Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerkgrundlagen

Tasks auf einem DNS-Server ausführen

Testen Sie unsere 2021 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Dieses Video erläutert die Durchführung verschiedener Tasks auf einem DNS-Server. Dabei erstellt der Trainer sowohl eine primäre Zone, welche mit Einträgen versehen wird, als auch eine schreibgeschützte sekundäre Zone.

Transkript

In diesem Video wollen wir uns einige Tasks auf einem DNS-Server anschauen. Ja, ich habe hier schonmal zwei DNS-Server aufgesetzt und die Rollen installiert, da haben wir also den Server 3 und den Server 4, die habe ich jetzt beide in die gleiche Verwaltungskonsole eingefügt, aber der Server 4 ist natürlich ein eigener DNS-Server. Auf so einem DNS-Server kann man ja wirklich dutzende und aberdutzende von Tasks durchführen, und ich möchte mich hier mal auf drei, vier Tasks beschränken, die man so sicherlich auf jedem DNS-Server irgendwann einmal durchführt. Wir wollen zunächst eine Forward-Lookupzone erstellen und dort mal einen Eintrag reinmachen, einen Address-Eintrag. Dann möchte ich eine Reverse-Lookupzone erstellen und dann möchte ich von dieser Zone eine sekundäre Zone bauen, die dann übertragen wird auf den Server 4. Gut, dann legen wir direkt los, gucken wir mal in die Forward-Lookupzone rein. Und ja, die ist im Augenblick noch leer. Wir starten hier mal mit einem Rechtsklick den Assistenten für eine neue Zone. Und wir erstellen jetzt hier eine primäre Zone, das heißt das ist die Zonendatei, die ich hier auf diesem Server beschreiben kann. Weiterhin wäre noch die sekundäre Zone, das wäre dann die schreibgeschützte Kopie, die machen wir erst später, und hier unten, das ist windowsspezifisch, das wollen wir hier gar nicht behandeln. Dann gehen wir mal auf "weiter", und ja, da bin ich heute mal wirklich kreativ. Nennen wir die Zone "example.local" und wie man sieht, wird hier dann entsprechend auch eine DNS-Datei geschrieben. Diese DNS-Datei, die könnte ich theoretisch auch mit dem Editor öffnen und bearbeiten. Auf anderen Systemen macht man das auch genau so, man editiert die Textdatei direkt. So, gehen wir mal auf "weiter". Dynamische Updates, das würde bedeuten, dass sich Clients direkt auf diesen DNS-Server verbinden und ihren Address-Eintrag dynamisch schreiben dürfen, das wollen wir jetzt nicht machen, deswegen lassen wir die dynamischen Updates raus. Ich gehe mal weiter. Ja wunderbar, da haben wir unsere "example.local". Es sind gleich zwei Einträge geschrieben worden, hier von Windows, das wäre einmal der "Start of Authority", den brauchen wir im Grunde genommen auch erst nachher. Wir haben hier eine Seriennummer, die ändert sich immer dann, wenn ich eine Änderung mache. dann inkrementiert der die hoch, normalerweise sollte das ein Datumsformat sein, laut Empfehlung vom RFC. Lassen wir jetzt hier aber mal so wie sie ist. Dann haben wir hier den primären Server, das sind wir selber, eine verantwortliche Person. Das hier ist normalerweise eine Email-Adresse, und das @-Zeichen wird hier durch einen Punkt ersetzt. Dann haben wir hier unten einige Einträge, die sich auf eine Zonenübertragung auf einen sekundären Server beziehen. Also, das standardmäßige Aktualisierungsintervall zwischen einem primären und einem sekundären ist 15 Minuten. Im Falle wenn der primäre Server abschmiert, dann soll es der sekundäre Server alle 10 Minuten versuchen, die Zone nochmal zu übertragen, aber wenn er es einen Tag lang nicht schafft, die Zone zu aktualisieren, dann läuft sie ab, dann wird sie als "ungültig gekennzeichnet. Außerdem haben wir hier eine minimale Gültigkeitsdauer, das sind die "Time To Live"-Werte für die DNS-Einträge, und wir haben noch einen "Time To Live"- Wert für diesen SOA-Eintrag, das heißt wie lange der in einem potenziellen Cache eben gültig bleibt. Übernehmen wir das hier mal, und wir haben noch die Nameserver. Das ist hier in Windows über einen eigenen Register gelöst, und wie man sieht, er kennt hier jetzt seine eigene IP-Adresse nicht. Wollen wir diese Nameserver hier gleich mal eintragen, und zwar möchte ich gleich den Server 3 und Server 4 eintragen. Das werden nämlich später unsere zwei Nameserver. Der Server 3 hat die 192.168.100.7. Und ich füge dann auch gleich den "srv4.train.lernschmiede.de" dazu. Und der hat dann die 192.168.100.8. Ja, ist im Augenblick nicht authorisiert, das ist ja auch in Ordnung, wird aber später auch ein Nameserver für diese Zone. Wir übernehmen. Dann können wir jetzt hier einen Host-Eintrag einbauen, dazu mache ich hier Rechtsklick "Neuer Host". Wir wollen jetzt hier mal einen IPv4-Eintrag nehmen und ich vergebe den Namen "www". Wie man sieht, ist der FQDN dann "www.example.local". Die IP-Adresse, das wäre dann irgendeine IP hier, von mir aus aus diesem Netz. Und wir könnten jetzt hier gleich einen verknüpften Pointer-Eintrag erstellen, moderne Systeme sind da immer ein bisschen nett und wollen es ein bisschen einfacher machen, wir haben aber im Augenblick noch gar keine Reverse-Lookupzone wo der Pointer-Eintrag rein passen würde, deswegen lassen wir das jetzt hier mal leer. Gut. Dann erstellen wir eine Reverse-Lookupzone für die Auflösung von IPs nach Namen. Gleiches Prozedere: Wir erstellen jetzt hier eine primäre Zone, das ist aber schon eine Reverse-Lookupzone. Wir können hier unterscheiden zwischen IPv4 und v6. In der Forward-Lookupzone ist das nicht so, die fasst beide Einträge, aber bei der Reverse-Lookupzone, da es ein Nummernraum ist, haben wir hier zwei unterschiedliche Möglichkeiten. Und ich vergebe jetzt hier mal die 192.168.100, und wie man sieht passiert hier unten was, und zwar dreht er die Zahlen hier um. Das liegt daran, dass die Reverse-Lookuzone im Grunde genommen auf einer Zone fußt, die nennt sich von oben her gesehen "arpa", und darunter ist eine Second Level Domain, die nennt sich "inverse address". Und das ist eine Spezialdomäne, die löst dann entsprechend die Nummern nach Namen auf, und wenn man das von rechts liest, dann stimmt es auch wieder: 192.168.100. Hier werden also die einzelnen Domänenabschnitte praktisch nummeriert und deswegen muss man, wenn man zum Beispiel die 192.168.100-Domäne auflösen möchte, muss man die komplette Zahl umdrehen und "in-addr.arpa" dahinter schreiben. Windows macht das hier schon automatisch. Im Übrigen: Wir können hier tatsächlich nur 24bit-Abschnitte verwenden. Gut, auch dafür gibt's eine DNS-Datei. Dynamische Updates lassen wir nicht zu. OK. So! Gleiches Spiel, auch ein SOA-Eintrag. ja, auch die Nameserver, das machen wir jetzt mal kurz, sonst gibt es nachher ein böses Nslookup. Das wäre also die 192.168.100.7. Und noch der zweite Server, das wäre bei mir der "srv4.train.lernschmiede.de" auf der 100.8. So. Ja, auch da, der ist jetzt natürlich noch nicht autorisierend. Gut, wir übernehmen, sagen OK. Jetzt können wir hier einen Pointer reinmachen für die Auflösung von Nummern nach Namen und wir hatten ja gerade eben für das www in der Forward-Lookupzone die 50 vergeben, und der Hostname wäre dann "www.example.local". In Windows haben wir hier eine nette Möglichkeit, nämlich wir können die Zone durchsuchen und uns den hier direkt rausfischen, dann schreibt er das rein. Aber wir hätten es auch direkt reintippen können. Wunderbar. So. Dann haben wir hier unsere Zone soweit fertig. Forward-Lookup, Reverse-Lookup, wollen wir jetzt eine sekundäre Zone auf einem sekundären Server bauen, eine schreibgeschützte Zone. Dazu wechsle ich hier runter auf den Server 4 und sage: Ich möchte hier gerne eine neue Zone erstellen. Da sag ich "Weiter". Das ist jetzt eine sekundäre Zone, die ist schreibgeschützt. Der Zonenname, den muss ich jetzt hier natürlich erstellen. Das wäre also hier die "example.local". Und ich muss jetzt hier einen primären Server angeben, das wäre bei mir die 192.168.100.7. Das ist mein Server 3 hier oben, auf dem habe ich das ja gerade eben angelegt. Da machen wir "Weiter" und stellen fertig. Das gleiche kann ich im Übrigen auch in der Reverse-Lookupzone machen. Das klick ich jetzt hier mal ganz schnell durch. Hier die 192.168.100 und die 192.168.100.7, von dem möchte ich das Ganze abholen. So. Und jetzt gucken wir mal rein, ob irgendwas passiert ist. Tatsächlich, die "example.local", die ist jetzt hier da. wenn ich aber jetzt beispielsweise den "www" löschen wollte, das funktioniert nicht, da hindert mich jetzt hier das Windows dran. In dieser Zone darf ich nicht schreiben, ich bin ja gar nicht dafür verantwortlich. Bei der Reverse-Lookupzone sieht das auch so aus, genau gleich. Und damit habe ich im Endeffekt sowohl eine Lastverteilung als auch eine Ausfallsicherheit geschaffen. Warum darf ich jetzt überhaupt von dem Server 4 die Zone überhaupt runterladen? Das ist eine berechtigte Frage, viele Zuseher fragen sich jetzt vielleicht: Moment mal, wenn ich das Ganze im Internet betreibe, darf ich dann jede Zone beliebig übertragen? Nein, natürlich nicht! Das liegt daran, dass wenn wir hier jetzt gerade mal in die Eigenschaften von so einer Zone nachschauen, dann haben wir hier einen Registerreiter namens "Zonenübertragung". Und bei Windows ist es jetzt so, dass eine Zonenübertragung zwar standardmäßig zugelassen ist, aber eben nur an die Nameserver in der Domäne. und die haben wir ja gerade vorher alle eingetragen, deswegen hat das auch funktioniert. Hätte ich den Nameserver nicht eingetragen, dann hätte das Ganze auch nicht funktioniert, dann wäre das Ganze schief gegangen und die Zonenübertragung wäre abgelehnt worden. Ich hätte selbstverständlich auch bestimmte IPs, also die 100.7, die hätte ich jetzt auch hier eintragen können unter "Nur an folgende Server". Eine Zonenübertragung, die läuft im Übrigen auch auf Port 53, aber nicht auf UDP, sondern auf TCP, es ist also eine verbindungsorientierte Kommunikation. So, bevor wir das Ganze jetzt gleich testen, möchte ich noch zwei kurze Tasks einschieben, und zwar: Wenn wir jetzt gleich auf den Client gehen und eine Abfrage machen, dann versucht er natürlich bei der IP-Adresse, den er als DNS-Server eingetragen hat, den Namen rauszukriegen. Das funktioniert im Augenblick noch nicht, deswegen machen wir hier noch zwei A-Einträge rein, und zwar einmal für den Server 3 mit der 100.7 und den Server 4 mit der 100.8. Dann kann er die gleich auflösen beim Nslookup, ich zeige das dann gleich, und damit das dann später auch funktioniert, definiere ich noch einen Weiterleitungsserver. Hier in den Eigenschaften haben wir einen Registerreiter "Weiterleitungen". Und ich sage hiermit: Wenn du nicht weißt, wenn du irgendeinen Namen nicht auflösen kannst, dann schicke die Anfrage bitte an dieses Ziel. Und ich nehme als Ziel jetzt hier die 192.168.100.1. Das ist mein Domänencontroller hier im Netzwerk, beziehungsweise die 192.168.100.2. Und das Ganze übernehme ich natürlich nicht nur für Server 3, sondern auch für den Server 4. So, dann gehe ich hier in die Eigenschaften in den Abschnitt "Weiterleitungen" und gebe auch hier die 192.168.100.1 beziehungsweise die 192.168.100.2 an. So. Wenn er also nicht weiß wohin damit, mit einer Auflösung, dann soll er die hier an meine zentralen DNS-Server in der Domäne schicken. So. Übernehmen. Gut. Dann haben wir soweit alles. Und, hier mal noch aktualisieren, die Pointer wurden auch alle schön übertragen. Dann gehen wir mal zum Client. Und auf dem Client habe ich jetzt natürlich eingetragen, dass er diese beiden DNS-Server nutzen soll, also die 7 und die 8. Beim DNS geht's immer nur darum: Wer fragt wen? Und ich frage jetzt eben diese beiden DNS-Server. Dazu ruf ich mir jetzt mal die Kommandozeile auf und gebe hier "nslookup www.example.local" ein, den Address-Eintrag, den wir gerade gesetzt haben, und wie wir sehen, bekommen wir eine saubere Auflösung zurück. Ja, in diesem Video haben wir uns angeschaut, wie wir einige Tasks auf einem DNS-Server durchführen, wir haben eine Forward-Lookupzone aufgesetzt, eine Reverse-Lookupzone, wir haben eine Zonenübertragung zwischen beiden durchgeführt und wir haben einige Ressourceneinträge gesetzt sowie eine Weiterleitung konfiguriert. Und getestet haben wir das Ganze zum Schluss auch noch erfolgreich.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!