18
Zurück zur ersten Seite Kay Sander kay . sander @ gmx .de Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k- Domains in bestehende Umgebungen

Zurück zur ersten Seite [email protected] Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Embed Size (px)

Citation preview

Page 1: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Domain Name ServiceGrundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen

Page 2: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Grundlagen des DNS Namensraum DNS-Server DNS-Abfrage

Page 3: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Der Namensraum (RFC 920)ro o t

.

d e us c o m e d u g o v int m il ne t o rg arp a

htw -d re s d e n

info rm atik rz

ia ix1 ip o 1 3 7 ro b re x

in-ad d rLänderkennungen gemäß ISO(Country Domains)Generic Domains:com Kommerzielle Einrichtungenedu Bildungswesengov US-Regierungint Internationale Organisationenmil US-Militärnet Netzwerkorganisationenorg andere „non-profit“-Organisationenin-addr.arpa Reverse Mapping

Page 4: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

DNS-Server

• Rootserver• Top-Level-Domain-Server• Master-Server

Primary Nameserver Secondary Nameserver

• Caching Server• Forwarder Server• Slave Server

Page 5: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Rootserver

„Einstieg“ in Domain-Namensraum

enthalten komplette Informationen über die Top-Level-Domains

sind Einstiegspunkt für das Reverse-Mapping(in-addr.arpa)

Page 6: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Top-Level-Domain-Server

enthalten komplette Informationen über die Second-Level-Domains ihrer Zone

Beispiel:ns.nic.de enthält die Informationen der Zone „de“ enthält einen Verweis auf den Nameserver der Domain htw-dresden.de

Page 7: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Master-Server

Nameservice für eine oder mehrere ZonenPrimary Nameserver:

• Verwaltung der Zonendaten• ist autorisiert Anfragen verbindlich zu beantworten

Secondary Nameserver:• ist Backup-Server• gleicht Zonendaten mit Primary NS ab• ist autorisiert Anfragen verbindlich zu beantworten

Page 8: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Master-Server (Konfigurationen)

Page 9: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Caching-Server

Jeder Nameserver ist auch Caching-Server.Er speichert die von anderen NS erhaltenenInformationen über den Namensraum.Die Daten verfallen nach der Time-to-Live.

Caching-only-Server:• NS ohne eigene Zone• enthält nur Cache-Daten über den Namensraum (Verfall nach TTL)

Page 10: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Forwarder- und Slave-Server

Forwarder-Server:direktes Abfragen der Root- und Master-Server

Slave-Server:Weiterleitung der Anfrage an Forwarder-Serverkein direktes Abfragen der Root- und Master-Server

Ziel:Aufbau eines relativ großen Cache zur schnellenBeantwortung der Anfragen

Page 11: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

DNS-AbfrageN am e -S e rve r

H T W

R e s o lve r

ro o t.

ns .n ic .d e

N am e -S e rve rhe is e .d e

f tp .he is e .d e

Wo ist ftp.heise.de?

Wo ist ftp.heise.de?

Liefert Referenzauf ns.nic.de

Wo ist ftp.heise.de?Liefert Referenzauf Nameserver heise.de

Wo ist ftp.heise.de?Liefert Referenzauf ftp.heise.de

Liefert Referenzauf ftp.heise.de

Kommunikation mitftp.heise.de

Page 12: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Implementierung im Active DirectoryIn Win2k stellt der DNS-Server eine Sicht auf denGlobal Catalog des Active Directory dar.Der DNS-Server enthält allerdings einige Erweiterungengegenüber „herkömmlichen“ DNS-Servern, welche aberstandardisiert sind.

Wichtigste Erweiterung:Service Records (RFC 2052)Dynamic DNS (RFC 2136)

Anmerkung:Diese Erweiterung sind auch in BIND ver. 8.1.2implementiert.

Page 13: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Service Records (RFC 2052)Die Namensauflösung erfolgt nicht nur aufgrund desangefragten Rechnernamens, sondern berücksichtigtzusätzlich den angeforderten Dienst und Aspekte derLastverteilung. Dazu werden Dienstbezeichnungenund Transportprotokolle mit im DNS eingetragen.

Beispiel:bisher:http://www.htw-dresden.de www.htw-dresden.deneuhttp://www.htw-dresden.de http.tcp.www.htw-dresden.deIm DNS-Server können nun mehrere Webservereingetragen sein und der DNS-Server liefert gemäßeines Lastverteilungschlüssels abwechselnd unter-schiedliche IP-Adressen.

Page 14: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Dynamic DNS (RFC 2136)

DDNS ist eine Erweiterung für dynamische Änderungen inder DNS-Datenbank.Es wurde ein neuer opcode eingeführt, welcher denDNS-Server anweist, Einträge zu löschen oder neuehinzuzufügen.

Page 15: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Betriebsarten des Win2k-DNS

• Secondary Server• Primary Server mit herkömmlicher Zonendatei• Primary Server im integrierten Modus d.h.: DNS-Daten werden nicht mehr in einer Zonendatei,

sondern im Verzeichnisbaum des Active Directorygespeichert.

Vorteil: Nutzung der Sicherungs- und Replikationsmechanismen des Active Directory (nur authentifizierte Änderungen, Ausfallsicherheit, Lastverteilung) Nachteil: keine Zonendatei, welche für Replikation zwischen UNIX- und Win2k-basiertem DNS benötigt wird

Page 16: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Integration von Win2k-Domains in bestehende Umgebungen 2 Wege:

Win2k übernimmt gesamte Namensauflösung

bestehende Konfiguration beibehalten + Win2k in eigener Subdomain betreiben

Page 17: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Win2k übernimmt gesamte Namensauflösung

• Primary Server mit Zonendatei aufsetzen• Zonendatei (%systemroot%/system32/dns/) um Einträge aus bestehender Zonendatei erweitern• Server in integrierten Modus schalten

Page 18: Zurück zur ersten Seite kay.sander@gmx.de Kay Sander Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains

Zurück zur ersten Seite

Kay Sander

[email protected]

Win2k in eigener Subdomain betreiben

• nicht autorisierte Domain (win2k.htw) interne Namensauflösung durch Win2k + alle anderen Anfragen an externen DNS-Server• autorisierte Domain (win2k.htw-dresden.de) Delegated Subzone im bestehenden DNS einrichten, dann sind die Rechner in Win2k-Domain von außen erreichbar oder: keine Anbindung an Internet-DNS-Struktur; dann interne Namensauflösung durch Win2k + Internet- namensauflösung durch „externen“ Server; dabei sind nur die Rechner von außen erreichbar, welche explizit im „externen“ DNS eingetragen sind