Übersicht

1. Allgemeines
2. Regelung zur Vergabe von DNS-Domainnamen an der Universität
3. Namenskonventionen an der Universität
4. Konfiguration der DNS Clients
5. DNS-Splitting an der Universität
6. Betrieb von eigenen Nameservern
   • Forwarding auf die Uni-Nameserver
   • Beispiele zur Konfiguration des eigenen Nameservers
   • Freischaltung des Zonentransfers
   • Empfohlene BIND-Version
7. Informationen zu Windows 2000 und DNS
   • Verbieten dynamischer Updates in Windows 2000 Clients
   • Betrieb von Windows 2000 Servern
8. Weitere Infos

Allgemeines

Das Domain Name System (DNS) ist eine verteilte, hierarchische Datenbank, in der verschiedenste Informationen über Rechner gespeichert werden. Beispielsweise sorgt das DNS für die Umsetzung von Rechnernamen, die sich die Menschen gut merken können, in IP-Adressen, die von den Rechnern intern verwendet werden. Nahezu alle Netzwerkdienste im Internet nutzen das DNS, u.a. World Wide Web und elektronische Mail.

Namenskonventionen an der Universität

Rechnernamen an der Universität haben in der Regel folgende Gestalt:
<Name mit Präfix>.<Institutskürzel>.uni-karlsruhe.de
Derartige Rechnernamen, zugehörige IP-Adressen und Host-MX-Records werden über das DNS-Verwaltungs-System (DNSVS) eingetragen. Aliase innerhalb der eigenen Bereiche können ebenfalls über das DNSVS eingetragen werden. Aliase zu anderen Bereichen und User-MX-Records zur Benutzer-Mailumleitung werden per Mail an dns-master ∂does-not-exist.rz uni-karlsruhe de beantragt. In Zusammenhang mit der Einführung des DNSVS wurden vom RZ folgende DNS-Regeln definiert. Diese Regeln sind in einer etwas weniger formalen Beschreibung in die Hilfe des DNSVS eingearbeitet.

Konfiguration der DNS Clients

Die Konfiguration der DNS Clients ist stark vom Betriebssystem abhängig. Deshalb werden hier nur einige unvollständige Hinweise gegeben; weitergehende Hinweise finden Sie üblicherweise in der Betriebssystemdokumentation Ihres Rechners.

Bei der Konfiguration der DNS Clients benötigt man die IP-Adressen der DNS-Server. Die IP-Adressen der Nameserver der Uni sind 129.13.64.5 und 129.13.96.2. Auf UNIX-Systemen werden die lokalen Nameserver typischerweise in der Datei /etc/resolv.conf über die nameserver-Direktive konfiguriert. Typische nameserver-Direktiven in /etc/resolv.conf sehen also wie folgt aus:
nameserver 129.13.64.5
nameserver 129.13.96.2

Wenn Rechner anderer Institute nur über den kurzen Rechnernamen (ohne Domain) angesprochen werden sollen, so läßt sich diese Funktionalität durch die Konfiguration von Domain-Suchlisten erreichen. Solche Domain-Suchlisten bestimmen, welche Domain-Suffixe an einen unvollständigen Rechnernamen nacheinander angehängt werden, um einen passenden DNS-Eintrag zu suchen.

Auf UNIX-Systemen wird die Domain-Suchliste typischerweise in der Datei /etc/resolv.conf über die search-Direktive konfiguriert. Zum Beispiel sei angenommen, ein Rechner habe folgende search-Direktive in /etc/resolv.conf:
search physik.uni-karlsruhe.de uni-karlsruhe.de
Durch folgende Erweiterung der search-Direktive sind Rechner in der Domain rz.uni-karlsruhe.de auch durch den kurzen Namen ansprechbar:
search physik.uni-karlsruhe.de rz.uni-karlsruhe.de uni-karlsruhe.de

Auf Windows-Systemen wählt man über Arbeitsplatz, Systemsteuerung, Netzwerk, Protokolle durch Doppelklicken das TCP/IP-Protokoll und dann DNS und trägt die Domain-Suffixe im unteren Fenster ein (Bild).

DNS-Splitting an der Universität

Das Rechenzentrum hat auf den Nameservern der Universität (netserv.rz.uni-karlsruhe.de und dns2.rz.uni-karlsruhe.de) am 7.1.2004 das sogenannte DNS-Splitting eingeführt. Benutzer mußten bei der Umstellung nichts ändern. Bei der Nutzung des DNSVS änderte sich mit Einführung des DNS-Splitting nichts. Betreiber eigener DNS-Server innerhalb der Universität müssen jedoch die Hinweise zum Betrieb eigener Nameserver unbedingt beachten!

Beim DNS-Splitting werden von den Nameservern netserv.rz.uni-karlsruhe.de und dns2.rz.uni-karlsruhe.de DNS-Anfragen unterschiedlich beantwortet, je nachdem ob sie von Uni-externen oder von Uni-internen IP-Adressen kommen. Bei externen (A-Record-) Anfragen nach Namen mit privaten IP-Adressen (z.B. Adressen aus dem Bereich 172.16.0.0 bis 172.31.255.255, siehe RFC 1918) wird keine Antwort geliefert, da diese Adressen sowieso von extern nicht erreichbar sind. Ebenso wird bei externen Anfragen für die Auflösung von privaten IP-Adressen zu Namen keine Antwort geliefert. Bei internen Anfragen nach Aliasen, die derzeit auf einen NAT-Rechner (nat*.rz.uni-karlsruhe.de) verweisen (und beim Aufbau einer Verbindung von dort auf Rechner mit privaten IP-Adressen weitergeleitet werden), wird künftig nicht mehr der NAT-Rechner sondern der Rechnername mit der privaten IP-Adresse geliefert. Externe Anfragen dieser Art verweisen weiterhin auf den NAT-Rechner. Mit dieser Änderung wird vor allem eine Optimierung der Kommunikationswege erreicht, weil bei rein interner Kommunikation der Umweg über die NAT-Rechner vermieden wird.

Wenn getestet werden soll, wie externe Antworten des DNS aussehen, kann dies durch Anfrage an einen externen Nameserver geschehen. Zu diesem Zweck können die Nameserver des BelWue mit den IP-Adressen 129.143.2.1 (noc1.BelWue.de) und 129.143.2.4 (dns2.BelWue.DE) genutzt werden. Beispiele:

host -t cname www.wiwi.uni-karlsruhe.de. 129.143.2.4

dig @129.143.2.4 www.wiwi.uni-karlsruhe.de. cname

nslookup -type=cname www.wiwi.uni-karlsruhe.de. 129.143.2.4

Betrieb von eigenen Nameservern

Die folgenden Informationen sind nur für Institute, die einen eigenen Nameserver betreiben, beispielsweise einen Secondary Nameserver für vom Rechenzentrum verwaltete Domains. Prinzipiell sei darauf hingewiesen, dass das Rechenzentrum vom Betrieb eigener Nameserver in den Instituten abrät. Sollten Sie trotzdem den Betrieb eigener Nameserver für unabdingbar halten, so beachten Sie bitte das Folgende.

Forwarding auf die Uni-Nameserver

Seit dem Jahr 2000 ist der Netzwerk-Port des DNS (Port 53) am Eingangsrouter für Netze der Universität gesperrt. Seither ist die an dieser Stelle veröffentlichte Forderung, dass DNS-Server innerhalb der Universität sämtliche Anfragen an externe DNS-Server über die vom Rechenzentrum betreuten DNS-Server schicken. Mit der Einführung des DNS-Splitting ist dies unbedingt erforderlich!

Das Einrichten des Forwarding geschieht bei den Bind-Versionen 8 und 9 mit folgenden Einträgen in der Konfigurationsdatei des DNS-Servers (default ist /etc/named.conf):
options {
forwarders { 129.13.64.5; 129.13.96.2; };
forward only;
};
Die Nutzung älterer BIND-Versionen (z.B. Bind-Version 4.9) wird nicht mehr empfohlen.

Für DNS-Server unter Windows 2000 oder Windows 2003 bekommt man über Start, Verwaltung, DNS durch Rechtsklicken auf den den Servernamen und die Auswahl von Eigenschaften das Fenster zur Verwaltung des DNS-Servers. Unter der Schaltfläche Weiterleitungen wählt man Alle externen Domains und trägt im unteren Eingabebereich die 129.13.64.5 und die 129.13.96.2 ein.

Wenn das Forwarding nicht eingerichtet ist, kann dies dazu führen, dass der eigene DNS-Server die für den externen Bereich vorgesehenen DNS-Daten über einen unserer offiziellen Secondary-Nameserver bekommt. Als Folge können von Client-Rechnern, die den eigenen DNS-Server benutzen, Rechner mit privaten IP-Adressen manchmal nicht mehr angesprochen werden (je nachdem, ob vom eigenen DNS-Server gerade ein offizieller Nameserver des RZ oder ein externer secondary Nameserver genutzt wurde).

Beispiele zur Konfiguration des eigenen Nameservers

Wenn schon ein eigener Nameserver aufgesetzt wird, so ist es sinnvoll, dass er als Secondary für die DNS-Zonen der Universität konfiguriert wird. Eine Liste der Zonen findet man in dem im folgenden angegebenen beispielhaften Konfigurationsdateien. Wenn der Nameserver als Secondary für eine dieser Zonen konfiguriert wird, muss zuvor die Freischaltung des Zonentransfers beantragt werden.

Unter den folgenden Links finden Sie eine beispielhafte Konfigurationsdatei für BIND-Version 8 und BIND-Version 9 und für BIND-Version 4.9. Ebenfalls zum Herunterladen vorhanden sind die beispielhaften Dateien der Zonen localhost und 0.0.127.in-addr.arpa sowie die Datei root.hint, die zum Auffinden der root-Nameserver benutzt wird.

Achtung! Der inkrementelle Zonentransfer zu DNS-Servern unter Windows 2003 funktioniert derzeit offenbar nicht! Wenn DNS-Server unter Windows 2003 benötigt werden, sollten diese übergangsweise so konfiguriert werden, dass sie kein Secondary für die DNS-Zonen der Universität sind.

Freischaltung des Zonentransfers

Das Rechenzentrum verbietet aus Sicherheitsgründen die Abfragbarkeit der gesamten Domaindaten, sogenannte Zonentransfers. Aus diesem Grund sollten sich die Betreiber von Secondary Nameservern per eMail an dns-master ∂does-not-exist.rz uni-karlsruhe de melden, damit Zonentransfers zu diesen Rechnern erlaubt werden.

Empfohlene BIND-Version

Schließlich sei noch darauf hingewiesen, dass es sich empfiehlt, die neuesten Bind-Versionen (siehe http://www.isc.org/) einzusetzen, denn alle älteren Versionen besitzen bekannte Sicherheitslücken.

Informationen zu Windows 2000 und DNS

Allgemeine Informationen zu Windows 2000 und DNS an der Uni Karlsruhe bekommt man auf einer separaten Seite. Bei Windows 2000 Clients ist wichtig, dass der dynamische Update abgeschaltet wird. Bei Windows 2000 Servern sollte man sich unbedingt vor der Konfiguration Gedanken über die Einbindung in die Domänen-Struktur machen.

Verbieten dynamischer Updates in Windows 2000 Clients

Windows 2000 schickt per default dynamische Updates an den Nameserver, u.a. um seine IP-Adresse dynamisch einzutragen. Da unser Nameserver diese Updates aus Sicherheitsgründen sowieso nicht akzeptiert, sollte das zur Verringerung der Last auf dem Nameserver ausgeschaltet werden. Auf einem Windows 2000 Client geschieht das wie folgt:
Start -> Settings -> ControlPanel -> Network and Dialup Connections -> Local Area Connections -> Properties -> TCP/IP -> Properties -> Advanced -> DNS
Hier die Auswahl Register this Connection in DNS deaktivieren.

Betrieb von Windows 2000 Servern

Vor der Konfiguration von Windows 2000 Servern muss man sich überlegen, ob die Windows 2000 Domäne in den Uni-Baum eingehängt werden soll oder nicht. Das hat weitreichende Bedeutung, z. B. für die Benutzung des Global Catalog, siehe Integration von Windows 2000 und DNS.

Wenn die Domäne in den Uni-Baum eingehängt werden soll, muss man sich zunächst den Namen der Domäne (und DNS-Domain) aussuchen; ein typischer Name ist Institutskürzel.uni-karlsruhe.de. Falls das Institut noch keinen IP-Adressbereich besitzt, dem diese DNS-Domain zugeordnet ist, so kann bestehenden IP-Adressbereichen diese zusätzliche DNS-Domain zugeordnet werden. Bitte beantragen Sie diese Änderungen per E-Mail an dns-master ∂does-not-exist.rz uni-karlsruhe de. Schliesslich muss der Name und die IP-Adresse des Rechners, der als Windows 2000 Server konfiguriert werden soll, über das DNS-Verwaltungs-System (DNSVS) im IP-Adressbereich mit obiger DNS-Domain eingetragen werden. Die weiteren notwendigen DNS-Einträge zur Delegation der DNS-Domain an den Windows 2000 Server der Uni können unter Angabe der Domain per eMail an dns-master ∂does-not-exist.rz uni-karlsruhe de beantragt werden.

Wenn eine eigenständige Windows 2000 Domäne konfiguriert werden soll, kann es Probleme bei der Replikation der Domain Controller geben; bitte kontaktieren Sie in diesem Fall die Ansprechpartner für Windows 2000 am RZ (z.B. Ralf Wigand). Wenn sie keine replizierten Domain Controller einrichten wollen, sollten die dynamischen Updates auf dem Domain Controller abgeschaltet werden; Informationen wie das gemacht wird gibt es auf dieser Support-Seite von Microsoft.

Weitere Infos

Weitere Infos zum DNS an der Uni Karlsruhe bekommen Sie aus dem Foliensatz Einführung ins DNS (pdf, 56 KB) oder per eMail an dns-master ∂does-not-exist.rz uni-karlsruhe de . Weitere Infos zum DNS im allgemeinen bekommen Sie unter http://www.isc.org/products/BIND/.