Upload
anneken-effertz
View
107
Download
1
Embed Size (px)
Citation preview
Zurück zur ersten Seite
Kay Sander
Domain Name ServiceGrundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen
Zurück zur ersten Seite
Kay Sander
Grundlagen des DNS Namensraum DNS-Server DNS-Abfrage
Zurück zur ersten Seite
Kay Sander
Der Namensraum (RFC 920)ro o t
.
d e us c o m e d u g o v int m il ne t o rg arp a
htw -d re s d e n
info rm atik rz
ia ix1 ip o 1 3 7 ro b re x
in-ad d rLänderkennungen gemäß ISO(Country Domains)Generic Domains:com Kommerzielle Einrichtungenedu Bildungswesengov US-Regierungint Internationale Organisationenmil US-Militärnet Netzwerkorganisationenorg andere „non-profit“-Organisationenin-addr.arpa Reverse Mapping
Zurück zur ersten Seite
Kay Sander
DNS-Server
• Rootserver• Top-Level-Domain-Server• Master-Server
Primary Nameserver Secondary Nameserver
• Caching Server• Forwarder Server• Slave Server
Zurück zur ersten Seite
Kay Sander
Rootserver
„Einstieg“ in Domain-Namensraum
enthalten komplette Informationen über die Top-Level-Domains
sind Einstiegspunkt für das Reverse-Mapping(in-addr.arpa)
Zurück zur ersten Seite
Kay Sander
Top-Level-Domain-Server
enthalten komplette Informationen über die Second-Level-Domains ihrer Zone
Beispiel:ns.nic.de enthält die Informationen der Zone „de“ enthält einen Verweis auf den Nameserver der Domain htw-dresden.de
Zurück zur ersten Seite
Kay Sander
Master-Server
Nameservice für eine oder mehrere ZonenPrimary Nameserver:
• Verwaltung der Zonendaten• ist autorisiert Anfragen verbindlich zu beantworten
Secondary Nameserver:• ist Backup-Server• gleicht Zonendaten mit Primary NS ab• ist autorisiert Anfragen verbindlich zu beantworten
Zurück zur ersten Seite
Kay Sander
Caching-Server
Jeder Nameserver ist auch Caching-Server.Er speichert die von anderen NS erhaltenenInformationen über den Namensraum.Die Daten verfallen nach der Time-to-Live.
Caching-only-Server:• NS ohne eigene Zone• enthält nur Cache-Daten über den Namensraum (Verfall nach TTL)
Zurück zur ersten Seite
Kay Sander
Forwarder- und Slave-Server
Forwarder-Server:direktes Abfragen der Root- und Master-Server
Slave-Server:Weiterleitung der Anfrage an Forwarder-Serverkein direktes Abfragen der Root- und Master-Server
Ziel:Aufbau eines relativ großen Cache zur schnellenBeantwortung der Anfragen
Zurück zur ersten Seite
Kay Sander
DNS-AbfrageN am e -S e rve r
H T W
R e s o lve r
ro o t.
ns .n ic .d e
N am e -S e rve rhe is e .d e
f tp .he is e .d e
Wo ist ftp.heise.de?
Wo ist ftp.heise.de?
Liefert Referenzauf ns.nic.de
Wo ist ftp.heise.de?Liefert Referenzauf Nameserver heise.de
Wo ist ftp.heise.de?Liefert Referenzauf ftp.heise.de
Liefert Referenzauf ftp.heise.de
Kommunikation mitftp.heise.de
Zurück zur ersten Seite
Kay Sander
Implementierung im Active DirectoryIn Win2k stellt der DNS-Server eine Sicht auf denGlobal Catalog des Active Directory dar.Der DNS-Server enthält allerdings einige Erweiterungengegenüber „herkömmlichen“ DNS-Servern, welche aberstandardisiert sind.
Wichtigste Erweiterung:Service Records (RFC 2052)Dynamic DNS (RFC 2136)
Anmerkung:Diese Erweiterung sind auch in BIND ver. 8.1.2implementiert.
Zurück zur ersten Seite
Kay Sander
Service Records (RFC 2052)Die Namensauflösung erfolgt nicht nur aufgrund desangefragten Rechnernamens, sondern berücksichtigtzusätzlich den angeforderten Dienst und Aspekte derLastverteilung. Dazu werden Dienstbezeichnungenund Transportprotokolle mit im DNS eingetragen.
Beispiel:bisher:http://www.htw-dresden.de www.htw-dresden.deneuhttp://www.htw-dresden.de http.tcp.www.htw-dresden.deIm DNS-Server können nun mehrere Webservereingetragen sein und der DNS-Server liefert gemäßeines Lastverteilungschlüssels abwechselnd unter-schiedliche IP-Adressen.
Zurück zur ersten Seite
Kay Sander
Dynamic DNS (RFC 2136)
DDNS ist eine Erweiterung für dynamische Änderungen inder DNS-Datenbank.Es wurde ein neuer opcode eingeführt, welcher denDNS-Server anweist, Einträge zu löschen oder neuehinzuzufügen.
Zurück zur ersten Seite
Kay Sander
Betriebsarten des Win2k-DNS
• Secondary Server• Primary Server mit herkömmlicher Zonendatei• Primary Server im integrierten Modus d.h.: DNS-Daten werden nicht mehr in einer Zonendatei,
sondern im Verzeichnisbaum des Active Directorygespeichert.
Vorteil: Nutzung der Sicherungs- und Replikationsmechanismen des Active Directory (nur authentifizierte Änderungen, Ausfallsicherheit, Lastverteilung) Nachteil: keine Zonendatei, welche für Replikation zwischen UNIX- und Win2k-basiertem DNS benötigt wird
Zurück zur ersten Seite
Kay Sander
Integration von Win2k-Domains in bestehende Umgebungen 2 Wege:
Win2k übernimmt gesamte Namensauflösung
bestehende Konfiguration beibehalten + Win2k in eigener Subdomain betreiben
Zurück zur ersten Seite
Kay Sander
Win2k übernimmt gesamte Namensauflösung
• Primary Server mit Zonendatei aufsetzen• Zonendatei (%systemroot%/system32/dns/) um Einträge aus bestehender Zonendatei erweitern• Server in integrierten Modus schalten
Zurück zur ersten Seite
Kay Sander
Win2k in eigener Subdomain betreiben
• nicht autorisierte Domain (win2k.htw) interne Namensauflösung durch Win2k + alle anderen Anfragen an externen DNS-Server• autorisierte Domain (win2k.htw-dresden.de) Delegated Subzone im bestehenden DNS einrichten, dann sind die Rechner in Win2k-Domain von außen erreichbar oder: keine Anbindung an Internet-DNS-Struktur; dann interne Namensauflösung durch Win2k + Internet- namensauflösung durch „externen“ Server; dabei sind nur die Rechner von außen erreichbar, welche explizit im „externen“ DNS eingetragen sind