DNS unter Windows 2000 allgemein

LINKS
Sicherheit ist Illusion
Best known William Hurt Site
Suffocated Art
Main Page

FEEDBACK
as-sassin@sicherheit-ist-illusion.de
Guestbook

Diese Seite basiert auf  Mark Minasi's A DNS Primer - How DNS works in Windows 2000
Windows 2000 Magazin

DNS Namen und Adressen
Jeder Computer im Internet hat eine einzigartige 32-bit IP-Adresse  (z.B. 62.153.17.77). Bei der Benutzung von Internetprogrammen werden andere Computer durch die IP-Adresse angesprochen. Zum Beispiel kannst Du in den Webbrowser statt eines Namens auch http://194.54.71.142 (nur ein Beispiel...) eingeben, um eine Seite zu erreichen.  Natürlich schrieben wir lieber etwas wie http://sicherheit-ist-illusion.de. Die Auflösung soeines namens in die IP-Adresse des Webservers muß also durch eine Datenbank erfolgen, man nennt das Namensauflösung. 
Da es Anfangs im Internet nur wenige Computer gab, erledigten diese die Namensauflösung durch eine einfache ASCII-Tabelle, die HOSTS-Datei, die IP-Adressen und Namen auflistete (TCP/IP erlaubt nach wie vor die Benutzung einer HOSTS-Datei auf Deinem Sytem, aber normalerweise braucht man heute keine mehr.). Seit 1984 benutzen die Rechner im Internet DNS, um Namen aufzulösen, da die Anzahl der Computer zu groß wurde, um sie mit einer HOSTS-Datei zu verwalten. 
Wie der Internet Engineering Task Force (IETF) Request for Comments (RFC) 952 definiert, besteht ein Comuter-DNS-Name aus verschiedenen Teilen, die durch Punkte getrennt werden. www.suffocated-art.de zum Beispiel besteht aus www, suffocated-art und de.  Die RFC-erlaubten Zeichen für diese Namen sind Buchstaben von a bis z, Zahlen von 0 bis 9, Minus und eben der Punkt, der die einzelnen Teile trennt. Windows 2000 unterstützt auch den Unterstrich (allerdings ist von der Benutzung abzuraten, wenn man allgemeingültige Namen haben will!). 

Namensregistrierung
Um einen Domänennamen zu registrieren, kann man in Deutschland die DeNIC kontaktieren (http://www.denic.de). Man kann auf deren Webseite nachsehen, ob der gewünschte Name (z.B. meinnachname.de) bereits registriert ist.
Der größte Vorteil von DNS ist der hierarchische Aufbau. Die Nachfrage bei der DeNIC wird vielleicht zeigen, daß meinnachname.de bereits registriert ist, aber Du bekommst keine Informationen über diese Domäne, Du wirst also nicht erfahren, ob der Computer pc77.meinnachname.de existiert. Sogar wenn es diesen Rechner gibt, könnte die DeNic Dir ihre IP-Adresse nicht sagen, denn sie kümmert sich nicht darum, was innerhalb der Domäne meinnachname.de passiert, und das liegt an dem hierarchischen System. Um arbeiten zu können, braucht die DeNIC nur die Namen einiger Kontaktpersonen aus der Domäne meinnachname.de und die Namen und IP-Adressen von zwei DNS-Servern in dieser Domäne. 
Stell Dir vor, die Domäne meinnachname.de ist noch frei und Du beschließt, diesen Namen zu registrieren; Du wirst der DeNIC die Namen und IP-Adressen von zwei DNS-Servern in Deinem Netz geben oder von DNS-Servern Deines ISP, wenn er die Namen für Dich verwaltet (Ein DNS-Server kann viele Domänen verwalten).
Du entscheidest Dich, den DNS-Dienst auf einem Rechner namens Kiste.meinnachname.de (IP-Adresse 194.54.193.77) laufen zu lassen und bezahlst Deinen ISP damit er den zweiten DNS-Server stellt. Der ISP verwaltet die DNS-Informationen auf einem Server namens ns3.mein-isp.net (62.180.255.75). Diese zwei DNS-Server sind dann authentifiziert für meinnachname.de. 
Mit einsprechender Software kann jeder Computer, der das TCP/IP-Protokoll nutzt, ein DNS-Server sein. Das populärste Programm ist UNIX's Berkeley Internet Name Domain (BIND), aber es gibt auch Lösungen auf  IBM-Mainframes und Midrange Systemen, Digital's (jetzt Compaq's) VAX Systeme, NT und OS/2. Es könnte auch DNS-Software für DOS geben. 
Wenn Du als Computer in meinnachname.de mit Namen wie www.meinnachname.de, rechner7.meinnachname.de oder skywalker.meinnachname.de benennst, mußt Du dies nicht bei der DeNIC eintragen, stattdessen gibst Du diese Informationen den beiden DNS-Servern (die die DeNIC ja kennt). Beide DNS-Server halten eine Datenbank der Informationen über die Domäne meinnachname.de, genannt Zone-File. 

Den neuen Host eintragen
Die Methode, die Du benutzt, um einen neuen Computer der DNS-Zone hinzuzufügen - einen neuen Host, im DNS-Jargon -  unterscheidet sich, je nachdem, was für eine DNS-Software Du nutzt. Die meisten  DNS-Server benutzen als Zone-Files ASCII-Dateien, in die man den neuen Host einfach eintragen kann, andere (wie Win2000 und NT) bieten eine grafische Oberfläche hierfür.
Bei neueren DNS-Versionen braucht man den neuen Host gar nicht selbst eintragen, da die Software nach dem neuen Dynamic DNS (DDNS) - Standart entwickelt wurde. RFC 2136 beschreibt DDNS im Detail. In einem DDNS-Netzwerk können die Computer sich selbst im DNS eintragen ohne das der Administrator Hand anlegen muß. 

Die Hierarchy benutzen
Nachdem die meinnachnem.de-DNS-Server die Einträge für www, rechner7 und skywalker haben, kannst Du sehen, wie die DNS-Hierarchie funktioniert. Stell Dir vor, jemand aus der Domäne beispiel.de geht mit seinem Browser auf www.meinnachname.de; der Browser fragt den lokalen DNS-Server nach der IP-Adresse von www.meinnachname.de. Der beispiel.de-DNS-Server kennt diese natürlich nicht, aber er kennt 13 DNS-Server, die die Namen und IP-Adressen jeder Domäne im Internet kennen.
Diese Server, die die oberste Ebene des DNS-Baum sind, nennt man root server. Der beispiel.de-Server fragt einen dieser 13 nach der IP-Adresse von www.meinnachname.de. Die Rootserver antworten, daß sie diese nicht kennen, wohl aber die zuständigen DNS-Server der Domäne meinnachname.de. Also fragt der DNS-Server in Beispiel.de einen dieser Server nach der IP-Adresse von www.meinnachname.de, dieser antwortet mit der entspechenden Adresse und die Namensauflösung ist komplett. 

Mailserver  finden
Ein weiteres nützliches Feature von DNS ist die Auffindung von Mailservern einer Domäne. Wenn Du ein Benutzerkonto namens Admin in meinnachname.de hast, sollten andere Dir Mails schicken können, indem sie sie an admin@meinnachname.de senden.
Aber Emails müssen von einem Mailserver zu einem anderen geschickt werden. Wenn ich also eine Mail von Daniel aus der Domäne suffocated-art.de bekommen will muß dessen Mail den Emailserver von meinnachname.de finden. 
Die Technik, die dahinter steht, ist überall die selbe: Wie findet man Webserver im Internet? Wenn die Domäne sicherheit-ist-illusion.de heißt, ist es wahrscheinlich, daß ihr Webserver über www.sicherheit-ist-illusion.de ansprechbar ist. Natürlich muß der Webserver nicht www heißen, also wäre es doch schön, einen Weg zu haben, den Namen herauszubekommen! - So etwas gibt es allerdings (noch) nicht. Anders beim Mailserver: Die Zone-Files besitzen einen Mail-Exchange (MX) Eintrag, der den Namen und die IP-Adresse des Mailservers enthält. So findet die Email ihren Weg vom Mailserver in suffocated-art.de zu dem in meinnachname.de.

Primäre and Sekundäre DNS-Server
Wofür braucht man zwei DNS-Server? Ausfallsicherheit ist natülich der Grund! Wenn ein Server abstürzt, aknn der andere die Namensauflösung für die Domäne übernehmen.
Aber wie schafft man es, die Server synchronisiert zu halten?
Wenn Du einen Rechner namens jonas.meinnachname.de der Domäne hinzufügst, wie sicherst Du, daß auch der DNS-Server bei Deinem ISP von der Neuerung weiß? Es ist ganz einfach: Ein Server muß primär, der andere sekundär sein! 
Alle Einträge werden im Primären DNS-Server vorgenommen, dieser sendet die neusten Zone-File-Informationen dann an den sekundären Server.
Die Zone-File des Sekundären Servers hat normalerweise eine Time to Live (TTL) Periode. Wenn der Primäre DNS-Server den sekundären nicht innerhalb dieser Periode updatet, nimmt der sekundäre an, das die Informationen nicht mehr gültig sind. Die TTL Periode ist typischer Wiese 24 Stunden oder mehr, damit es keine Probleme gibt, wenn der primäre Server für ein paar Stunden ausfällt. 
Der DeNIC ist egal, welches Dein primärer und welches der sekundäre Server in Deinem Netz ist. Du legst im Start of Authority (SOA) Eintrag fest, wer Dein primärere Server ist. Dieser Eintrag sagt dem sekundären DNS-Server auch, wie lang seine TTL ist und enthält die Emailadressen des technischen Supports.
Du kannst soviele sekundäre DNS-Server haben, wie Du willst, genau wie man einen PDC und belieblig viele BDCs hat.

DNS und Windows 2000
Durch den MX-Eintrag findet man ganz leicht Emailserver. 
RFC 2052 beschreibt einen weiteren speziellen Eintrag: den SRV-Eintrag. Ein SRV-Eintrag spezifiziert einen Server. Win2000-Clients suchen nach einem SRV-Eintrag um einen DC zufinden, an dem sie sich anmelden können. 
Win2000-Rechner benutzen ein weiteres DNS-Feature: DDNS. Beim Starten spricht die 2000-Kiste den DNS-Server an, um ihren Namen im DNS zu registrieren. Obwohl nicht-Windows-2000-Client dies nicht beherrschen, können sie über den  Win2000-DHCP-Server eingetragen werden. 
Windows 2000 verwischt die Linie zwischen einer NT-Domäne und einer DNS-Domäne. Eine DNS-Zone-File unter Windows 2000 arbeitete genauso, wie eine WINS-Datenbank unter NT. 
Win2000 benutzt DDNS auf andere Art. Wenn Du eine AD-basierende Domäne schaffst, gibt der DC automatisch die Domänenstruktur im DNS wieder. Auch hierfür benutzt der DC DDNS.

Microsoft's DNS Server
Um die Vorteile der Integration von DNS und AD nutzen zu können, mußt Du nicht unbedingt den Windows 2000 DNS-Server benutzen. Allerdings ist es auch nicht möglich, weiterhin die '92er Version von BIND zu nehmen.
Für Windows 2000 muß der DNS-Server einigen Standarts genügen:  RFC 2052 (der SRV-Eintrag) und RFC 2136 (DDNS). Viele aktuelle DNS-Versionen  (einschließlich der aktuellen Version von BIND) unterstützen diese. Des weiteren muß der DNS-Server Hostnamen mit Unterstrich akzeptieren, da viele automatische Einträge einen Unterstrich beinhalten. Da DNS den Unterstrich standardmäßig nicht unterstützt, werden viele DNS-Versionen Probleme damit haben. Alternativ kannst Du Deine DNS-Domäne auch in mehrere Zonen teilen und verschiedene DNS-Software auf verscheidenen Servern nutzen.