DNS Server veröffentlichen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
In vielen Szenarien ist es erforderlich, einen eigenen, vom Internet erreichbaren DNS Server zu betreiben. Diese kleine Anleitung soll die dazu notwendigen Schritte erklären.
Zuerst muss der DNS-Server konfiguriert werden und die zu veröffentlichenden
Zonen eingerichtet werden. Es wird dringend empfohlen, nicht den DNS-Server zu
veröffentlichen, der auch Informationen über das Active Directory enthält,
selbst wenn die interne Domäne scheinbar nicht veröffentlicht wird. Der
AD-DNS-Server enthält Strukturinformationen über das interne Netzwerk welche
nicht unbedingt öffentlich bekannt gemacht werden sollten. Denn den Inhalt eines
DNS-Servers kann quasi jeder abfragen.
Links zur Einrichtung von DNS-Servern unter Windows 2000 gibt es am Ende der
Seite.
Sofern der DNS-Server auf der ISA Server Maschine verwendet werden soll,
bitte darauf achten, dass er nur an die interne IP-Adresse gebunden ist.
Ebenso muß er für die Weiterleitung von Anfragen konfiguriert werden.
Damit der DNS-Server überhaupt einen externen Server abfragen kann muss eine
Protokollregel eingerichtet werden, die ausgehenden DNS-Verkehr zulässt:
Sofern der DNS-Server auf der ISA-Maschine installiert ist muss statt dessen
ein IP-Paketfilter erstellt werden, sofern er nicht bereits vorhanden ist:
Nachdem der ausgehende DNS-Verkehr nun zugelassen wird, kommt die Veröffentlichung:
Dazu wird eine neue Serververöffentlichungsregel erstellt:
In diesem Beispiel hat ein Server im internen LAN auf dem der DNS-Server läuft
die Adresse 10.201.1.6 und der ISA hat als externe IP-Adresse die 10.0.0.1.
Hier könnte eingerichtet werden, dass nur bestimmte äußere Server Zugriff auf den
DNS-Server haben.
Im Anschluss daran erscheint der Zusammenfassungsbildschirm und die Regel ist aktiv.
Sofern der DNS-Server auch Zonentransfers zulassen soll (dies wird benötigt, wenn er ein Primary Name Server ist) muss zusätzlich eine Serververöffentlichungsregel für das vordefinierte Protokoll "DNS Zone Transfer Server" erstellt werden.
Ab sofort ist der DNS-Server über die öffentliche IP-Adresse erreichbar und kann z.B. per nslookup überprüft werden:
Bitte beachten, dass ein Hotfix verfügbar ist, der DoS-Attacken bei DNS-Veröffentlichungen verhindert.
Hier weitere Infos & Links über DNS:
- Configure DNS for Internet Access in Windows 2000
- Configure DNS in a New Workgroup Environment in Windows 2000
- Replace the Current Primary DNS Server with a New Primary DNS Server in Windows 2000
- Integrate DNS with Existing DNS Infrastructure If Active Directory Is Enabled in Windows 2000
- Integrate Windows 2000 DNS with an Existing DNS Infrastructure in Windows 2000
- Create a New Zone on a DNS Server in Windows 2000
Stand: Friday, 28. August 2009/DR.
