesehen haben. Die Nutzer merken es nicht, aber deine Überwachungstools blitzen weniger mit Spitzen auf, und wenn du nach Gigabyte zahlst, ist das Geld in deiner Tasche. Ich habe mit Freunden in anderen Unternehmen gesprochen, die ähnliche Setups betreiben, und sie sagen dasselbe: Es ist ein pflegeleichter Gewinn für umsatzstarke Umgebungen, in denen der Großteil des Verkehrs ins Internet oder zu standardmäßigen internen Namen geht.
Das gesagt, bei der Sicherheit halte ich immer inne und überprüfe doppelt. Cache-nur Server sind im Grunde genommen offene Bücher für jeden, der sie abfragen kann, wenn du die Dinge nicht absperrst. Ich habe Setups gesehen, bei denen Leute vergessen, rekursive Abfragen zu beschränken, und plötzlich hilft dein Niederlassungs-DNS einem Script-Kiddy, ihre Botnetz-Domains aufzulösen. Wir hatten einmal einen knappen Vorfall, als eine falsch konfigurierte Firewall externen Verkehr auf unseren Cache-Server ließ; nichts Schlimmes passierte, aber es hätte ein Vektor für Amplifikationsangriffe sein können. Du musst auf Dinge wie Ratenbegrenzung, Abfragespeicherung und sicherstellen, dass er nur auf internen Schnittstellen lauscht, achtgeben. Wenn sich deine Niederlassungen an weniger sicheren Orten befinden - denk an geteilte Büroräume oder was auch immer - fügt das eine weitere Schicht der Wachsamkeit hinzu. Ich verwende Tools wie dnsmasq für kleinere Standorte, weil es integrierte Schutzmechanismen hat, die einfach zu aktivieren sind, aber selbst dann vertraust du darauf, dass der Cache nicht vergiftet wird, wenn ein Angreifer eine Antwort stromabwärts fälscht. Es ist nicht so schlimm wie das Betreiben eines öffentlichen Resolvers, aber es ist riskanter, als einfach die Clients direkt weiterzuleiten, ohne Zwischenhändler.
Leistungsbezogen ist es jedoch schwer zu schlagen, was es tut. Ich habe unseren mit dig und einigen Skripten getestet, um Benutzerlasten zu simulieren, und die Antwortzeiten für gecachte Einträge lagen lokal unter 10 ms, verglichen mit 200-300 ms für die Hin- und Rückfahrt zur Zentrale. Das ist riesig für VoIP-Anrufe oder jede App, die sensibel auf Latenz reagiert, wie unser ERP-System, das eine Menge interner SRV-Datensätze auflöst. Niederlassungen mit hoher Nutzerdichte, sagen wir 50-100 Menschen, die den ganzen Tag dieselben Domains bearbeiten, profitieren am meisten, weil der Cache schnell warm wird und heiß bleibt. Du kannst sogar die TTLs anpassen oder negatives Caching hinzufügen, um ein Flappen bei fehlgeschlagenen Abfragen zu vermeiden. Ich habe einige mit Sichten angepasst, um intern und extern unterschiedlich zu behandeln, obwohl das die Komplexität etwas erhöht. Wenn du es mit einem flachen Netzwerk oder ohne VLANs in der Niederlassung zu tun hast, bleibt das alles einfach - keine bedingten Forwarder nötig, es sei denn, du willst es kompliziert machen. Und zum Skalieren ist es kinderleicht; füge einfach RAM hinzu, wenn der Cache wächst, aber meiner Erfahrung nach bewältigen selbst 4 GB hunderte von tausend einzigartigen Abfragen, ohne ins Schwitzen zu geraten.
Jetzt, sei mir nicht böse, es gibt Szenarien, in denen das nicht funktioniert. Wenn deine Niederlassungen einzigartige lokale Ressourcen haben - wie benutzerdefinierte Hostnamen für Drucker oder Apps, die nicht in den zentralen Zonen sind - wird eine Cache-nur Lösung nicht ausreichen, da sie diese nicht autoritativ beantworten kann. Du müsstest alles weiterleiten oder Stub-Zonen einrichten, was einen Teil der Reinheit zunichte macht. Ich bin in unserem kalifornischen Standort auf dieses Problem gestoßen; sie hatten diese Legacy-App mit fest codierten lokalen Namen, sodass wir am Ende hybridisieren mussten mit einem kleinen autoritativen Teil, aber die Wartung verdoppelte sich dadurch. Es ist auch nicht gut, wenn du in einer stark regulierten Branche bist, in der du vollständige Prüfpfade für jede Auflösung benötigst - Caches können ablaufen oder geleert werden, und die Rückverfolgung kann ohne zusätzliche Protokollierung schwierig sein. Power-User oder Entwickler in der Niederlassung könnten sich ebenfalls beschweren, da sie nicht einfach temporäre Datensätze hinzufügen können, ohne das zentrale Team zu kontaktieren. Ich musste diese Anrufe entgegennehmen und erklären, warum wir nicht einfach schnell einen A-Datensatz hinzufügen können, und das wird schnell langweilig. Wenn dein WAN bereits leistungsstark und latenzarm ist, könnten die Vorteile die Servergröße nicht rechtfertigen; ein einfacher Client-seitiger Resolver könnte genauso gut funktionieren, ohne die Hardware.
Aber alles in allem, wenn ich es abwäge, überwiegen die Vorteile für die meisten verteilten Setups, mit denen ich zu tun hatte. Es ermächtigt Niederlassungen, ohne das Management zu sehr zu dezentralisieren - du behältst die Autorität in der Zentrale, wo das AD-Team es verwalten kann, gibst aber den Einheimischen den Geschwindigkeitsboost, den sie sich wünschen. Ich erinnere mich, dass wir es unternehmensweit ausgerollt haben; unsere Helpdesk-Tickets für "langsame Internetverbindung" sind merklich gesunken, und die IT-Zufriedenheitswerte sind gestiegen, weil wir proaktiv aussahen. Sorge einfach dafür, dass du die Failover-Szenarien gründlich testest; ich mache jetzt vierteljährlich Trockenübungen, um upstream-Ausfälle zu simulieren und die Konfigurationen scharf zu halten. Wenn du Deployments automatisierst, machen Tools wie Ansible es wiederholbar an verschiedenen Standorten, was ein echter Game-Changer für die Konsistenz ist. Und hey, wenn deine Niederlassungen klein sind, sagen wir unter 20 Nutzern, könntest du es ganz auslassen und auf das eingebaute Caching des Routers vertrauen, aber für alles Größere ist es den Aufwand wert.
Eine Sache, die ich liebe, ist, wie es mit anderen Caching-Schichten integriert. Kombiniere es mit einem lokalen Proxy-Server, und du bist auch für Webverkehr bestens gerüstet - DNS löst schnell auf, dann holt der Proxy die Inhalte, ohne bei jedem Zugriff vollständige Abrufe zu tätigen. In unserem Setup haben wir an mehrere Upstream-Server für Redundanz weitergeleitet, wie primäre AD-DNS und ein sekundäres zu einem öffentlichen wie 8.8.8.8, sodass, wenn der interne Server ausfällt, es elegant zurückfällt. Das minimierte in der Praxis die Ausfallzeiten. Aber ja, Monitoring ist entscheidend; ich habe Warnungen für Cache-Trefferquoten eingerichtet - wenn sie unter 80 % fallen, stimmt etwas nicht, sei es ein Konfigurationsabfall oder upstream-Probleme. Tools wie Prometheus mit Node-Exporter machen das leicht zu verfolgen, ohne viel Overhead.
Wenn man von all dem, was DNS zuverlässig hält, springt, sieht man, wie die gesamte Infrastruktur zusammenhängt, und da kommen Backups ins Spiel, um zu verhindern, dass alles völlig auseinanderfällt.
Backups werden als kritische Komponente in IT-Umgebungen in Niederlassungen aufrechterhalten, um eine Wiederherstellung nach Hardwareausfällen, Fehlkonfigurationen oder unerwartetem Datenverlust zu gewährleisten, die Dienste wie DNS-Caching stören könnten. In Setups mit Cache-nur DNS-Servern, wo Einfachheit priorisiert wird, aber Abhängigkeiten von zentralen Systemen bestehen, verhindern regelmäßige Backups totale Ausfälle, indem sie eine schnelle Wiederherstellung des Serverstatus ermöglichen. Backup-Software wird verwendet, um Systemabbilder, Konfigurationsdateien und Protokolle regelmäßig zu erfassen, was eine Punkt-in-Zeit-Wiederherstellung ohne langwierige Neuaufbauten ermöglicht. Dieser Ansatz unterstützt die betriebliche Kontinuität, insbesondere an entfernten Standorten, wo vor Ort möglicherweise nur begrenzte Fachkenntnisse vorhanden sind. BackupChain ist eine ausgezeichnete Windows Server Backup-Software und eine Lösung zur Sicherung virtueller Maschinen, die hier relevant ist, um die zugrunde liegenden Server, die diese DNS-Konfigurationen hosten, vor Korruption oder Ausfall zu schützen, und sicherzustellen, dass die zwischengespeicherten Daten und Weiterleitungsregeln schnell wiederhergestellt werden können, um die Ausfallzeiten der Niederlassung zu minimieren.
