Das DNS (Domain Name System)

1. Aufgabe ........................................................................................................................................ 1
2. DNS Struktur ................................................................................................................................. 1
3. Domain Struktur ............................................................................................................................ 2
4. Delegation..................................................................................................................................... 2
5. Was ist eine Zone? ......................................................................................................................... 3
6. Root-NS ......................................................................................................................................... 3
7. Resolver......................................................................................................................................... 4
8. Nameserver.................................................................................................................................... 5
8.1 Primary NS & Secondary NS ...................................................................................................... 5
8.2 Caching NS und rekursive Anfragen.......................................................................................... 6
9. Das Zonefile ................................................................................................................................... 7
9.1 SOA (Start of Authority) ........................................................................................................... 7
9.2 Resource-Records..................................................................................................................... 8
9.3. Das @ ................................................................................................................................10
10. Reverse Mapping.........................................................................................................................11
11. Tools...........................................................................................................................................12
12. NICs und Nameserver ..................................................................................................................13
12.1. DENIC ..................................................................................................................................13
12.2. Verisign-GRS ........................................................................................................................13

1. Aufgabe
Das Domain Name System weist einem fr Menschen einfach zu merkenden Namen (Domain) eine fr
eine Maschine verwendbare Nummer (IP) zu.

2. DNS Struktur
Das DNS ist absolut hierarchisch und eine Domain folglich immer Top Down, also von der sog.
Wurzel (Root) aus, aufgebaut.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 1/14
3. Domain Struktur
Eine Domain ist im Gegensatz zu der blichen Leseweise der westlichen Welt von rechts nach links zu
lesen und kann durch einen oder mehrere "." in Unterdomains (Subdomains) von jeweils maximal. 63
Zeichen aufgeteilt werden. Die laut RFC2181 erlaubte Gesamtlnge einer kompletten Domain inklusive
der Trennpunkte betrgt maximal 255 Zeichen.

4. Delegation
Einer der Grundgedanken bei der Einfhrung des DNS war es, eine mglichst dezentrale Struktur zu
schaffen, die fr Strungen so unempfindlich wie mglich ist. Der Groteil dieses Konzeptes wird durch
das Weiterreichen der Zustndigkeit fr Domains auf unterschiedliche Nameserver, die sog. Delegation,
erreicht.

Daraus resultiert, dass nicht ein einziger Nameserver (der ein sehr einfacher Angriffspunkt wre) fr alle
Domains zustndig ist, sondern dass die Zustndigkeit fr jede einzelne Domain nach dem Top Down
Prinzip von der jeweils bergeordneten Domain auf andere Nameserver weitergereicht werden kann.

Bei der Delegierung einer Domain auf Nameserver, die keine Informationen fr diese Domain vorhalten
spricht man von einer sog. Lame Delegation Um diesen Zustand zu verhindern, werden von einigen
Vergabestellen (wie z.B. DENIC, NIC.AT oder das Schweizer NIC, Switch) die zur Delegierung
angegebenen Nameserver vor der Registrierung auf deren Funktionstchtigkeit geprft.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 2/14
5. Was ist eine Zone?
Durch die Delegation einer Domain auf andere Nameserver knnen sog. Zonen entstehen. Eine Zone
beinhaltet somit alle Informationen zu einem bestimmten Teil oder einer kompletten Domain.

Ein Beispiel hierfr ist die Domain www.providerdomain.de. In diesem Fall wurde die Subdomain
providerdomain welche innerhalb der Zone de liegt an die Nameserver nsa.schlund.de und
nsa2.schlund.de delegiert. Der Administrator der Zone providerdomain.de hat nun zur greren
Erreichbarkeit des Webservers eine weitere Subdomain mit dem Namen www eingetragen. Da diese
Subdomain nicht an neue Nameserver delegiert wurde, sondern innerhalb der Zone providerdomain.de
angelegt ist, entsteht hierdurch die Domain www.providerdomain.de, in der Zone providerdomain.de
liegt, fr die die Nameserver nsa und nsa2.schlund.de zustndig sind.

6. Root-NS
Derzeit gibt es weltweit 13 Root-Server, die bis auf drei Ausnahmen alle in den USA stehen.

A.ROOT-SERVERS.NET. 4d39m53s IN A 198.41.0.4

B.ROOT-SERVERS.NET. 4d39m53s IN A 128.9.0.107
C.ROOT-SERVERS.NET. 4d39m53s IN A 192.33.4.12
D.ROOT-SERVERS.NET. 4d39m53s IN A 128.8.10.90
E.ROOT-SERVERS.NET. 4d39m53s IN A 192.203.230.10
F.ROOT-SERVERS.NET. 4d39m53s IN A 192.5.5.241
G.ROOT-SERVERS.NET. 4d39m53s IN A 192.112.36.4
H.ROOT-SERVERS.NET. 4d39m53s IN A 128.63.2.53
I.ROOT-SERVERS.NET. 4d39m53s IN A 192.36.148.17
J.ROOT-SERVERS.NET. 4d39m53s IN A 198.41.0.10
K.ROOT-SERVERS.NET. 4d39m53s IN A 193.0.14.129
L.ROOT-SERVERS.NET. 4d39m53s IN A 198.32.64.12
M.ROOT-SERVERS.NET. 4d39m53s IN A 202.12.27.33

Dem A.ROOT-SERVERS.NET kommt dabei die besondere Aufgabe zu, der sog. Primary Root NS zu sein,
von dem alle der 12 weiteren, die sog. Secondary Root NS, die dort vorgehaltenen Daten bernehmen.

Auf den A.ROOT-SERVERS.NET werden derzeit die Topleveldomain Zonen .edu, .gov und .mil. komplett
verwaltet. Des weiteren sind die Rootserverinformationen fr alle weiteren weltweit delegierten
Topleveldomains enthalten.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 3/14
Das bedeutet, dass eine Topleveldomain, die im weltweiten DNS verfgbar sein soll, in diesen Root-
Server aufgenommen werden muss, damit eine Auflsung stattfinden kann. Die letzten Eintragungen
waren die im Laufe des Jahres 2001 eingefhrten Topleveldomains .info, .biz, .name, und .museum.

7. Resolver
Ein Resolver ist eine auf jedem TCP/IP fhigen Netzwerkrechner vorhandene
Betriebssystemskomponente, die die Kommunikation zwischen den verschiedenen
Netzwerkapplikationen wie beispielsweise dem Webbrowser und dem fr die Nutzung zugewiesenen
Nameserver bernimmt.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 4/14
8. Nameserver
Grundstzlich unterscheidet man zwischen "authoritativem" und "nicht authoritativem" Verhalten von
Nameservern. Authoritative Nameserver sind zustndig fr eine Domain und knnen eine Antwort
aufgrund der lokal gespeicherten Domaindaten geben, whrend nicht authoritative Nameserver einen
der authoritativen Nameserver befragen mssen, um eine angefragte Domain in eine IP aufzulsen.

Das grundlegende Schema einer Adressauflsung lsst sich am besten anhand der folgenden Grafik
erlutern:

8.1 Primary NS & Secondary NS

Eine Domain wird bei Ihrer Registrierung in der Regel auf mindestens zwei und maximal 13 Nameserver
delegiert.

Bei der Aussicht auf 13 mgliche Nameserver stellt sich natrlich die Frage, wie ein Abgleich vonstatten
gehen soll. Zur Bewerkstelligung dieser Aufgabe gibt es einen sog. Primary NS welcher als Master
immer die Originaldaten vorhlt und bis zu 12 weitere Nameservern, die sich der Daten des Primary NS
bedienen. Die nderung von Domaindaten auf einem der Secondary NS hat nur lokale Auswirkungen,
fhrt aber nicht zur nderung der Domaindaten auf allen delegierten Nameservern.

Trotz dieses doch groen Unterschiedes ist das Antwortverhalten all dieser authoritativen Nameserver
identisch, so dass man nicht erkennen kann, ob es sich bei dem jeweilig antwortenden NS um einen
Primary oder Secondary handelt.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 5/14
8.2 Caching NS und rekursive Anfragen
Caching sowie rekursive Anfragen sind Nameservereinstellungen, die nur bei der Benutzung eines
Nameservers zur Auflsung einer nicht auf diesen Nameserver delegierten Domain zum Tragen
kommen.

Unter Caching versteht man, dass der NS die Zoneninformationen einer von ihm erfragten Domain so
lange vorhlt (cached) und bei einer an ihn gerichteten Anfrage weitergibt, wie dies ein bestimmter
Eintrag innerhalb des Zonefiles vorschreibt. In der Regel ist dies eine Zeitspanne von acht Stunden.

Die Option rekursive Anfrage fhrt dazu, dass ein NS solange "nachforscht" bis er die angefragte
Domain auflsen kann oder feststellt, dass es diese nicht gibt. Ein nicht auf diese Option konfigurierter
Nameserver wird lediglich eine Antwort auf Basis der bei ihm eingetragenen Domains geben. Dies
verliert natrlich insofern seine Aussagekraft, dass man bei einer negativen Antwort nicht davon
ausgehen kann, dass die Domain nicht doch auflsbar ist.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 6/14
9. Das Zonefile
Das Zonefile knnte man als Gehirn einer Zone bezeichnen, da es alle fr eine Zone notwendigen
Angaben enthlt.

Begin zonefile providerdomain.de ---------------------------------------------------------------------

@ IN SOA nsa.schlund.de. hostmaster.schlund.de. (

2001100201 ; serial
8H ; refresh
2H ; retry
1W ; expiry
11h6m40s ) ; minimum

IN NS nsa.schlund.de.
IN NS nsa2.schlund.de.
IN A 212.227.126.74
IN MX 10 mx00.schlund.de.
IN MX 10 mx01.schlund.de.
...

end zonefile providerdomain.de ---------------------------------------------------------------------

Man kann hierbei zwischen zwei verschiedenen Informationsarten unterscheiden: die sog. SOA-Werte
enthalten Informationen ber die Behandlung des Zonefiles selbst, alle brigen Eintrge, die sog.
Resource-Records, beschreiben bestimmte "Fhigkeiten" einer Domain. Die am hufigsten benutzten
Dienste wie NS, A, MX werden untenstehend einzeln erlutert.

9.1 SOA (Start of Authority)

Wie eben schon kurz angerissen, enthalten diese Werte Informationen fr Nameserver, die sich auf die
administrative Behandlung einer Zone beziehen und nicht auf den eigentlichen Inhalt.

Serial Aufsteigende Zahl, anhand welcher festgestellt werden kann, ob sich ein Zonefile
gendert hat oder nicht. Wird bei einer nderung der Zone diese
Versionsnummer nicht hochgesetzt, werden alle anfragenden Secondary
Nameserver, die vorgenommenen nderungen nicht bernehmen, da sie davon
ausgehen, dass sich die Zone nicht gendert hat.
Refresh Ist das Zeitintervall (i.d.R. acht Stunden), nach dessen Ablauf ein Secondary beim
Primary nachprfen muss, ob die vorgehaltenen Daten noch aktuell sind.
Retry Falls der Primary bei einem Refresh nicht erreichbar sein sollte, wird nach Ablauf
dieses Zeitintervalls von dem jeweiligen Secondary ein erneuter Versuch
unternommen, einen sog. Zone Transfer (AXFR) auszufhren.
Expiry Wenn nach dem Ablauf der Zeitspanne noch kein Refresh vorgenommen werden
konnte, wird die Zone als "Ungltig" (expired) erklrt. Daraus resultiert, dass der
NS fr diese Zone keine authoritative Antwort mehr gibt.
Minimum TTL Die TTL (Time To Live) gibt an, wie lange ein nicht authoritativer NS diese Zone
ohne Nachfrage cashen darf.

Diese Werte sind dafr verantwortlich, wie schnell eine nderung der Daten einer Domain weltweit
propagiert wird. Bei einer Redelegation einer Domain auf neue Nameserver sind immer die SOA-
Records der bergeordneten (delegierenden) Zone in Betracht zu ziehen. Daraus resultiert, dass der
normale Dienstanbieter - z.B. bei nderungen der Nameserver unterhalb einer Topleveldomain - nur
bedingt Einfluss auf die zur Propagierung notwendigen Dauer hat.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 7/14
9.2 Resource-Records
NS-Record
Syntax: $domain IN NS $nameserver.

gibt an, welche Nameserver fr diese Domain authoritativ sind. Aus der Reihenfolge der angefhrten
Nameserver lsst sich nicht schlieen, welcher Nameserver der Primary und welcher der Secondary ist.

A-Record
Syntax: $domain IN A $ip

gibt an, welche IP fr diese Domain hinterlegt ist.

Dieser Eintrag muss nicht notwendigerweise gemacht werden; man kann eine Domain beispielsweise
durchaus auch nur fr Mailservices nutzen - ein A-Record ist dafr nicht notwendig.

Auf der anderen Seite kann man auch mehr als einen Record pro Domain eintragen. Die jeweiligen IPs
werden in diesem Fall dann roundrobin, d.h. bei jeder Anfrage eine neuer Record, ausgegeben. Dies ist
besonders fr grenskalierbare Systeme wichtig.

MX-Record
Syntax: $domain IN MX $prioritaetsnummer $mailserver.

gibt an, welche Mailserver fr diese Domain zustndig sind. Auch dieser Eintrag ist natrlich keine
Pflicht, und es knnen - wie beim A-Record - auch mehrere Eintrge vorgenommen werden.

Eine Besonderheit sind die $prioritaetsnummern, die dem nachfragenden Mailserver Auskunft darber
geben, welchen Mailserver sie zuerst benutzen sollten. Nur wenn der Mailserver mit der hchsten
Prioritt nicht erreichbar ist, wird der nchst angegebene ausprobiert. Die Prioritt der
$prioritaetsnummern steigt entgegengesetzt zur Wertigkeit der Zahl, so dass die niedrigere Zahl die
hhere Prioritt hat.

Eine weitere Besonderheit ist, dass als Mailserver nur Domains angegeben werden drfen. Ein Eintrag,
der auf eine IP verweist, ergibt einen Fehler.

C-Name
Syntax: $domain IN CNAME $zieldomain.

CNAME steht fr canonical Name und ist eine Weiterleitung auf das Zonenfile der angegebenen
Zieldomain. Somit gelten alle Eintrge (NS, MX, A) dieser Zieldomain.

Meistens wird dies benutzt, um Domains mit den gleichen Grunddaten leichter pflegen zu knnen bzw.
weiteren, in der selben Zone eingetragenen Domains die selben Daten wie der Zone selbst zuzuweisen.

Weitere Eintrge:

IN ?:
Der Eintrag IN steht fr die Datenklasse Internet. Es existieren noch weitere Klassen, deren Anwendung
allerdings nicht sehr weit verbreitet ist.

Der "."
Grundstzlich werden alle nicht auf einen Punkt endenden Domainname vom einem Nameserver beim
Laden des Zonefiles automatisch um den Domainnamen der Zone verlngert.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 8/14
begin zonefile $domain -----------------------------------------------

...
IN NS ns
aus diesem Eintrag wird automatisch
IN NS ns.$domain.
bzw. aus
www IN A 212.100.100.100
wird
www.$domain. IN A 212.100.100.100
...

end zonefile $domain ----------------------------------------------

Um dieses Verhalten zu unterbinden, muss am Ende eines Statements ein . gesetzt werden. Dies ist
besonderst wichtig, wenn z.B. Mailexchanger angegeben werden sollen, die nicht innerhalb der selben
Zone liegen.

begin zonefile $domain -----------------------------------------------

...
MX liegt in der selben Zone
IN MX mx
Oder
IN MX mx.$domain.

MX liegt nicht in der selben Zone

IN MX mx.mailexchange.de.
ohne Punkt wrde hier ein Fehler entstehen
Aus
IN MX mx.mailexchange.de
Wird
IN MX mx.mailexchange.de.$domain.
...

end zonefile $domain ----------------------------------------------

Ein Domainname der auf einen . endet wird als ein Fully Qualified Domain Name (FQDN) bzw.
Fully Rooted Domain Name bezeichnet.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 9/14
9.3. Das @
Das @-Zeichen steht fr den Namen einer Zone. Da sich in einem Zonefile alle Resource-Records immer
auf den zuletzt genannten Domainnamen beziehen, kann
dieses Zeichen zur Unterbrechung und Eintragung weiterer Records direkt unterhalb der Zone benutzt
werden.

begin zonefile $domain ----------------------------------------------

@ IN SOA nsa.schlund.de. hostmaster.schlund.de. (

2001100201 ; serial
8H ; refresh
2H ; retry
1W ; expiry
11h6m40s ) ; minimum

IN NS nsa.schlund.de. Gilt fr die Zone

IN NS nsa2.schlund.de. $domain

www IN A 212.227.126.74 Gilt fr die Domain

IN MX 10 mx00.schlund.de. www.$domain.
IN MX 10 mx00.schlund.de.

ftp IN A 212.227.126.74 Gilt fr ftp.$domain.

@ IN A 212.227.126.74 Gilt fr die Zone

IN MX 10 mx00.schlund.de. $domain.
IN MX 10 mx01.schlund.de.

end zonefile $domain ----------------------------------------------

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 10/14
10. Reverse Mapping
Es gibt derzeit viele Anwendungen (wie z.B. einige Mail Transfer Agents), die es ntig machen, nicht
nur eine Domain zu einer IP zu mappen, sondern auch einer IP eine Domain zuweisen zu knnen.

Deshalb wurde die Domain in-addr.arpa eingefhrt, durch die eine IP in eine Domain umgewandelt
werden kann, so dass sie sich mit der normalen DNS-Logik auflsen lsst. Die Schreibweise dieser Art
von Domain ist dabei analog zur Schreibweise einer "normalen Domain": die hchste Wertigkeit steht
auf der rechten Seite. Aus der IP 212.227.126.74 wrde also die Domain 74.126.227.212.in-addr.arpa
werden.

Das Forward-Mapping und das Reverse-Mapping sind gnzlich von einander getrennte Eintrge, die
sich nicht bedingen und auch nicht konsistent sein mssen. Es ist also durchaus mglich, dass ein
Forwardlookup eine IP ausgibt, die bei einem Reverselookup nicht notwendigerweise die
Ausgangsdomain zum Ergebnis hat.

Es ist vor allem zu beachten, dass fr die jeweiligen Eintrge die jeweils registrierten Nameserver
zustndig sind. Dies mssen nicht die selben sein, da beide "Kennungen" von unabhngigen
Institutionen delegiert werden. Bei einer Domain handelt des sich dabei um die jeweilige Registry der
Topleveldomain (.de: DENIC; .com: Verisign), wohingegen bei einer IP, zumindest in Europa, das Ripe
NCC sich zustndig zeichnet.

Um diese Art von Domain auf einem Nameserver abbilden zu knnen gibt es einen speziellen, bisher
noch nicht erwhnten Resource-Record:

Pointer Record
Syntax: $in-addr.arpa IN PTR $domain.

Dieser Eintrag wird dafr benutzt, eine IN-ADDR.ARPA Domain in eine normale Domain aufzulsen.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 11/14
11. Tools
Um die Konfiguration einer Zone in Augenschein nehmen zu knnen, gibt es verschiedene Programme,
die es ermglichen, die in einem Zonefile vorgehaltenen Daten - genau wie ein Nameserver -
abzufragen, um so das Antwortverhalten des befragten NS zu testen. Die meisten dieser Programme
sind als Free- oder Shareware im Internet erhltlich bzw. auf einem netzwerkfhigem System bereits
installiert.

Die prominentesten Programme diese Art sind derzeit wohl:

Unix
Dig http://fsck.ch/projects/dns/theory/man_dig.php
host http://fsck.ch/projects/dns/theory/man_host.php
nslookup http://fsck.ch/projects/dns/theory/man_nslookup.php

Windows
nslookup http://www.trumphurst.com/dnsocx/nslookup.phtml
cyperkit http://cyberkit.net

Mac
dns lookup http://www.macosarchives.com/dns_tools.html
whatroute http://www.mac.org/internet/whatroute/

Die Benutzung der oben genannten Tools erfolgt ber eine graphische Oberflche oder aber wie im Fall
des Programms dig ber die Kommandozeile:

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 12/14
12. NICs und Nameserver
12.1. DENIC
Die korrekte Konfiguration Ihrer Nameserver ist die Voraussetzung, damit Ihr Domainantrag von der
Vergabestelle akzeptiert wird.

Prfen Sie folgende Einstellungen, bevor Sie einen Domainantrag stellen:

1. Die Nameserver im Domainantrag mssen identisch sein mit den Nameservern in der Zone, die auf
diesen angegebenen Nameservern konfiguriert ist.

Gerne gemachter Fehler: Im Domainantrag steht z.B. ns.beispiel.de, wenn man ns.beispiel.de direkt
fragt, meint dieser aber gw.beispiel.de -> nicht identisch.

2. Alle angegebenen Nameserver mssen die Zone vorrtig haben.

Die Nameserver mssen Anfragen zur Domain beantworten.

3. Die SOA-Werte mssen in folgendem Wertebereich liegen:

refresh 10000 - 86400

retry 1800 - 28800
expire 604800 - 3600000
minmum 40000 - 345600

Diese SOA-Einstellungen werden auf dem Primary Nameserver verwaltet.

4. Die Serial Number muss das 10stellige Format YYYYMMDDxx haben.

Vergessen Sie bitte nicht, die Serial Number zu erhhen, wenn Sie eine nderung in der Zone
gemacht haben. Nur dann wird diese nderung von den Secondary Nameservern bernommen.
Die Serial Number wird auf dem Primary Nameserver verwaltet.

5. Die angegeben Nameserver drfen nicht im selben Class-C Netz liegen.

Das heisst, deren IP-Adressen drfen sich nicht nur im letzten Feld der IP-Adresse unterscheiden.
212.227.10.1 und 212.227.10.2 liegen z.B. im selben Class-C Netz.

Unter UNIX knnen diese Punkte z.B. mit dig@nameserver domain.de any getestet werden.

Fehlerhafte Registrierungen werden von DENIC nach 4 Wochen wieder gelscht!

12.2. Verisign-GRS
Benutzen Sie fr Ihre com/net/org-Domain eigene Nameserver, die innerhalb der Domain com/net/org
liegen, ist folgende Besonderheiten zu beachten:

Ein Registrar kann unterhalb einer com/net/org-Domain nur Nameserver anlegen, fr die er selbst
Registrar ist.

Ein Registrar kann nur seine eigenen Nameserver updaten; benutzt werden knnen diese jedoch von
allen Registraren.

Folgender Fall fhrt zu einem Fehler:

Sie haben die Domain "bsp.com" ber einen anderen Registrar registriert und wollen nun einen bis
jetzt noch nicht benutzten Nameserver unterhalb dieser Domain (z.B. "nsneu.bsp.com") verwenden:

Folge: Die Registrierung bzw. das Update der Domain knnen dann nicht durchgefhrt werden, da

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 13/14
 der Nameserver nicht registriert werden kann.

Lsung: Veranlassen Sie eine Registrierung des Nameservers ber den anderen Registrar oder einen
Registrarwechsel der entsprechenden Domains zu uns.

Verwenden Sie Nameserver innerhalb einer anderen Topleveldomain (z.B. DE), so treten diese Probleme
nicht auf, da wir diese ohne IP Adresse registrieren knnen.

Version 1.0, 04.12.2001

1&1 Internet AG / Schlund + Partner AG Seite 14/14