DNS-Planung – wie, was und warum?

DNS-Planung

DNS, das kürzel sollte jeder kennen, der dieses Blog liest. Die Domain Name Services, oder Server lösen die IP-Adressen von bestimmten Hostnamen auf, und die IP-Adressen zu Hostnamen. sychold.ch hat zum Beispiel die IP-Adresse 85.10.192.3

Warum DNS?

Das ist eigentlich ganz einfach. Der Mensch neigt dazu, sich Buchstaben-Kombinationen einfacher und schneller merken zu können, als es bei Zahlen der Fall ist. Mal ehrlich: Was könnt Ihr Euch besser merken? 127.0.0.1 oder localhost? Genau. localhost ist schneller und nachhaltiger im Gehirn, als diese lange Zahlenkette mit Punkten, nullen und vielen, vielen anderen Dingen.
Ausserdem hift DNS schlicht dabei, Änderungen solcher Adressen unbeschadet zu überstehen. Was ist denn, wenn ich morgen den Server wechsle, und sychold.ch hat plötzlich die IP 62.102.4.46 ? Dann könnt ihr mit 85.10.192.3 nicht mehr viel anfangen! Wenn Ihr allerdings immer über sychold.ch auf die Seite geht, werdet Ihr den Wechsel der IP vermutlich nicht mitbekommen.
Anders herum: Ihr habt eine IP-Adresse, und müsst wissen zu welchem Gerät die gehört. Was tun? ein ping reicht hier, und zwar mit dem Parameter -a. Der DNS wird im diesen Fall ungefähr so angesprochen:

“Hiho, hast Du mir den Hostname zur IP 85.10.192.3?” und der DNS-Server wird (hoffentlich) darauf antworten: “Ma’ schauen…. Ja! Das wäre www.sychold.ch!”

Ohne DNS wäre das nicht möglich.
Die DNS-Server in der freien Internet-Welt und die im internen Netzwerk (wie es Euer Router ist) funktionieren dahingehend übrigens gleich. Ohne geht sehr viel weniger, als mit.

Wie planen?

Die Planung steht quasi zu Beginn jeder Inbetriebnahme. Was für Namespaces bekommt die Zone später? Welche Hosts werden wir verwenden? Auf welche IP-Adressräume können wir zurückgreifen? Und noch vieles mehr!

Hierzu ein kleines Diagramm, welches ich im folgenden noch erklären werde:

DNS-Planung

SOLL-Aufbau einer DNS-Domäne / Zone

Erstmal zu den einzelnen Begriffen:

LAN -> Local Area Network – Euer Netzwerk
DMZ -> Demilitarized Zone – Hier darf vom Internet reingeschaut werden
DNS -> Domain Name System (Server) – Der Server löst Namen und IP-Adressen auf
FQDN -> Fully Qualified Domain Name – ein vollqualifizierter Domänenname ist zum Beispiel www.sychold.ch
DC -> Domain Controller – dieser Computer verinigt einige nette Funktionalitäten (AD-Bereitstellung, AD-Verwaltung, …) miteinander
CL -> Client – Euer PC
<r> -> rekursiv – in diesem Fall eine DNS-Abfrage, die komplett zum Zielhost zurückverfolgt werden kann/muss

Nun zur Grafik selbst:
In der Grafik wird gezeigt, wie eine DNS-Domäne aufgeteilt werden sollte. Links haben wir das LAN, in dem wirklich nur interne PCs und Server stehen, rechts die DMZ, auf die vom Internet zugegriffen werden kann. Hier stehen DNS-Server, die die ganze Welt abfragen darf.
Dazwischen haben wir eine Firewall, welche den Verkehr zwischen DMZ und LAN reguliert.

Startet nun ein Client eine Anfrage nach dem Hostname www.fertexag.ch, wird die DNS-Anfrage an den DC weitergeleitet, welcher einen DNS-Server beheimatet. Da der die Antwort (in unserem Fall) nicht kennt, muss er die Anfrage an den DNS in der DMZ weitergeben. Unser DMZ-DNS wird nun sämtliche DNS-Server abfragen, die für diese Antwort benötigt werden. Das ganze sieht dann so aus:

Theorie_2_1

Aufbau der DNS-Hierarchie im Internet

Zuerst wird der Root-DNS angefragt, welcher für die Zone “.” verantwortlich ist. Dieser verweist auf den DNS für die Zone “.ch.”, … So geht das weiter bis wir letztendlich die passende IP-Adresse für www.fertexag.ch haben.

Anhand der Domain pendragon.cs.purdue.edu sieht das ganze dann vereinfacht so aus:

pendragon_dns-query

Ablauf einer DNS-Abfrage anhand der Domain pendragon.cs.purdue.edu erklärt

Was braucht man?

DNS-Planung_Trennung_LAN_DMZ

Bestandteile einer gut durchdachten DNS-Domäne / Zone

Die Bestandteile, die benötigt werden um eine funktionierende, und auch sichere DNS-Domäne / Zone zum laufen zu bringen, sind eigentlich so weit schon in der Grafik aufgezeigt:

  • AD-integrierter DNS-Server
  • 1x interne Forward-Lookup-Zone mit Domain (z.B. fertexag.local)
  • 1x interne Reverse-Lookup-Zone (z.B. 0/22.168.192.in-addr.arpa)
  • BIND-DNS-Server
  • 1x externe Forward-Lookup-Zone mit Domain (z.B. fertexag.ch)
  • 1x externe Reverse-Lookup-Zone (z.B. 0/29.1.1.83.in-addr.arpa)

Was erreichen wir damit?

Durch dieses Vorgehen wird eine maximale Trennung von internen und externen DNS-Zonen erreicht. Ohne mutwilliges Handeln ist es so nicht möglich, DNS-Records für das interne Netzwerk zu erlangen, welche eigentlich nicht für die grosse, weite Welt bestimmt waren.

Denjenigen, die etwas tiefer in die Materie der DNS-Welt eintauchen möchten, kann ich nur diese sehr interessanten Bücher ans Herz legen:

[asa]0596100574[/asa]

[asa]393751435X[/asa]

Fragen? Anmerkungen? Nur her damit!

Das alles ist Stoff aus der Berufsschule Sursee.

Veröffentlicht von

Manuel Sychold, Citrix Certified Adminitrator for XenServer 6 und XenDesktop 5 arbeitet als CIO in einem international tätigen Akustik-Unternehmen. Manuel bloggt hauptsächlich über Citrix -Produkte (XenServer, XenDesktop, XenApp), sowie Microsoft-Produkte. Manuel erreicht man über Google+

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.


Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg