DNS Auflösung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
- Windows 2000 Server
- Windows Server 2003
Eine korrekt funktionierende DNS-Auflösung ist ein wesentlicher Bestandteil einer jeden ISA Server Installation. Unabhängig davon, dass ein Active Directory unter Windows 2000 bzw. Windows Server 2003 nicht ohne DNS auskommt ist es für die Ansteuerung von Servern im Internet unverzichtbar.
Im folgenden Artikel möchte ich keine DNS-Implementierung im AD besprechen, sondern mich rein auf den Zusammenhang mit dem ISA Server beschränken. Literatur zu DNS und AD gibt es genügend [1]. Viele Probleme, die mich immer wieder erreichen oder in der Newsgroup geschildert werden haben unmittelbar mit einem DNS Problem zu tun. Sei es der Mailserver, der keine Mails zustellen kann, keine Client-Pop3-Abfragen oder Probleme, Webseiten aufzurufen. Dabei ist DNS im Grunde sehr einfach. Man muss sich nur überlegen, wie man DNS implementieren will. Wie immer im Leben gibt es auch hier verschiedene Wege zum Ziel. Hinzu kommt noch, dass der ISA Server je nach Clienttyp anders reagiert. Für einen Firewallclient kümmert sich der ISA selber um sämtliche Namensauflösungen, d.h. der ISA selber muss in der Lage sein, korrekte DNS-Abfragen beantwortet zu bekommen. Bei einem SecureNAT Client ist der jeweilige Client eigenverantwortlich. Hier muss sichergestellt werden, dass dieser - unabhängig vom ISA Server - in der Lage ist, Namen aufzulösen.
Welche Möglichkeiten gibt es nun, DNS zu verwenden?
- Jeder Client bekommt einen externen DNS Server (statisch oder per DHCP) zugewiesen
- Jeder Client bekommt nur den internen AD-DNS zugewiesen
- Jeder Client bekommt den internen AD-DNS und einen weiteren externen DNS-Server zugewiesen
Jeder Client bekommt einen externen DNS Server (statisch oder per DHCP) zugewiesen
Ein mögliches Szenario wäre, jedem internen Client in den LAN-Einstellungen einen externen DNS-Server einzutragen.
Natürlich kann der DNS-Server auch per DHCP-Optionen verteilt werden:
Diese Methode hat den Nachteil, dass jeder Client ständig übers Internet DNS-Anfragen starten muss. Dies vermindert die Bandbreite und produziert unnötigen Datenverkehr. In kleinen Netzen mit wenigen PC´s und ohne eigenem DNS-Server könnte es unter Umständen Sinn machen. Aber nur dort...
Damit auch jeder Client eigene DNS Anfragen durch den ISA los wird, muss im ISA eine Protokollregel für DNS Query vorhanden sein:
Jeder Client bekommt nur den internen AD-DNS zugewiesen
Wenn ein Active Directory vorhanden ist, benötigen die Clients sowieso den internen AD-DNS Server als primären DNS-Server. Am besten verteilt man das wieder per DHCP.
Warum DHCP?
Ich verwende in den meisten Netzwerken sehr gerne DHCP für sämtliche Clients, Drucker und ggfs. Mitgliedserver. Dadurch werden Netzwerkänderungen zum Kinderspiel. Nicht mehr jeder einzelne Rechner muss angefasst werden, wenn sich etwas ändert (z.B. ein neues Default Gateway oder ein DNS Server). Ein weiterer Vorteil ist die zentrale Kontrolle und Administration über einen Server. Man kann ohne Probleme einzelne Optionen dadurch verteilen (siehe oben). Und selbst wenn der DHCP-Server zum Zeitpunkt der Anmeldung des Clients nicht vorhanden ist - der kann eine einstellbare Zeit die zugewiesene IP Adresse behalten.
Also muss der Client, wenn er z.B. www.msisafaq.de auflösen möchte, den AD-DNS fragen. Woher bekommt/holt sich dieser DNS Server die Information? Hier gibt es wiederum zwei denkbare Ansätze, dies zu realisieren.
- Der AD-DNS Server hat eine Weiterleitung zu einem externen DNS Server
(z.B. des Internet Service Providers) eingetragen und befragt somit diesen.
Dies wird hier konfiguriert:
Sollte der Punkt "Weiterleitung aktivieren" ausgegraut sein, dann ist die Root (Forward-Lookup)Zone (".") vorhanden. Die muss dann entfernt werden. Nach einem Neustart des DNS Servers kann die Weiterleitung aktiviert werden.
Da die Clients nun nicht mehr direkt externe DNS Server anfragen, kann man im ISA Server den Zugriff auf das Protokoll "DNS Query" durch einen Clientadresssatz einschränken. Zuerst wird ein CAS für den AD-DNS Server erstellt:
Anschließend eine Protokollregel, die eben "DNS Query" nur für diesen CAS zulässt:
- Wenn es das allgemeine Netzwerkdesign zulässt, verwende ich einen weiteren
Schritt in der Namensauflösung. Wenn zum Beispiel mehrere Domaincontroller
vorhanden sind, leite ich die DNS-Server an einen weiteren internen Server
weiter. Dies kann zum Beispiel der ISA Server selber sein. Nur dieser eine
darf dann DNS-Anfragen stellen. Der DNS-Server erhält statt der Weiterleitung
zu einer externen IP-Adresse (wie oben) eine interne IP eingetragen. Am ISA
muss dazu gar nichts konfiguriert werden, denn der notwendige IP-Paketfilter
ist schon vorhanden:
Jeder Client bekommt den internen AD-DNS und einen weiteren externen DNS-Server zugewiesen
Bei den Vorbereitungen zu diesem Artikel ist mir auch diese Lösung eingefallen. Möchte sie nur der Vollständigkeit halber erwähnen - empfehle sie nicht. Der Verwaltungsaufwand ist zu hoch. Von der Konfiguration ist es eine Mischung aus den beiden vorgenannten Möglichkeiten. Hierbei muss sichergestellt werden, dass ein eventuell vorhandener Exchange-Server DNS-Abfragen stellen kann.
| Weitere Quellen: |
Stand: Friday, 28. August 2009/DR.
