Verwaltung von DNS-Daten mit BIND

Inhalt

11.2. Verwaltung von DNS-Daten mit BIND#

UCS integriert BIND für die Namensauflösung über das Domain Name System (DNS). Die meisten DNS-Funktionen werden für die DNS-Auflösung in der lokalen Domäne verwendet, die UCS-BIND-Integration kann aber prinzipiell auch für einen öffentlichen Nameserver eingesetzt werden.

Auf allen UCS Directory Node Systemrollen ist BIND immer verfügbar, eine Installation auf anderen Systemrollen wird nicht unterstützt.

Die Konfiguration der von einem UCS-System zu verwendenden Nameserver ist in Netzwerk Konfiguration dokumentiert.

Folgende DNS-Daten werden unterschieden:

Forward Lookup Zone: Eine Forward Lookup Zone enthält Informationen, die zum Auflösen von DNS-Namen in IP-Adressen herangezogen werden. Jede DNS-Zone verfügt über mindestens einen authoritativen, primären Nameserver, dessen Informationen für eine Zone maßgeblich sind. Untergeordnete Server synchronisieren sich mit dem authoritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, ist der SOA-Record.
MX-Record: Der MX-Record einer Forward Lookup Zone ist eine für das E-Mail-Routing notwendige DNS-Information. Er verweist auf den Rechner, der für eine Domäne E-Mails entgegennimmt.
TXT-Records: TXT-Records enthalten menschenlesbaren Text und können beschreibende Informationen zu einer Forward Lookup Zone enthalten.
CNAME-Record: Ein CNAME-Record (desweiteren auch als Alias-Record bezeichnet) verweist auf einen vorhandenen, kanonischen DNS-Namen. So kann beispielsweise der kanonische Rechnername des Mailservers einen Alias-Eintrag mailserver erhalten, der dann in die Mail-Clients eingetragen wird. Zu einem kanonischen Namen können beliebig viele CNAME-Records definiert werden.
A-Record: Ein A-Record (unter IPv6 AAAA-Record) weist einem DNS-Namen eine IP-Adresse zu. A-Records werden in UCS auch als Host-Records bezeichnet.
SRV-Record: Mit einem SRV-Record (in UCS als Service Record bezeichnet) kann im DNS Informationen über verfügbare Systemdienste hinterlegt werden. In UCS werden Service Records u.a. verwendet, um LDAP-Server oder den Primary Directory Node domänenweit bekannt zu machen.
Reverse Lookup Zone: Eine Reverse Lookup Zone enthält Informationen, die zur Auflösung von IP-Adressen in DNS-Namen herangezogen werden. Jede DNS-Zone verfügt über mindestens einen authoritativen, primären Nameserver, dessen Informationen für eine Zone massgeblich sind. Untergeordnete Server synchronisieren sich mit dem authoritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, ist der SOA Record.
PTR-Record: Ein PTR-Record (Pointer Record) erlaubt die Auflösung einer IP-Adresse in einen Rechnernamen. Er stellt damit in einer Reverse Lookup Zone in etwa das Äquivalent zu einem Host Record in einer Forward Lookup Zone dar.

11.2.1. Konfiguration des BIND-Dienstes#

11.2.1.1. Konfiguration der Debug-Ausgaben von BIND#

Der Detailgrad der Debugausgaben von BIND kann über die Univention Configuration Registry-Variablen dns/debug/level und dns/dlz/debug/level (für das Samba-Backend, siehe Konfiguration des Daten-Backends des Nameservers) konfiguriert werden. Die möglichen Werte reichen von 0 (keine Debug-Ausgaben) bis 11. Eine komplette Aufstellung der Detailgrade findet sich unter Liu and Albitz [14].

11.2.1.2. Konfiguration des Daten-Backends des Nameservers#

In einer typischen BIND-Installation auf einem Nicht-UCS-System wird die Konfiguration durch das Bearbeiten von Zonen-Dateien durchgeführt. In UCS wird BIND komplett über UMC-Module konfiguriert, das seine Daten im LDAP-Verzeichnis speichert.

BIND kann zwei verschiedene Backends für seine Konfigurationsdateien verwenden:

LDAP-Backend: Das LDAP-Backend greift auf die Daten im OpenLDAP-Verzeichnis zu. Dieses Backend ist der Standard. Der DNS-Dienst ist in diesem Fall zweigeteilt: Der BIND-Proxy ist der primäre Nameserver und bedient den DNS-Standard-Port 53. Ein zweiter Server im Hintergrund arbeitet auf Port 7777. Werden Daten der internen DNS-Zonen im LDAP bearbeitet, wird die Zonendatei auf dem zweiten Server basierend auf den LDAP-Informationen aktualisiert und durch einen Zonentransfer an den BIND-Proxy übertragen.
Samba-Backend: Samba/AD stellt eine Active Directory-Domäne bereit. Active Directory ist eng mit DNS verknüpft, u.a. für DNS-Updates von Windows-Clients oder für die Lokalisierung der Netlogon-Freigabe. Wird Samba/AD eingesetzt, wird der betreffende UCS Directory Node auf die Verwendung des Samba-Backends umgestellt. Die DNS-Datenbank wird dabei in der Samba-internen LDB Datenbank vorgehalten, die direkt von Samba aktualisiert wird. BIND greift dann über die DLZ Schnittstelle auf die Samba-DNS-Daten zu.

Bei Verwendung des Samba-Backends wird für jede DNS-Anfrage eine Suche im LDAP durchgeführt. Bei Verwendung des OpenLDAP-Backends wird nur bei Änderungen der DNS-Daten im Verzeichnisdienst gesucht. Die Verwendung des LDAP-Backends kann daher zu einer Reduzierung der Systemlast auf Samba/AD-Systemen führen.

Das Backend wird über die Univention Configuration Registry Variable dns/backend konfiguriert. Die DNS-Verwaltung ändert sich durch das verwendete Backend nicht und erfolgt in beiden Fällen über UMC-Module.

11.2.1.3. Konfiguration von Zonentransfers#

In der Grundeinstellung erlaubt der UCS-Nameserver Zonentransfers der DNS-Daten. Ist der UCS-Server aus dem Internet erreichbar, kann dadurch eine Liste aller Rechnernamen und IP-Adressen abgefragt werden. Der Zonentransfer kann bei Verwendung des OpenLDAP-Backends durch Setzen der Univention Configuration Registry Variable dns/allow/transfer auf none deaktiviert werden.

11.2.2. Konfiguration der DNS-Daten über Univention Management Console Modul#

Der Inhalt dieses Abschnitts ist umgezogen nach DNS Modul in Nubus Handbuch 1.x [7].

11.2.2.1. Forward Lookup Zone#

Der Inhalt dieses Abschnitts ist umgezogen nach Forward Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Forward Lookup - Reiter Allgemein#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter Allgemein - DNS Forward Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Forward Lookup - Reiter Start of Authority#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter Start of Authority - DNS Forward Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Forward Lookup - Reiter IP Adressen#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter IP Adressen - DNS Forward Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Forward Lookup - Reiter MX Records#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter MX Einträge - DNS Forward Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Forward Lookup - Reiter TXT Records#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter TXT Einträge - DNS Forward Lookup Zone in Nubus Handbuch 1.x [7].

11.2.2.2. CNAME-Record (Alias-Records)#

Der Inhalt dieses Abschnitts ist umgezogen nach CNAME Alias-Einträge in Nubus Handbuch 1.x [7].

11.2.2.3. A/AAAA-Records (Host Records)#

Der Inhalt dieses Abschnitts ist umgezogen nach A/AAAA Host Einträge in Nubus Handbuch 1.x [7].

11.2.2.4. Service Records#

Der Inhalt dieses Abschnitts ist umgezogen nach Service-Einträge in Nubus Handbuch 1.x [7].

11.2.2.5. Reverse Lookup Zone#

Der Inhalt dieses Abschnitts ist umgezogen nach Reverse Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Reverse Lookup - Reiter Allgemein#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter Allgemein - DNS Reverse Lookup Zone in Nubus Handbuch 1.x [7].

DNS UMC Modul Reverse Lookup - Reiter Start of Authority#

Der Inhalt dieses Abschnitts ist umgezogen nach Reiter Start of Authority - DNS Reverse Lookup Zone in Nubus Handbuch 1.x [7].

11.2.2.6. Pointer Records#

Der Inhalt dieses Abschnitts ist umgezogen nach Pointer Eintrag in Nubus Handbuch 1.x [7].

Univention Corporate Server - Handbuch für Benutzer und Administratoren