• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Netzdienste
  • Internetdienste im MWN
  • WWW - Webhosting
  • E-Mail
  • Shibboleth DFN-AAI
  • DocumentWeb - Portal
  • DHCP
  • DNS - Nameserver
  • Security-/NAT-Gateway
  • NTP-Zeitserver
  • Radius
  • Der Modem-/ISDN-Zugang
  • Anonymer FTP-Server

ALIs

Betrieb des Nameserver-Dienstes im MWN

Inhalt

• Allgemeines
• Nameserver am LRZ
• Domains im MWN
• Webdns - Einträge in LRZ-Nameserver über Webinterface
  • Passwort ändern:
  • Neuen Host anlegen:
  • Existierenden Host ändern:
  • Alias (CNAME) anlegen:
  • Neue Zone anlegen lassen:
• Verwaltung der Reverse-Mapping-Zonen
• Instituts-/Fakultäts-Nameserver ( ausgezeichnete Nameserver )

Allgemeines

Der Domain Name Service im Internet wurde eingeführt, um logische, lesbare Namen, sog. Domainnamen, anstelle von IP-Adressen verwenden zu können. Im weltweiten Verbund dienen die Domain Nameserver (DNS ) zur Namensauflösung/Resolving von Domainnamen.; d.h. Nameserver liefern für einen Verbindungsaufbau die IP-Adresse zum verwendeten Domainnamen.

Über den DNS kann für IP-Adressen ein hierarchisch gegliederter Domain-Namensraum definiert werden. Die Hierarchiestufen werden dabei als Domains bezeichnet. An unterster Stufe kann der Rechner ( Host ) stehen. Die Hierarchiestufen werden durch Punkte getrennt. I.d.R. enden die Domainnamen mit einer zweistelligen Länderkennung, so z.B. "de" für Deutschland.
Ein Domainname hat also die Form
                  [host.][subdomain.]subdomain.toplevel-domain

z.B.:           lionsden.informatik.uni-muenchen.de     ( Domainname für Rechner der Informatik der LMU-München )
oder           lsr.e-technik.tu-muenchen.de                ( Domainname ( Subdomain lsr ) für einen  Lehrstuhl der E-Technik der TUM )

Jede Subdomain-Ebene bildet einen Domainnamensraum, der Einträge für Subdomains oder Rechner bzgl. dieser Ebene umfasst. Nicht jeder Domainnamensraum wird eigenständig verwaltet. Eigenständig verwaltete Domainnamensräume bezeichnet man als Zone; d.h. jede Subdomain-Ebene kann (muss aber nicht ) als Zone verwaltet werden. Eine Zone besteht aus Einträgen, sog. Resource Records, die die Objekte bzgl. des Domainnamensraums beschreiben. Jede Zone wird von einem Primary Nameserver gepflegt. Ein Secondary Nameserver dient als Backup, der über den Zonentransfer automatisch auf den neuesten Stand gebracht wird. Für eine Zone müssen in der übergeordneten Zone die entsprechenden NS-Records (Verweise auf die zuständigen Nameserver-Rechner der Zone) bekannt sein.

Daneben gibt es auch eine Verwaltung für das sog. Reverse Mapping. Reverse Mapping Einträge liefern zu IP-Nummern die dazugehörigen Domainnamen. Eine Anfrage an den Nameserver z.B. für die IP-Nr. 129.187.10.21 lautet "21.10.187.129.in-addr.arpa" und liefert in diesem Fall voip05.lrz-muenchen.de. Solche Anfragen nutzen manche Services für Zugangskontrolle.
Die "Einstiegszone" für das Reverse Mapping richtet sich nach der Klasse des IP-Adressraums: bei der z.B. im MWN verwendeten Class-B-Adresse 129.187.0.0. ist dies demnach 187.129.in-addr.arpa. Die einzige Hierarchiestufe darunter gibt es auf der Subnetzebene z.B. für 129.187.10. 0  ist dies  10.187.129.in-addr.arpa. Entsprechend kann es auf der Subnetzebene eigene Zonen geben.

Nachfolgend sind nun die wichtigsten Resource Records aufgelistet:

Zum Abfragen von Domainnamen gibt es verschiedene Programme; unter Angabe des entprechenden Resource Records erhält man den aktuellen Nameserver-Eintrag. Das Programm "nslookup" ist standardmäßig unter UNIX und Windows verfügbar (Online-Info  "man nslookup").

Hier nun ein Beispiel einer Abfrage:
nslookup  (-q=a  ) lionsden.informatik.uni-muenchen.de  ( RR=a ist voreingestellt )
Server:  resolver.dns.lrz.de         ....   abgefragter Server
Address:  10.156.33.53

Name:      lionsden.informatik.uni-muenchen.de    ... Antwort
Address:  129.187.214.135

Mehr zur Funktionsweise des DNS kann man auf den einschlägigen Wikipedia-Seiten nachlesen.

Nameserver am LRZ

Zum Betreiben des Münchner Wissenschaftsnetzes werden am LRZ mehrere authorative Nameserver eingesetzt:

dns1.lrz.de                Primary Nameserver
dns2.lrz.de                Secondary Nameserver
dns3.lrz.de                Secondary Nameserver

Diese Nameserver sind im weltweiten DNS-Verbund über die NS-Records der unterschiedlichen Zonen allgemein bekannt gemacht. Sie antworten auf Anfragen nicht rekursiv, können also eigentlich nur von einem Resolver, der eine Anfrage in Teilabfragen zerlegt, verwendet werden.

Der Dienst "Rekursive Namensauflösung" für Clients im MWN wird durch zwei weitere Nameserver zur Verfügung gestellt:

Auf allen Arbeitsplatzrechnern, Laptops und ähnlichem dürfen nur noch die beiden Resolver als Nameserver eingetragen sein!
Auch alle dezentralen Nameserver, die für die Namensauflösung einen Resolver (Forwarder) benötigen, müssen diese Resolver eingetragen haben! 
Um dem Missbrauch der Resolver durch Viren ect. vorbeugen zu können, werden auf resolver2.lrz.de Einschränkungen bezüglich der Anzahl, Art und Herkunft der Anfragen getroffen.

Die authoritativen und Resolver-Dienste sind redundant auf  4 realen Maschinen installiert, wie das folgende Bild verdeutlicht.

Viele Institutionen, die dem MWN angehören, unterhalten eigene delegierte dezentrale Nameserver, mit denen sie ihre eigenen Zonen und Domains verwalten. Häufig unterhalten sie nur einen primären Nameserver, wobei als secondary Nameserver dns1.lrz.de oder ein anderer eingesetzt wird, teilweise einen eigenen primary und einen oder mehrere eigene secondary Nameserver. Die dafür verantwortlichen Personen machen selbständig Eintragungen. Allerdings müssen in der darüber liegenden Zone (einem unserer Nameserver) die delegierten Nameserver bekannt sein.

Wir empfehlen, die (bzw. mindestens einen) LRZ-Nameserver als Secondary-Nameserver zu konfigurieren. Für die notwendige Freigabe des Zonentransfers sind die IP-Adressen der realen Servermaschinen zu verwenden, diese sind

Bei NS-Records sind jedoch dns1.lrz.de etc. einzutragen.
Wir empfehlen außerdem, den Institusnamserver als sog. Hidden primary zu konfigurieren, wodurch dieser im Internet nicht sichtbar ist, wodurch die Sicherheit gegenüber Angriffen erhöht wird.

Domains im MWN

Die primären Domains im WMN sind die folgenden, daneben sind noch eine Reihe weiterer Domains registriert.
 

Für oben nicht genannte Organisationen stehen nachfolgende Domainnamensräume zur Verfügung: 

Unterhalb der oben genannten Domainnamen sind weitere Sub-Domainnamen eingerichtet bzw. können eingerichtet werden; die Einträge werden z.T. am LRZ aber auch auf instituts- oder fakultätseigenen Nameservern verwaltet.

Beispiele für Subdomainnamen sind:

Das LRZ betreibt für das MWN drei Class-B-Netze mit folgenden Adressbereichen:

Somit betreibt das LRZ das Reverse-Mapping für folgende Zonen:
           187.129.in-addr.arpa
           84.141.in-addr.arpa
           40.141.in-addr.arpa

Darunter können die Reverse-Mapping-Einträge auf Subnetzebene in eigenen Zonen verwaltet werden z.B. von instituts- bzw. fakultätseigenen Nameservern. Alle anderen im MWN verwendeten IP-Adressräume werden bzgl. des Reverse-Mappings von den NS-Verantwortlichen an den Instituten/Lehrstühlen selbst verwaltet.

Auf einer eigenen Seite beschrieben ist die Verwendung eigener Domainnamen.

Webdns - Einträge in LRZ-Nameserver über Webinterface

Das NameSurfer Frontend (Firma Nixu) bietet DNS-Administratoren die Möglichkeit, ihre Domains über ein interaktives Webfrontend zu verwalten. Die Zielgruppe sind Administratoren, die ohne viel Aufwand selbst Änderungen an ihren Zonen vornehmen wollen, ohne für jeden Eintrag eine Anforderung über das Servicedesk-Portal einzugeben und die Erledigung durch das LRZ abwarten zu müssen. Die Einträge werden sofort im DNS wirksam. In der Voreinstellung werden mit Hosteinträgen automatisch Reverse-Mapping-Einträge vorgenommen.

Sie erreichen das Frontend unter der URL http://webdns.lrz.de. Es wird empfohlen, als Browser Firefox zu verwenden. Die Online Hilfe bietet zu vielen Punkten gute Erklärungen zu deren Bedeutung und Konfigurationsmöglichkeiten. Es werden Benutzerkennungen eingetragen für Administratoren, welche:

• eigene Zonen administrieren, welche bereits auf den DNS-Servern vom LRZ verwaltet werden.
• bisher eigene DNS Server betreiben, diesen Dienst aber lieber vom LRZ betreiben lassen möchten.
  

Bitte beachten:

• Beim Zugriff auf das Webinterface erfolgt eine Umleitung auf Port 8053 (http) oder 8443 (https). Sollte diese Seite nicht erreichbar sein, könnte es daran liegen, dass Ihre Firewall diesen Port blockiert.
• Das Passwort für Webdns ist das gleiche wie für die anderen LRZ-Dienste.
• Neue Zonen können nicht über das Webfrontend eingetragen werden, auch wenn ein Menupunkt Create zone existiert. Beachten Sie bitte dazu den Absatz Neue Zone anlegen.

Kennung anfordern:

Den Wunsch nach einer Kennung geben Sie bitte mit folgenden Angaben über das Servicedesk-Portal ein:

• Name
• Institut
• E-Mail Adresse
• Telefonnummer
• Verwaltete Zone(n)
• LRZ-Kennung

Sollte diese Zone(n) auf den DNS Servern des LRZ noch nicht existieren, muss die Anlegung über das Servicedesk-Portal angefordert werden (s.u.).

Passwort ändern:

Das Webdns-Passwort ist das gleiche wie für die anderen LRZ-Dienste. Ändern kann man es über das ID-Portal (https://idportal.lrz.de/r/entry.pl).

Neuen Host anlegen:

• Sollten Sie sich nicht auf der Index-Seite befinden, klicken Sie links oben auf Back to index page. Sie sollten nun eine Übersicht Ihrer Zonen sehen.
• Klicken Sie auf die Zone, in der Sie den neuen Eintrag machen wollen. Sie sollten nun eine Übersicht der Einträge in der Zone sehen. Der 1. Eintrag ist normalerweise ein Eintrag mit dem Zonennamen. Das ist der SOA Record.
• Klicken Sie auf der linken Leiste unter Add: auf: Host. Es öffnet sich die Seite Define new host.
• Geben Sie den neuen Namen und die IP-Adresse des neuen Hosts ein und klicken Sie auf OK. Ist alles in Ordnung, sehen Sie anschließend wieder die Übersicht der Einträge in der Zone inclusive des neuen Eintrages.

Existierenden Host ändern:

• Sollten Sie sich nicht auf der Index-Seite befinden, klicken Sie links oben auf Back to index page. Sie sollten nun eine Übersicht Ihrer Zonen sehen.
• Klicken Sie auf die Zone, in der sich der Host befindet, den Sie ändern wollen. Sie sollten nun eine Übersicht der Einträge in der Zone sehen. Der 1. Eintrag ist normalerweise ein Eintrag mit dem Zonennamen. Das ist der SOA Record.
• Klicken Sie auf den Hostnamen, den Sie ändern wollen. Es öffnet sich eine Seite Host xyz.xyz.de.
• Machen Sie ihre Änderungen und klicken Sie anschließend auf OK.
• Für fortgeschrittene Benutzer: Auf der linken Seite befindet sich der Link Add RR unter dem Sie noch weitere Einträge finden. Ist alles in Ordnung, sehen Sie anschließend wieder die Übersicht der Einträge in der Zone.

Alias (CNAME) anlegen:

• Sollten Sie sich nicht auf der Index-Seite befinden, klicken Sie links oben auf Back to index page. Sie sollten nun eine Übersicht Ihrer Zonen sehen.
• Klicken Sie auf die Zone, in der sich der Host befindet, den Sie ändern wollen. Sie sollten nun eine Übersicht der Einträge in der Zone sehen. Der 1. Eintrag ist normalerweise ein Eintrag mit dem Zonennamen. Das ist der SOA Record.
• Klicken Sie auf der linken Leiste unter Add: auf: Alias. Es öffnet sich die Seite Define new Alias.
• Geben Sie oben einen neuen Namen ein.
• Geben Sie unten den Namen des bereits existierenden Hosts an für den der Alias Eintrag erzeugt werden soll.
• Klicken Sie auf OK um Ihre Änderungen zu übernehmen.
  

Neue Zone anlegen lassen:

Achtung: Einträge über das Menü Create zone werden nicht in die aktuelle DNS-Konfiguration übernommen. Wenn Sie eine neue Zone benötigen, fordern Sie diese bitte über das Servicedesk-Portal an. Bitte fügen Sie folgende Informationen bei:

• Zonenname
• DNS-Server auf denen diese Zone gehalten werden soll (Standard: dns1, dns2, dns3)
• Institutsname
• Verantwortlicher Ansprechpartner für diese Zone mit E-Mail Adresse und Telefonnummer
• Bei Dynamischen Zonen: IP-Adressen der DHCP-Server, welche die dynamischen Updates machen dürfen.
• Bei bereits existierenden Zonen, die auf dns1, dns2, dns3 umziehen sollen: IP Adressen der DNS-Server von denen die Zone kopiert werden soll. WICHTIG: Zonentransfer muss für webdns.lrz.de freigeschaltet sein.
• Evtl. weitere erforderliche Optionen für die Zone

Sobald die Zone eingetragen ist, können Sie im Webfrontend Ihre Einträge in dieser Zone machen.

Verwaltung der Reverse-Mapping-Zonen

Wie oben schon erwähnt, ist das LRZ Anlaufstelle für das Reverse-Mapping für die Zonen
      187.129.in-addr.arpa
      84.141.in-addr.arpa
      40.141.in-addr.arpa

Die Verwaltung der Zonen auf Subnetzebene kann an instituts- bzw. fakultätseigene Nameserver delegiert werden. Wer nun zuständig ist, kann mittels einer nslookup-Abfrage ermittelt werden. Dies wird anhand eines Beispiels erklärt:

Für das Subnetz 129.187.147 ergibt die Anfrage auf den SOA-Record folgendes:

nslookup -q=soa 147.187.129.in-addr.arpa
....
147.187.129.in-addr.arpa
        origin = ventura.lsr.e-technik.tu-muenchen.de
        mail addr = admin.lsr.e-technik.tu-muenchen.de
        serial = 1998040200
        refresh = 21600 (6 hours) retry = 1200 (20 mins)
        expire = 3600000 (41 days 16 hours)
        minimum ttl = 432000 (5 days)
...
Was erkennt man daraus:
1. es gibt eine eigene Zone
2. sie wird auf dem Rechner ventura.lsr.e-technik.tu-muenchen.de verwaltet
3. der Verwalter kann per E-Mail angesprochen werden: admin@lsr.e-technik.tu-muenchen.de
     ( Anm.: der erste "." ist als "@" zu ersetzen )

Aus der Abfrage
nslookup -q=soa 46.187.129.in-addr.arpa
( oder    nslookup
              set q=soa
              46.187.129.in-addr.arpa   )
... und der Antwort
*** resolver1.lrz.de can't find 46.187.129.in-addr.arpa: Non-existent domain

erkennt man, dass es keine eigene Zone für das Subnetz gibt. Einträge können aber in der übergeordneten Zone 187.129.in-addr.arpa erfolgt sein. Man fragt am besten am LRZ nach, falls Einträge vorgenommen werden sollen.
Einzelne ReverseMappingEinträge werden etwa mit
nslookup -q=ptr 12.46.187.129.in-addr.arpa
( evtl. auch "nslookup -q=ptr 129.187.46.12" )
abgefragt.

Mit der Abfrage nach dem SOA-Eintrag kann man auch für einen Domainnamensraum z.B. für lsr.e-technik.tu-muenchen.de herausfinden, ob er als eigene Zone verwaltet wird oder die Einträge in der übergeordneten Zone mitverwaltet werden.

Instituts-/Fakultäts-Nameserver ( ausgezeichnete Nameserver )

Die Verwaltung von Subdomain-Zonen und ReverseMapping-Zonen auf Subnetzebene kann - wie schon oben erwähnt - durch Instituts- und/oder Fakultätsnameserver erfolgen. Um nun den durch die Nameserverdienste erzeugten Datenverkehr zu strukturieren und zu reduzieren (und auch gegen fehlerhafte NS-Konfiguration gewappnet zu sein), erfolgt ein Filtern des IP-Datenverkehrs nach außen auf Port 53, über den Anfragen und Antworten abgewickelt werden. Damit trotz dieser Beschränkung Anfragen von außen korrekt beantwortet werden können, gibt es ausgewählte Nameserver (meist) auf Fakultätsebene, die davon ausgenommen sind. Beim Einrichten einer neuen Zone sollten die LRZ-Nameserver (dns1, dns2, dns3) als Secondary angegeben werden. Bitte benachrichtigen Sie dabei immer die LRZ-Verwalter über über das Servicedesk-Portal.

Des weiteren können Nameserveranfragen direkt an Namerserver außerhalb des MWN z.B. über
nslookup
lserver dns.denic.de         ( z.B. zentraler Nameserver für Deutschland )
<Anfrage>
erfolgen.