Beruflich Dokumente
Kultur Dokumente
1. Aufgabe ........................................................................................................................................ 1
2. DNS Struktur ................................................................................................................................. 1
3. Domain Struktur ............................................................................................................................ 2
4. Delegation..................................................................................................................................... 2
5. Was ist eine Zone? ......................................................................................................................... 3
6. Root-NS ......................................................................................................................................... 3
7. Resolver......................................................................................................................................... 4
8. Nameserver.................................................................................................................................... 5
8.1 Primary NS & Secondary NS ...................................................................................................... 5
8.2 Caching NS und rekursive Anfragen.......................................................................................... 6
9. Das Zonefile ................................................................................................................................... 7
9.1 SOA (Start of Authority) ........................................................................................................... 7
9.2 Resource-Records..................................................................................................................... 8
9.3. Das @ ................................................................................................................................10
10. Reverse Mapping.........................................................................................................................11
11. Tools...........................................................................................................................................12
12. NICs und Nameserver ..................................................................................................................13
12.1. DENIC ..................................................................................................................................13
12.2. Verisign-GRS ........................................................................................................................13
1. Aufgabe
Das Domain Name System weist einem fr Menschen einfach zu merkenden Namen (Domain) eine fr
eine Maschine verwendbare Nummer (IP) zu.
2. DNS Struktur
Das DNS ist absolut hierarchisch und eine Domain folglich immer Top Down, also von der sog.
Wurzel (Root) aus, aufgebaut.
4. Delegation
Einer der Grundgedanken bei der Einfhrung des DNS war es, eine mglichst dezentrale Struktur zu
schaffen, die fr Strungen so unempfindlich wie mglich ist. Der Groteil dieses Konzeptes wird durch
das Weiterreichen der Zustndigkeit fr Domains auf unterschiedliche Nameserver, die sog. Delegation,
erreicht.
Daraus resultiert, dass nicht ein einziger Nameserver (der ein sehr einfacher Angriffspunkt wre) fr alle
Domains zustndig ist, sondern dass die Zustndigkeit fr jede einzelne Domain nach dem Top Down
Prinzip von der jeweils bergeordneten Domain auf andere Nameserver weitergereicht werden kann.
Bei der Delegierung einer Domain auf Nameserver, die keine Informationen fr diese Domain vorhalten
spricht man von einer sog. Lame Delegation Um diesen Zustand zu verhindern, werden von einigen
Vergabestellen (wie z.B. DENIC, NIC.AT oder das Schweizer NIC, Switch) die zur Delegierung
angegebenen Nameserver vor der Registrierung auf deren Funktionstchtigkeit geprft.
Ein Beispiel hierfr ist die Domain www.providerdomain.de. In diesem Fall wurde die Subdomain
providerdomain welche innerhalb der Zone de liegt an die Nameserver nsa.schlund.de und
nsa2.schlund.de delegiert. Der Administrator der Zone providerdomain.de hat nun zur greren
Erreichbarkeit des Webservers eine weitere Subdomain mit dem Namen www eingetragen. Da diese
Subdomain nicht an neue Nameserver delegiert wurde, sondern innerhalb der Zone providerdomain.de
angelegt ist, entsteht hierdurch die Domain www.providerdomain.de, in der Zone providerdomain.de
liegt, fr die die Nameserver nsa und nsa2.schlund.de zustndig sind.
6. Root-NS
Derzeit gibt es weltweit 13 Root-Server, die bis auf drei Ausnahmen alle in den USA stehen.
Dem A.ROOT-SERVERS.NET kommt dabei die besondere Aufgabe zu, der sog. Primary Root NS zu sein,
von dem alle der 12 weiteren, die sog. Secondary Root NS, die dort vorgehaltenen Daten bernehmen.
Auf den A.ROOT-SERVERS.NET werden derzeit die Topleveldomain Zonen .edu, .gov und .mil. komplett
verwaltet. Des weiteren sind die Rootserverinformationen fr alle weiteren weltweit delegierten
Topleveldomains enthalten.
7. Resolver
Ein Resolver ist eine auf jedem TCP/IP fhigen Netzwerkrechner vorhandene
Betriebssystemskomponente, die die Kommunikation zwischen den verschiedenen
Netzwerkapplikationen wie beispielsweise dem Webbrowser und dem fr die Nutzung zugewiesenen
Nameserver bernimmt.
Das grundlegende Schema einer Adressauflsung lsst sich am besten anhand der folgenden Grafik
erlutern:
Bei der Aussicht auf 13 mgliche Nameserver stellt sich natrlich die Frage, wie ein Abgleich vonstatten
gehen soll. Zur Bewerkstelligung dieser Aufgabe gibt es einen sog. Primary NS welcher als Master
immer die Originaldaten vorhlt und bis zu 12 weitere Nameservern, die sich der Daten des Primary NS
bedienen. Die nderung von Domaindaten auf einem der Secondary NS hat nur lokale Auswirkungen,
fhrt aber nicht zur nderung der Domaindaten auf allen delegierten Nameservern.
Trotz dieses doch groen Unterschiedes ist das Antwortverhalten all dieser authoritativen Nameserver
identisch, so dass man nicht erkennen kann, ob es sich bei dem jeweilig antwortenden NS um einen
Primary oder Secondary handelt.
Unter Caching versteht man, dass der NS die Zoneninformationen einer von ihm erfragten Domain so
lange vorhlt (cached) und bei einer an ihn gerichteten Anfrage weitergibt, wie dies ein bestimmter
Eintrag innerhalb des Zonefiles vorschreibt. In der Regel ist dies eine Zeitspanne von acht Stunden.
Die Option rekursive Anfrage fhrt dazu, dass ein NS solange "nachforscht" bis er die angefragte
Domain auflsen kann oder feststellt, dass es diese nicht gibt. Ein nicht auf diese Option konfigurierter
Nameserver wird lediglich eine Antwort auf Basis der bei ihm eingetragenen Domains geben. Dies
verliert natrlich insofern seine Aussagekraft, dass man bei einer negativen Antwort nicht davon
ausgehen kann, dass die Domain nicht doch auflsbar ist.
IN NS nsa.schlund.de.
IN NS nsa2.schlund.de.
IN A 212.227.126.74
IN MX 10 mx00.schlund.de.
IN MX 10 mx01.schlund.de.
...
Man kann hierbei zwischen zwei verschiedenen Informationsarten unterscheiden: die sog. SOA-Werte
enthalten Informationen ber die Behandlung des Zonefiles selbst, alle brigen Eintrge, die sog.
Resource-Records, beschreiben bestimmte "Fhigkeiten" einer Domain. Die am hufigsten benutzten
Dienste wie NS, A, MX werden untenstehend einzeln erlutert.
Serial Aufsteigende Zahl, anhand welcher festgestellt werden kann, ob sich ein Zonefile
gendert hat oder nicht. Wird bei einer nderung der Zone diese
Versionsnummer nicht hochgesetzt, werden alle anfragenden Secondary
Nameserver, die vorgenommenen nderungen nicht bernehmen, da sie davon
ausgehen, dass sich die Zone nicht gendert hat.
Refresh Ist das Zeitintervall (i.d.R. acht Stunden), nach dessen Ablauf ein Secondary beim
Primary nachprfen muss, ob die vorgehaltenen Daten noch aktuell sind.
Retry Falls der Primary bei einem Refresh nicht erreichbar sein sollte, wird nach Ablauf
dieses Zeitintervalls von dem jeweiligen Secondary ein erneuter Versuch
unternommen, einen sog. Zone Transfer (AXFR) auszufhren.
Expiry Wenn nach dem Ablauf der Zeitspanne noch kein Refresh vorgenommen werden
konnte, wird die Zone als "Ungltig" (expired) erklrt. Daraus resultiert, dass der
NS fr diese Zone keine authoritative Antwort mehr gibt.
Minimum TTL Die TTL (Time To Live) gibt an, wie lange ein nicht authoritativer NS diese Zone
ohne Nachfrage cashen darf.
Diese Werte sind dafr verantwortlich, wie schnell eine nderung der Daten einer Domain weltweit
propagiert wird. Bei einer Redelegation einer Domain auf neue Nameserver sind immer die SOA-
Records der bergeordneten (delegierenden) Zone in Betracht zu ziehen. Daraus resultiert, dass der
normale Dienstanbieter - z.B. bei nderungen der Nameserver unterhalb einer Topleveldomain - nur
bedingt Einfluss auf die zur Propagierung notwendigen Dauer hat.
gibt an, welche Nameserver fr diese Domain authoritativ sind. Aus der Reihenfolge der angefhrten
Nameserver lsst sich nicht schlieen, welcher Nameserver der Primary und welcher der Secondary ist.
A-Record
Syntax: $domain IN A $ip
Dieser Eintrag muss nicht notwendigerweise gemacht werden; man kann eine Domain beispielsweise
durchaus auch nur fr Mailservices nutzen - ein A-Record ist dafr nicht notwendig.
Auf der anderen Seite kann man auch mehr als einen Record pro Domain eintragen. Die jeweiligen IPs
werden in diesem Fall dann roundrobin, d.h. bei jeder Anfrage eine neuer Record, ausgegeben. Dies ist
besonders fr grenskalierbare Systeme wichtig.
MX-Record
Syntax: $domain IN MX $prioritaetsnummer $mailserver.
gibt an, welche Mailserver fr diese Domain zustndig sind. Auch dieser Eintrag ist natrlich keine
Pflicht, und es knnen - wie beim A-Record - auch mehrere Eintrge vorgenommen werden.
Eine Besonderheit sind die $prioritaetsnummern, die dem nachfragenden Mailserver Auskunft darber
geben, welchen Mailserver sie zuerst benutzen sollten. Nur wenn der Mailserver mit der hchsten
Prioritt nicht erreichbar ist, wird der nchst angegebene ausprobiert. Die Prioritt der
$prioritaetsnummern steigt entgegengesetzt zur Wertigkeit der Zahl, so dass die niedrigere Zahl die
hhere Prioritt hat.
Eine weitere Besonderheit ist, dass als Mailserver nur Domains angegeben werden drfen. Ein Eintrag,
der auf eine IP verweist, ergibt einen Fehler.
C-Name
Syntax: $domain IN CNAME $zieldomain.
CNAME steht fr canonical Name und ist eine Weiterleitung auf das Zonenfile der angegebenen
Zieldomain. Somit gelten alle Eintrge (NS, MX, A) dieser Zieldomain.
Meistens wird dies benutzt, um Domains mit den gleichen Grunddaten leichter pflegen zu knnen bzw.
weiteren, in der selben Zone eingetragenen Domains die selben Daten wie der Zone selbst zuzuweisen.
Weitere Eintrge:
IN ?:
Der Eintrag IN steht fr die Datenklasse Internet. Es existieren noch weitere Klassen, deren Anwendung
allerdings nicht sehr weit verbreitet ist.
Der "."
Grundstzlich werden alle nicht auf einen Punkt endenden Domainname vom einem Nameserver beim
Laden des Zonefiles automatisch um den Domainnamen der Zone verlngert.
...
IN NS ns
aus diesem Eintrag wird automatisch
IN NS ns.$domain.
bzw. aus
www IN A 212.100.100.100
wird
www.$domain. IN A 212.100.100.100
...
Um dieses Verhalten zu unterbinden, muss am Ende eines Statements ein . gesetzt werden. Dies ist
besonderst wichtig, wenn z.B. Mailexchanger angegeben werden sollen, die nicht innerhalb der selben
Zone liegen.
...
MX liegt in der selben Zone
IN MX mx
Oder
IN MX mx.$domain.
Ein Domainname der auf einen . endet wird als ein Fully Qualified Domain Name (FQDN) bzw.
Fully Rooted Domain Name bezeichnet.
Deshalb wurde die Domain in-addr.arpa eingefhrt, durch die eine IP in eine Domain umgewandelt
werden kann, so dass sie sich mit der normalen DNS-Logik auflsen lsst. Die Schreibweise dieser Art
von Domain ist dabei analog zur Schreibweise einer "normalen Domain": die hchste Wertigkeit steht
auf der rechten Seite. Aus der IP 212.227.126.74 wrde also die Domain 74.126.227.212.in-addr.arpa
werden.
Das Forward-Mapping und das Reverse-Mapping sind gnzlich von einander getrennte Eintrge, die
sich nicht bedingen und auch nicht konsistent sein mssen. Es ist also durchaus mglich, dass ein
Forwardlookup eine IP ausgibt, die bei einem Reverselookup nicht notwendigerweise die
Ausgangsdomain zum Ergebnis hat.
Es ist vor allem zu beachten, dass fr die jeweiligen Eintrge die jeweils registrierten Nameserver
zustndig sind. Dies mssen nicht die selben sein, da beide "Kennungen" von unabhngigen
Institutionen delegiert werden. Bei einer Domain handelt des sich dabei um die jeweilige Registry der
Topleveldomain (.de: DENIC; .com: Verisign), wohingegen bei einer IP, zumindest in Europa, das Ripe
NCC sich zustndig zeichnet.
Um diese Art von Domain auf einem Nameserver abbilden zu knnen gibt es einen speziellen, bisher
noch nicht erwhnten Resource-Record:
Pointer Record
Syntax: $in-addr.arpa IN PTR $domain.
Dieser Eintrag wird dafr benutzt, eine IN-ADDR.ARPA Domain in eine normale Domain aufzulsen.
Unix
Dig http://fsck.ch/projects/dns/theory/man_dig.php
host http://fsck.ch/projects/dns/theory/man_host.php
nslookup http://fsck.ch/projects/dns/theory/man_nslookup.php
Windows
nslookup http://www.trumphurst.com/dnsocx/nslookup.phtml
cyperkit http://cyberkit.net
Mac
dns lookup http://www.macosarchives.com/dns_tools.html
whatroute http://www.mac.org/internet/whatroute/
Die Benutzung der oben genannten Tools erfolgt ber eine graphische Oberflche oder aber wie im Fall
des Programms dig ber die Kommandozeile:
1. Die Nameserver im Domainantrag mssen identisch sein mit den Nameservern in der Zone, die auf
diesen angegebenen Nameservern konfiguriert ist.
Gerne gemachter Fehler: Im Domainantrag steht z.B. ns.beispiel.de, wenn man ns.beispiel.de direkt
fragt, meint dieser aber gw.beispiel.de -> nicht identisch.
Unter UNIX knnen diese Punkte z.B. mit dig@nameserver domain.de any getestet werden.
12.2. Verisign-GRS
Benutzen Sie fr Ihre com/net/org-Domain eigene Nameserver, die innerhalb der Domain com/net/org
liegen, ist folgende Besonderheiten zu beachten:
Ein Registrar kann unterhalb einer com/net/org-Domain nur Nameserver anlegen, fr die er selbst
Registrar ist.
Ein Registrar kann nur seine eigenen Nameserver updaten; benutzt werden knnen diese jedoch von
allen Registraren.
Sie haben die Domain "bsp.com" ber einen anderen Registrar registriert und wollen nun einen bis
jetzt noch nicht benutzten Nameserver unterhalb dieser Domain (z.B. "nsneu.bsp.com") verwenden:
Folge: Die Registrierung bzw. das Update der Domain knnen dann nicht durchgefhrt werden, da
Lsung: Veranlassen Sie eine Registrierung des Nameservers ber den anderen Registrar oder einen
Registrarwechsel der entsprechenden Domains zu uns.
Verwenden Sie Nameserver innerhalb einer anderen Topleveldomain (z.B. DE), so treten diese Probleme
nicht auf, da wir diese ohne IP Adresse registrieren knnen.