Netzwerk Allgemeines

Was ist DNS?

Abkürzung für "Domain Name System", eine verteilte Datenbank von Host Informationen.

Es unterstützt folgende Funktionen:

  • Wenn man ihm einen Namen angibt, liefert es die IP-Adresse zurück
  • Bei Angabe der IP-Adresse liefert es den Namen.
  • Auf einen Domänen-Namen liefert es den zugehörigen Mail-Server
  • Auf den Domänen-Namen liefert es die zugehörigen DNS-Server für diese Domäne.

Wozu braucht man das?

DNS ist nur zur Erleichterung für die Menschen. Was können Sie sich leichter merken: www.microsoft.com oder 207.46.130.45 ? Menschen können sich IP-Adressen nur schwer merken, sie bevorzugen schöne Namen, während Computer NUR IP-Adressen verstehen.

Ausnahmen: Einen Mail-Server für eine Domäne zu finden, benötigt DNS.

Web-Server können so konfiguriert werden, dass sie nur eine IP-Adresse verwenden, aber unterschiedliche Web-Sites bedienen, abhängig davon, welcher DNS-Name angefragt wurde. Beachten Sie bitte, das Windows-Systeme (zumindest bis NT4) kein DNS verwenden, um Namen aufzulösen, sondern WINS (Windows Internet Naming Service), ein ähnliches System!

Wie wird DNS am Windows-Client konfiguriert?

Sollten die DNS-Einstellungen nicht über einen DCHP geliefert werden, so müssen sie von Hand eingetragen werden:

  • Klicken Sie mit der rechten Maustaste auf "Netzwerkumgebung" Klicken Sie auf "Eigenschaften"
  • Klicken Sie auf "Protokolle"
  • Wählen Sie "TCP/IP"
  • Klicken sie auf "DNS"
    Tragen Sie den DNS-Server unter "Suchreihenfolge des DNS-Dienstes" ein.

Warum sollte ich das tun?

Sie müssen Ihrer Windows-Maschine mitteilen, wohin es seine DNS-Anfragen richten soll. Wenn Sie einen internen DNS-Server verwenden, sollten alle Clients auf diesen verweisen, andernfalls sollten Sie Ihre Firewall als DNS eintragen.

Wie kann man den DNS testen?

Öffnen Sie unter Windows NT ein DOS-Fenster und geben Sie folgendes ein:

nslookup

Dieser Befehl sollte Ihnen den DNS-Server mit IP-Adresse und Namen zurückliefern.

Sie können auch eine Namensanfrage absetzen

Beispiele:

nslookup www.riab.de
nslookup 212.14.75.133
nslookup set type=mx Riab.de

Welche Informationen kann nslookup liefern?

Sie können angeben, wonach Sie suchen wollen:

set type= mx Mail record  
  ns Name Server a Address Record (look up a name)
  ptr Pointer Record (look up an IP address)
  axfr Zone Transfer

Wenn Sie wollen, dass nicht Ihr Standard-DNS antwortet, sondern ein bestimmter DNS-Server, so gehen Sie folgendermaßen vor:

In nslookup können Sie eingeben:

server 10.0.0.1

Alle darauf folgenden Anfragen werden an diesen Server gerichtet.

Was ist ein "root" Name Server?

Dies sind die "obersten" Name Server im Internet. Das InterNic verwaltet die "root" Name Server. Wenn Sie Ihre Domain registrieren, fordern Sie InterNic auf, einen neuen "Name Server" Eintrag in diese Haupt-Server vorzunehmen. Zur Zeit gibt es 13 root name server, diese haben alle die selben Informationen. Sie bedienen alle .com, .net, .gov, .org, .edu Anfragen, sie kennen die DNS für fremde Domains (z.B. .de, .uk, .tw) Für jede Domain haben sie die IP-Adressen von 2 DNS Servern für diese Domain.

Beispiel: Fragen Sie Ihren zugehörigen Name Server an: Öffnen Sie ein DOS-Fenster und geben Sie folgendes ein:

nslookup
> set type=ns
> riab.de
Server: riab.mowin.de Address: 192.168.0.1
Nicht-autorisierte Antwort:
digital-labs.de nameserver = ns.komuna-online.de
digital-labs.de nameserver = ns2.open-networks.de
ns.komuna-online.de internet address = 212.14.75.131
ns2.open-networks.de internet address = 193.149.37.89

Also sind unsere 2 Server die 212.14.75.131 und 193.149.37.89

Okay... und wie ist die IP unseres Web-Servers?

Jetzt wissen wir immerhin, wen wir fragen müssen. Erinnern Sie Sich: die root name server wissen nur, wen sie fragen müssen, die eigentliche Information haben sie selbst nicht.

D:\>nslookup
Standard-Server: riab.mowin.de Address: 192.168.0.1
> www.digital-labs.de
Server: riab.mowin.de
Address: 192.168.0.1
Nicht-autorisierte Antwort: Name: www.digital-labs.de
Address: 212.14.75.132

Offensichtlich wusste nslookup bereits, wie es den korrekten Server selbst finden konnte. Sie müssen also nicht erst den name server nachsehen und Ihre Anfrage dann an diesen richten, nslookup macht dies automatisch. Trotzdem kann es manchmal sehr praktisch sein zu wissen, wie nslookup funktioniert:

  • Wenn Sie wissen wollen, welche Datensätze ein Server publiziert.
  • Wenn Sie wissen wollen, welche DNS-Server Sie beim InterNic registriert haben.
  • Wenn Sie den Mail-Server für eine Domain finden wollen.

Fragen Sie www.cnn.com an.

D:\>nslookup www.cnn.com
Server: riab.mowin.de
Address: 192.168.0.1
Nicht-autorisierte Antwort:
Name: cnn.com Addresses:
207.25.71.9, 207.25.71.12, 207.25.71.20, 207.25.71.22 207.25.71.23, 207.25.71.24, 207.25.71.25, 207.25.71.26, 207.25.71.27 207.25.71.28, 207.25.71.29, 207.25.71.30, 207.25.71.82, 207.25.71.199 207.25.71.245, 207.25.71.246, 207.25.71.5, 207.25.71.6, 207.25.71.7 207.25.71.8
Aliases: www.cnn.com

Wow, ziemlich viele Einträge.

Beachten Sie die Reihenfolge, .9 kommt in unserem Fall zuerst.

Lassen Sie die Anfrage nochmals laufen. Jetzt ist die .12 vorne. Was passiert hier?

Round Robin Load Balancing

Um die Belastung zu verteilen, antworten alle DNS Server in einer "round robin fashion", d.h. sie liefern abwechselnd die Einträge aus, die sie haben. Wenn Sie also die selbe Anfrage mehrmals starten, erhalten Sie die selbe Antwort, jedoch mit unterschiedlicher Reihenfolge. Jeder Client versucht zunächst die erste Adresse, die er als Antwort erhält. Die Rotation liegt in der Verantwortung des DNS-Servers.

Den Mail Server einer Domäne finden

Jede DNS-Domain muss einen MX Eintrag veröffentlichen, wenn sie in der Lage sein will, Mails zu empfangen.

nslookup kann eingesetzt werden, um diesen nachzuschlagen:

> set type=mx
> digital-labs.de
Server: riab.mowin.de Address: 192.168.0.1
Nicht-autorisierte Antwort:
digital-labs.de MX preference = 100, mail exchanger = mail.komuna-online.de
digital-labs.de nameserver = ns2.open-networks.de
digital-labs.de nameserver = ns.komuna-online.de
mail.komuna-online.de internet address = 212.14.75.130
ns2.open-networks.de internet address = 193.149.37.89
ns.komuna-online.de internet address = 212.14.75.131

Dies zeigt uns den Mail-Server für digital-labs.de an Ohne diesen MX-Eintrag für die Domain könnte niemand im Internet feststellen, welche Ihrer Maschinen der Mail-Server ist, dadurch könnten Sie keine Mails empfangen.

Mail Record

Mail Server verwenden ein zusätzliches Feld (Priority number), um festzustellen, auf welchen Server Sie zugreifen müssen. Der Server mit der NIEDRIGSTEN priority number ist derjenige, an den die Mails zuerst gesendet werden sollen. Sollte das nicht klappen, wir der mit der nächsthöheren Priorität angesprochen. Alle Einträge mit der selben Priorität werden in der üblichen Methode rotiert.

Serving DNS

Was ist ein DNS Server? Eine Maschine, die DNS-Einträge für eine oder mehrere Domains bei sich hält.

Beispiel: Für digital-labs.de gibt es 2 DNS Server: 

ns.komuna-online.de
ns2.open-networks.de

InterNic fordert, dass 2 Server angegeben werden, wenn Sie einen Namen registrieren., Beide sind "authoritative" für digital-labs.de Sie haben die selben Informationen vorliegen. Einer (kommuna-online) ist als "primary" benannt, der andere als "secondary".

Primary vs. Secondary

Beide Server haben die selben Informationen. Leute aus dem Internet fragen bei beiden an (round robin fashion). Dies bedeutet, dass auch Ihr Secondary DNS Anfragen zu Ihrer Domäne bedient. Der Secondary aktualisiert seine Einträge vom Primary. Normalerweise überprüft er alle 6 Stunden, ob sich etwas geändert hat.

Running a DNS Server

Offensichtlich muss jemand für Sie den DNS-Server einrichten. Viele überlassen dies einfach Ihrem ISP, den DNS zu hosten, andere richten sich selbst einen DNS ein. Sie können die Firewall benutzen, eine NT-Maschine, ein Novell-System oder einen Unix-Rechner.

ABER: Irgendwo müssen Sie zwei Server laufen haben!

Sehr oft hat man auch den Primary vor Ort, während der ISP den Secondary hostet.

Was muss ich veröffentlichen?

Wenn Sie Mails empfangen wollen, müssen Sie einen MX-Eintrag für Ihre Domain veröffentlichen.
Wenn Sie öffentliche Server haben, müssen Sie deren Namen veröffentlichen.

Beispiele www.riab.de ftp.mowin.de pop.kommuna-online.de

Was ist mit den restlichen Maschinen in meinem LAN?

Sie können die Einträge für alle Maschinen veröffentlichen.

  • Vorteil: Dadurch können Sie interne Maschinen aus dem Internet über den Namen anpingen und ggf. darauf zugreifen Sie veröffentlichen eine Liste all Ihrer internen Maschinen überall in der Welt.
  • Nachteil: Sicherheitstechnisch betrachtet, liefert dies Hackern einen Ansatzpunkt

Kann man nur EINIGE Einträge veröffentlichen?

Ja, dieses Konzept nennt man Split DNS. Sie installieren Ihre 2 öffentlichen DNS-Server außerhalb Ihrer Firewall. Oft ist einer davon die Firewall selbst, der andere steht beim ISP. Diese Server veröffentlichen nur MX-Einträge und die für die öffentlichen Server. Intern installieren Sie einen zusätzlichen DNS-Server. Dieser Server ist ebenso Primary, aber nicht beim InterNic registriert. Dieser Server enthält ALLE Informationen über Ihre Domain. Sie müssen diesen in der Firewall eintragen. Sie konfigurieren alle internen Clients so, dass sie auf diesen internen Server verweisen.

Forwarding Servers

Ein Sonderfall, wenn Sie den DNS hinter einer Firewall betreiben: Der interne DNS Server kann die "root name server" nicht direkt anfragen, die Anfrage müsste durch die Firewall gehen. Der interne Server muss so eingestellt werden, dass er seine Anfragen zur Firewall "forwarded". Wenn sie diese Option aktivieren, sollten Sie den internen Server auch immer der Firewall unterordnen. D.h. er versucht nicht selbst DNS-Auflösungen zu machen, sondern leitet sie an die Firewall weiter. Sonst müssten Sie immer warten, bis er einen Timeout beim Warten auf eine Antwort erhält.