11.2. Verwaltung von DNS-Daten mit BIND#
UCS integriert BIND für die Namensauflösung über das Domain Name System (DNS). Die meisten DNS-Funktionen werden für die DNS-Auflösung in der lokalen Domäne verwendet, die UCS-BIND-Integration kann aber prinzipiell auch für einen öffentlichen Nameserver eingesetzt werden.
Auf allen UCS Directory Node Systemrollen ist BIND immer verfügbar, eine Installation auf anderen Systemrollen wird nicht unterstützt.
Die Konfiguration der von einem UCS-System zu verwendenden Nameserver ist in Netzwerk Konfiguration dokumentiert.
Folgende DNS-Daten werden unterschieden:
- Forward Lookup Zone
Eine Forward Lookup Zone enthält Informationen, die zum Auflösen von DNS-Namen in IP-Adressen herangezogen werden. Jede DNS-Zone verfügt über mindestens einen authoritativen, primären Nameserver, dessen Informationen für eine Zone maßgeblich sind. Untergeordnete Server synchronisieren sich mit dem authoritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, ist der SOA-Record.
- MX-Record
Der MX-Record einer Forward Lookup Zone ist eine für das E-Mail-Routing notwendige DNS-Information. Er verweist auf den Rechner, der für eine Domäne E-Mails entgegennimmt.
- TXT-Records
TXT-Records enthalten menschenlesbaren Text und können beschreibende Informationen zu einer Forward Lookup Zone enthalten.
- CNAME-Record
Ein CNAME-Record (desweiteren auch als Alias-Record bezeichnet) verweist auf einen vorhandenen, kanonischen DNS-Namen. So kann beispielsweise der kanonische Rechnername des Mailservers einen Alias-Eintrag mailserver erhalten, der dann in die Mail-Clients eingetragen wird. Zu einem kanonischen Namen können beliebig viele CNAME-Records definiert werden.
- A-Record
Ein A-Record (unter IPv6 AAAA-Record) weist einem DNS-Namen eine IP-Adresse zu. A-Records werden in UCS auch als Host-Records bezeichnet.
- SRV-Record
Mit einem SRV-Record (in UCS als Service Record bezeichnet) kann im DNS Informationen über verfügbare Systemdienste hinterlegt werden. In UCS werden Service Records u.a. verwendet, um LDAP-Server oder den Primary Directory Node domänenweit bekannt zu machen.
- Reverse Lookup Zone
Eine Reverse Lookup Zone enthält Informationen, die zur Auflösung von IP-Adressen in DNS-Namen herangezogen werden. Jede DNS-Zone verfügt über mindestens einen authoritativen, primären Nameserver, dessen Informationen für eine Zone massgeblich sind. Untergeordnete Server synchronisieren sich mit dem authoritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, ist der SOA Record.
- PTR-Record
Ein PTR-Record (Pointer Record) erlaubt die Auflösung einer IP-Adresse in einen Rechnernamen. Er stellt damit in einer Reverse Lookup Zone in etwa das Äquivalent zu einem Host Record in einer Forward Lookup Zone dar.
11.2.1. Konfiguration des BIND-Dienstes#
11.2.1.1. Konfiguration der Debug-Ausgaben von BIND#
Der Detailgrad der Debugausgaben von BIND kann über die Univention Configuration Registry-Variablen dns/debug/level und dns/dlz/debug/level (für das Samba-Backend, siehe Konfiguration des Daten-Backends des Nameservers) konfiguriert werden. Die möglichen Werte reichen von 0 (keine Debug-Ausgaben) bis 11. Eine komplette Aufstellung der Detailgrade findet sich unter Liu and Albitz [13].
11.2.1.2. Konfiguration des Daten-Backends des Nameservers#
In einer typischen BIND-Installation auf einem Nicht-UCS-System wird die Konfiguration durch das Bearbeiten von Zonen-Dateien durchgeführt. In UCS wird BIND komplett über UMC-Module konfiguriert, das seine Daten im LDAP-Verzeichnis speichert.
BIND kann zwei verschiedene Backends für seine Konfigurationsdateien verwenden:
- LDAP-Backend
Das LDAP-Backend greift auf die Daten im OpenLDAP-Verzeichnis zu. Dieses Backend ist der Standard. Der DNS-Dienst ist in diesem Fall zweigeteilt: Der BIND-Proxy ist der primäre Nameserver und bedient den DNS-Standard-Port
53. Ein zweiter Server im Hintergrund arbeitet auf Port7777. Werden Daten der internen DNS-Zonen im LDAP bearbeitet, wird die Zonendatei auf dem zweiten Server basierend auf den LDAP-Informationen aktualisiert und durch einen Zonentransfer an den BIND-Proxy übertragen.- Samba-Backend
Samba/AD stellt eine Active Directory-Domäne bereit. Active Directory ist eng mit DNS verknüpft, u.a. für DNS-Updates von Windows-Clients oder für die Lokalisierung der Netlogon-Freigabe. Wird Samba/AD eingesetzt, wird der betreffende UCS Directory Node auf die Verwendung des Samba-Backends umgestellt. Die DNS-Datenbank wird dabei in der Samba-internen LDB Datenbank vorgehalten, die direkt von Samba aktualisiert wird. BIND greift dann über die DLZ Schnittstelle auf die Samba-DNS-Daten zu.
Bei Verwendung des Samba-Backends wird für jede DNS-Anfrage eine Suche im LDAP durchgeführt. Bei Verwendung des OpenLDAP-Backends wird nur bei Änderungen der DNS-Daten im Verzeichnisdienst gesucht. Die Verwendung des LDAP-Backends kann daher zu einer Reduzierung der Systemlast auf Samba/AD-Systemen führen.
Das Backend wird über die Univention Configuration Registry Variable dns/backend konfiguriert. Die DNS-Verwaltung ändert sich durch das verwendete Backend nicht und erfolgt in beiden Fällen über UMC-Module.
11.2.1.3. Konfiguration von Zonentransfers#
In der Grundeinstellung erlaubt der UCS-Nameserver Zonentransfers der DNS-Daten. Ist der UCS-Server aus dem Internet erreichbar, kann dadurch eine Liste aller Rechnernamen und IP-Adressen abgefragt werden. Der Zonentransfer kann bei Verwendung des OpenLDAP-Backends durch Setzen der Univention Configuration Registry Variable dns/allow/transfer auf none deaktiviert werden.
11.2.2. Konfiguration der DNS-Daten über Univention Management Console Modul#
DNS-Daten werden standardmäßig im Container cn=dns,Basis-DN abgelegt. Forward- und Reverse-Lookup-Zonen werden direkt in dem Container abgelegt. In den jeweiligen Zonen können zusätzliche DNS-Objekte wie z.B. Pointer-Records angelegt werden.
In Eingabefeldern für Rechner sollte immer der relative oder vollqualifizierte Domänenname und nicht die IP-Adresse des Rechners verwendet werden. Um zu verhindern, dass der Domänenname erneut angehängt wird, sollte ein FQDN immer mit einem Punkt abgeschlossen werden.
In der linken Spalte des UMC-Moduls DNS befindet sich eine Liste aller Forward- und Reverse-Lookup-Zonen. Um ein Objekt einer Zone hinzuzufügen - etwa einen Alias-Record zu einer Forward-Zone - muss die entsprechende Zone ausgewählt werden. Durch Hinzufügen wird das Objekt dann in dieser Zone angelegt. Um eine neue Forward- oder Reverse-Zone anzulegen, muss zuerst Alle DNS-Zonen selektiert werden, der Klick auf Hinzufügen legt dann eine neue Zone an. Wird ein Objekt unterhalb einer Zone angelegt, wird die Zone in den UMC-Dialogen als übergeordnetes Objekt bezeichnet.
11.2.2.1. Forward Lookup Zone#
Forward Lookup Zonen enthalten Informationen, die zum Auflösen von DNS-Namen in IP-Adressen verwendet werden. Sie werden im UMC-Modul DNS verwaltet (siehe auch Univention Management Console-Module). Um eine weitere Forward Lookup Zone anzulegen, muss Alle DNS-Zonen selektiert werden und ausgewählt werden.
Abb. 11.2 Konfiguration einer Forward Lookup Zone durch Univention Management Console Modul#
DNS UMC Modul Forward Lookup - Reiter Allgemein#
Attribut |
Beschreibung |
|---|---|
Name der Zone |
Der komplette Name der DNS-Domäne, für die die Zone zuständig sein soll. In Zonennamen darf der Domänenname nicht mit einem Punkt abgeschlossen werden! |
Zone Time-to-Live |
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert werden dürfen. Der Wert wird in Sekunden gespeichert. |
Nameserver |
Der FQDN mit abschließendem Punkt oder der relative Domänenname der zuständigen Nameserver. Der erste Eintrag in der Liste ist der primäre Nameserver der Zone. |
DNS UMC Modul Forward Lookup - Reiter IP Adressen#
Attribut |
Beschreibung |
|---|---|
IP Adressen |
Mit diesem Eingabefeld können eine oder mehrere IP-Adressen angegeben werden, die zurückgegeben werden, wenn der Name der Zone aufgelöst wird. Die hier hinterlegten Adressen werden von Microsoft Windows-Clients in AD-kompatiblen Domänen abgefragt. |
DNS UMC Modul Forward Lookup - Reiter MX Records#
Attribut |
Beschreibung |
|---|---|
Priorität |
Ein Zahlenwert zwischen 0 und 65535. Stehen mehrere Mail-Server für den MX-Record zur Verfügung, wird zuerst versucht, den Server mit dem niedrigsten Prioritätswert in Anspruch zu nehmen. |
Mail-Server |
Hier wird der für diese Domäne zuständige Mail-Server als vollqualifizierter Domänenname mit abschließendem Punkt eingetragen. Es dürfen nur kanonische Namen und keine Alias-Namen verwendet werden. |
DNS UMC Modul Forward Lookup - Reiter TXT Records#
Attribut |
Beschreibung |
|---|---|
TXT Record |
Ein beschreibender Text zu dieser Zone. Text Records dürfen keine Umlaute oder sonstige Sonderzeichen enthalten. |
11.2.2.2. CNAME-Record (Alias-Records)#
CNAME-Records / Alias-Records werden im UMC-Modul DNS verwaltet (siehe auch Univention Management Console-Module). Um einen weiteren Record anzulegen, muss in der linken Spalte eine Forward Lookup Zone ausgewählt werden. Mit kann dann ein neuer Record angelegt werden.
Attribut |
Beschreibung |
|---|---|
Alias |
Der Aliasname als FQDN mit abschließendem Punkt oder als relativer Domänenname, der auf den kanonischen Namen verweisen soll. |
Kanonischer Name |
Der kanonische Name des Rechners, auf den der Alias verweisen soll, angegeben als FQDN mit abschließendem Punkt oder als relativer Domänenname. |
11.2.2.3. A/AAAA-Records (Host Records)#
Host-Records werden im UMC-Modul DNS verwaltet (siehe auch Univention Management Console-Module). Um einen weiteren Record anzulegen, muss in der linken Spalte eine Forward Lookup Zone ausgewählt werden. Mit kann dann ein neuer Record angelegt werden.
Beim Hinzufügen oder Bearbeiten eines Rechner-Objekts kann ein Host Record automatisch erstellt oder geändert werden.
Attribut |
Beschreibung |
|---|---|
Rechnername |
Der FQDN mit abschließendem Punkt oder der relative Domänenname des Rechners. |
IP Adressen |
Die IPv4 und/oder IPv6-Adressen, auf die der Host Record verweisen soll. |
Zone Time-to-Live |
Die Time-to-Live gibt in Sekunden an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert werden dürfen. |
11.2.2.4. Service Records#
Service Records werden im Modul DNS verwaltet (siehe auch Univention Management Console-Module). Um einen weiteren Record anzulegen, muss in der linken Spalte eine Forward Lookup Zone ausgewählt werden. Mit kann dann ein neuer Record angelegt werden.
Abb. 11.3 Konfiguration eines Service Records#
Ein Service Record muss immer einer Forward Lookup Zone zugewiesen sein und kann daher nur einer Forward Lookup Zone oder einem untergeordneten Container zugewiesen werden.
Attribut |
Beschreibung |
|---|---|
Dienst |
Der Name, unter dem der Dienst erreichbar sein soll. |
Protokoll |
Das Protokoll, über das der Record erreichbar ist ( |
Erweiterung |
Über dieses Eingabefeld können weitere Parameter übergeben werden. |
Priorität |
Eine ganze Zahl zwischen 0 und 65535. Stellen mehrere Server denselben Dienst zur Verfügung, wendet sich der Client zuerst an den Server mit dem niedrigeren Prioritätswert. |
Gewichtung |
Eine ganze Zahl zwischen 0 und 65535. Die Gewichtung dient der Lastverteilung zwischen Servern mit gleicher Priorität. Wenn mehrere Server denselben Dienst zur Verfügung stellen und denselben Prioritätswert haben, wird die Last im Verhältnis der Gewichtungen auf die Server verteilt. Beispiel: |
Port |
Der Port, über den der Dienst auf dem Server zu erreichen ist (gültige Werte liegen zwischen 1 und 65535). |
Server |
Der Name des Servers, auf dem der Dienst bereitgestellt wird, als FQDN mit abschließendem Punkt oder als relativer Domänenname. Für jeden Dienst können über die Auswahlbox auch mehrere Server eingetragen werden. |
Zone Time-to-Live |
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert werden dürfen. |
11.2.2.5. Reverse Lookup Zone#
Eine Reverse Lookup Zone dient zur Umwandlung von IP-Adressen in Rechnernamen. Sie werden im UMC-Modul DNS verwaltet. Um eine weitere Reverse Lookup Zone anzulegen, muss Alle DNS-Zonen selektiert werden und ausgewählt werden.
DNS UMC Modul Reverse Lookup - Reiter Allgemein#
Attribut |
Beschreibung |
|---|---|
Subnetz |
Die IP-Adresse des Netzwerkes, für das die Reverse Lookup Zone gültig sein soll. Wenn beispielsweise das betreffende Netz aus den IP-Adressen |
Zone Time-to-Live |
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert werden dürfen. |
Jede DNS-Zone hat mindestens einen autoritativen, primären Nameserver, dessen Informationen die Zone regeln. Untergeordnete Server synchronisieren sich mit dem autoritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone definiert, wird in der DNS-Terminologie als SOA Eintrag bezeichnet.
11.2.2.6. Pointer Records#
Pointer-Records werden im UMC-Modul DNS verwaltet (siehe auch Univention Management Console-Module). Um einen weiteren Record anzulegen, muss in der linken Spalte eine Reverse Lookup Zone ausgewählt werden. Mit kann dann ein neuer Record angelegt werden.
Attribut |
Beschreibung |
|---|---|
Adresse |
Das letzte Oktett der IP-Adresse des Rechners (abhängig vom Netz-Präfix, siehe unten). |
Pointer |
Der FQDN des Rechners mit abschließendem Punkt. In einem Netzwerk mit 24-Bit langem Netz-Präfix (Netzmaske Beispiel: Bei einem Netzwerk mit 16-Bit langem Netz-Präfix (Netzmaske |