Veröffentlichung eines DNS-Servers
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
- Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003 R2
Im Artikel DNS Auflösung habe ich schon einige Punkte rund um DNS und die DNS-Auflösung in einem Netzwerk geschrieben. Der hier nun vorliegende Artikel beschäftigt sich mit der Veröffentlichung von DNS-Servern für externe Nutzer.
Für ein übliches Unternehmen und dessen IT-Infrastruktur spielt DNS in zweierlei Hinsicht eine wichtige Rolle. Zum Einen ist DNS wichtig für die interne Infrastruktur - in den meisten Fällen ein Active Directory. AD ist ohne DNS nicht überlebensfähig. Die Clients müssen über DNS herausfinden, wo wer ist und wie sie wen erreichen. Genauso ist DNS wichtig, um Ressourcen im Internet anzusprechen. Zum Anderen ist DNS für ein Unternehmen wichtig, wenn es eine eigene Webpräsenz und Mailserver hat. Und das ist doch mittlerweile so ziemlich jedes Unternehmen. Wenn der Name des Unternehmens zum Beispiel Fabrikam Inc. lautet, ist es wahrscheinlich, dass die dazu gehörende Internetdomain fabrikam.com ist. Um eine solche Internetdomain zu bekommen, benötigt man einen Provider, also jemanden, der für das Unternehmen den Domainnamen bei der zuständigen Registrierungsstelle beauftragt und sich um die technische Erreichbarkeit und Konfiguration kümmert. In diesem Fall liegt die Domain beim Provider und das Unternehmen teilt lediglich mit, was er eintragen soll. Der Provider kümmert sich fortan um die Pflege und Verfügbarkeit der Domaindaten. Änderungen müssen vom Unternehmen mitgeteilt werden. Dieses Szenario ist für die meisten Firmen ausreichend und wird üblicherweise so gehandhabt. Wenn man jedoch mehr Flexibilität benötigt kann dies schnell nicht mehr die richtige Lösung sein. Dann muss man sich etwas anderes einfallen lassen. Doch was tun?
In diesem Fall bietet es sich möglicherweise an, die Domain selber zu hosten. Das heißt, das Unternehmen - bleiben wir beim Beispiel Fabrikam Inc. - betreibt selber einen öffentlichen DNS Server und pflegt die DNS Zone eigenständig. Das hört sich eigentlich gar nicht schwer an. Doch was muss Fabrikam dazu alles bereitstellen? Was sind die Vor- und Nachteile? Die Vorteile liegen auf der Hand: flexiblere Konfigurationsmöglichkeiten der DNS Zone und eigenständige, nicht von den Reaktionszeiten des Providers abhängige Änderungen sind jederzeit möglich. Nachteile gibt es von der Anzahl her mehrere, man sollte sich jedoch nicht abschrecken lassen. Wenn man die Nachteile im Griff hat, sind es keine echten Nachteile mehr. Man muss sich natürlich mit DNS und der DNS-Zonenkonfiguration auskennen. Dann benötigt man einen DNS-Server, der vom Internet mit einer eigenen statischen IP-Adresse erreichbar sein muss und der (aus Sicherheitsgründen) nicht gleichzeitig der interne AD-DNS-Server ist. Ferner sollte Fabrikam über eine ausreichende Internetanbindung verfügen. DNS-Abfragen von extern sind zwar pro Vorgang nicht groß, wenn jedoch tausende Anfragen pro Tag eintreffen, kostet das Bandbreite und Volumen. Und die Internetanbindung muss ständig verfügbar sein. Hier wird also eine 50€-DSL-Anbindung nicht ausreichen! Wenn es nicht realisierbar oder nicht gewünscht ist, dass externe DNS-Server beim DNS-Server von Fabrikam anfragen, gibt es noch die sogenannte Hidden Primary-Konfiguration. Dabei wird in der DNS-Zonenkonfiguration nicht der DNS von Fabrikam angegeben sondern der Nameserver eines Providers, der diese Konfiguration unterstützt. Dadurch wird der eigene Server unsichtbar und alle öffentlichen Anfragen werden von den (meist sowieso performanter angebundenen) DNS-Servern des Providers beantwortet. Der Provider-DNS-Server holt sich in regelmäßigen Abständen die aktuelle Konfiguration bei Fabrikam und ist daher auf dem aktuellen Stand. Hierbei muss zwar nichts manuell getan werden, aber es können aufgrund der TTL-Zeiten dennoch Verzögerungen auftreten. Im vorliegenden Artikel werden beide Varianten vorgestellt, da sie nur geringe Unterschiede in der Konfiguration erfordern.
Hier nochmals die Systemvoraussetzungen für einen eigenen DNS-Server im Überblick:
- ausreichende Internetanbindung in Bezug auf Bandbreite und Verfügbarkeit
- statische IP-Adresse für den DNS-Server. Zu beachten gilt hierbei, dass ISA Server für ausgehenden Verkehr (zum Beispiel manuell angestoßene Aktualisierungsbenachrichtigung an den DNS-Server des Providers) stets die erste in der Windows IP-Konfiguration eingetragene IP-Adresse verwendet. Hat ISA Server also mehrere IP-Adressen, muss abgeklärt werden, ob die Provider-DNS-Server damit klar kommen.
- dedizierter DNS-Server, der unabhängig vom internen Active Directory DNS-Server arbeitet
- eine Internetdomain und einen Service Provider, der das eigene hosten der Domain zulässt und ggfs. die Hidden Primary-Konfiguration ermöglicht
- einen ISA Server und die gemäß diesem Artikel konfigurierte Serververöffentlichungsregel (ok, man kann einen DNS-Server natürlich auch mit jeder anderen vernünftigen Firewall veröffentlichen, aber mit ISA ist es sicherer :-P)
Die folgenden wesentlichen Schritte sind notwendig, um das oben vorgestellte Szenario abzubilden:
- Installation und Konfiguration des DNS-Servers
- Konfiguration der DNS-Zone für die Domain fabrikam.com
- Erstellen der Serververöffentlichung mit ISA Server
1. Installation und Konfiguration des DNS-Servers
Für die Installation benötigen Sie einen Windows Server, der am besten keine anderen Aufgaben hat. Dort müssen Sie den DNS Server-Dienst installieren, sofern das noch nicht geschehen ist. Zuvor sollten Sie jedoch sicherstellen, dass der Windows Server bezogen auf Updates auf dem aktuellen Stand ist. Überprüfen Sie das entweder durch Microsoft Update oder den WSUS.
Gehen Sie nun in die Systemsteuerung -> Software und klicken Sie links auf Windows Komponenten hinzufügen/entfernen. Den DNS-Server-Dienst finden Sie unter Netzwerkdienste.
Installieren Sie den DNS-Server.
Öffnen Sie nun anschließend die DNS-Verwaltungskonsole. Als erstes sollten nun die Grundeinstellungen für den DNS-Server angepasst werden. Binden Sie den DNS-Dienst an die interne IP-Adresse des Servers. Es kann auch sinnvoll sein, dem Server dafür eine weitere interne IP-Adresse nur für diesen Zweck zu vergeben. Das kann übersichtlicher sein.
Je nach Bedarf können Sie auf der Registerkarte Ereignisprotokollierung festlegen, was wann im Windows-Ereignisprotokoll protokolliert werden soll:
Die restlichen Registerkarten können mit den Standardeinstellungen übernommen werden.
2. Konfiguration der DNS-Zone für die Domain fabrikam.com
Nachdem nun der DNS-Server soweit vorbereitet ist, kann die Zone für die Domain fabrikam.com erstellt werden. Öffnen Sie dazu wieder die DNS-Verwaltungskonsole und markieren Sie den Knoten Forward-Lookupzonen. Es gibt zwei Arten von DNS-Zonen: Forward-Lookupzonen (FLZ) sind dazu da, um Hostnamen (www.fabrikam.com) in deren zugehörende IP-Adresse (207.46.197.32) aufzulösen. Eine Reverse-Lookupzone (RLZ) löst genau das Gegenteil auf, sprich eine IP-Adresse in einen Hostnamen. Sollte Ihnen Ihr Provider auch die Verwaltung der IP-Adressen erlaubt haben, müssen Sie dies über RLZ machen. Die Vorgehensweise ähnelt sehr der hier beschriebenen Delegation von FLZ.
Wählen Sie im Menü Aktion den Punkt Neue Zone... aus oder klicken Sie mit der rechten Maustaste auf den Eintrag Forward-Lookupzonen und wählen Sie dann Neue Zone... aus. Sie werden von einem Assistenten begrüßt:
Da Ihnen nichts anderes übrigbleibt, klicken Sie auf Weiter.
Anschließend müssen Sie angeben, welchen Zonentyp Sie einrichten wollen:
In diesem Beispiel legen wir eine Primäre Zone an. Als nächstes muss der Name der Zone eingegeben werden:
Im nächsten Dialogfenster müssen Sie angeben, ob eine neue Datei für die Zone erstellt werden soll oder ob eine bereits vorhandene Datei verwendet und importiert werden soll.
Die letzte Frage des Assistenten bezieht sich auf die Möglichkeit, DNS-Einträge dynamisch zu aktualisieren. Dies ist in der Regel nur für interne DNS-Zonen interessant.
Sobald der Assistent beendet wurde, erscheint die neu angelegte Zone in der DNS-Verwaltungskonsole:
Leider ist damit die Konfigurationsarbeit noch nicht fertig. Nun müssen zuerst die Eigenschaften der neuen Zone angepasst werden.
Die Registerkarte Allgemein kann mit den Standardwerten übernommen werden.
Auf der Registerkarte Autoritätsursprung (SOA) müssen einige Werte angepasst werden. Die Werte für die Seriennummer sowie die Ablaufzeiten konfigurieren Sie meist nach Anweisung beziehungsweise in Absprache mit Ihrem DNS-Provider. Eine Mögliche Konfiguration könnte sein:
Sollten Sie die Zone in der Hidden Primary-Konfiguration betreiben, tragen Sie im Feld Primärer Server den ersten DNS-Server des Providers ein.
Die Registerkarte Nameserver könne so aussehen:
Hier müssen Sie alle Nameserver angeben, die die Zone fabrikam.com verwalten. In diesem Beispiel ist der primäre DNS-Server ns.fabrikam.com und es existieren zwei sekundäre Nameserver beim Provider. In der Hiddeen Primary-Konfiguration stehen hier nur die DNS-Server des Providers drin.
Die letzte anzupassende Registerkarte ist die Zonenübertragung
Hier legen Sie fest, an welche DNS-Server die Zone übertragen werden darf. Aus Sicherheitsgründen sollten Sie hier im Normalfall nur eine Übertragung an die offiziellen Nameserver der Domäne (Standardeinstellung) zulassen.
Somit sind die Einstellungen der Zone fertig. Nun müssen noch die entsprechenden Host-Einträge erstellt werden, um die Zone mit Leben zu füllen. Die fertige Zone könnte so aussehen:
3. Erstellen der Serververöffentlichung mit ISA Server
Nachdem nun der DNS-Server installiert und konfiguriert sowie die Zone erstellt wurde, kann am ISA Server die notwendige Serververöffentlichungsregel erstellt werden.
Öffnen Sie dazu die ISA Server-Verwaltungskonsole. Navigieren Sie zum Knoten Firewallrichtlinie und wählen Sie aus dem Aufgabenbereich den Punkt Nicht-Webserver-Protokolle veröffentlichen.
Vergeben Sie der neuen Regel einen sprechenden Namen:
Geben Sie die interne IP-Adresse des DNS-Servers an:
Da ein DNS-Server veröffentlicht werden soll, wählen Sie hier das Protokoll DNS-Server aus:
Im nächsten Dialogfenster müssen Sie angeben, welcher Netzwerklistener verwendet werden soll. Haben Sie nur eine IP-Adresse am externen Interface, können Sie die Standardwerte verwenden. Haben Sie jedoch mehrere externe IP-Adressen, legen Sie hier diejenige fest, die für die DNS-Veröffentlichung verwendet werden soll.
Der Assistent wird mit der Zusammenfassung beendet:
Lassen Sie sich anschließend die Eigenschaften der Regel anzeigen, um noch ein paar Einstellungen zu verändern:
Sollten Sie Ihren DNS-Server in der Hidden Primary-Konfiguration betreiben, können und sollten Sie den Zugriff auf Ihren DNS-Server an dieser Stelle so einschränken, dass auch nur die DNS-Server des Providers (und gegebenenfalls vom Provider angegebene IP-Adressen für Wartungszwecke) Zugriff bekommen. Richten Sie dazu einen Computersatz an und fügen Sie nur diesen auf der Registerkarte Von hinzu:
Vergessen Sie nicht, die Änderungen an der ISA Server-Konfiguration zu übernehmen.
Somit ist auch der ISA Server für die Veröffentlichung des DNS-Servers konfiguriert und Sie können mit Ihrem Provider das weitere Vorgehen besprechen.
Stand: Friday, 28. August 2009/DR.
