Discussion:
Korrekte DNS Server Einstellung
(zu alt für eine Antwort)
Norman Petzold
2006-04-21 19:15:04 UTC
Hallo, habe gerade paar Topics bezgl. der richtigen Konfiguration eines W2k
DNS Servern gelesen und bin ins grübeln gekommen, weil auf unseren Server
(der schon einige Zeit stabil läuft) folgende Konfiguration eingestellt ist:

Server ist die 10.1.1.1, der dort laufende DNS Server hat keine
Weiterleitungszone (auch keine . Root Zone). Als Standardgateway ist auf dem
Server die 10.1.1.2 gesetzt (dieser Rechner ist über ISA mit dem Internet
verbunden). Die Clients bekommen alle per DHCP den DNS Server 10.1.1.1 und
den Standardgateway 10.1.1.2 zugewiesen. Und damit kann jeder Client
Anfragen ins Internet stellen/auflösen, interne Auflösungen ebenfalls.

Nun lese ich aber überall das für korrektes funktionieren in den DNS
Einstellungen eine Weiterleitung auf den DNS Server des Provider
eingerichtet werden soll....es läuft hier aber auch ohne? Ist diese Art der
Konfiguration falsch?

BG
Norman
Robert Pieroth [MVP]
2006-04-22 09:15:55 UTC
Post by Norman Petzold
Hallo, habe gerade paar Topics bezgl. der richtigen Konfiguration eines W2k
DNS Servern gelesen und bin ins grübeln gekommen, weil auf unseren Server
Server ist die 10.1.1.1, der dort laufende DNS Server hat keine
Weiterleitungszone (auch keine . Root Zone).
Hi Norman,

ohne Weiterleitung und ohne .-Zone löst der Server externe Namen über
Abfrage der Internet-Rootserver auf, die unter dem Reiter "Hinweise auf
das Stammverzeichnis" eingetragen sind. Du solltest darauf achten, daß
die dort eingetragenen Adressen noch richtig sind. W2K hat die IPs dieser
Server gespeichert, wie sie im Jahre 1999 aktuell waren. Seither haben
sich zwei oder drei IP-Adressen dieser Server geändert. Die aktuellen
Adressen zwecks Änderung erfährst Du hier:
http://www.internic.net/zones/named.root
Die Einträge im genannten Reiter der DNS-Eigenschaften sind jederzeit
problemlos änderbar. Wenn einer der Einträge nicht stimmt, kann dies
Verzögerungen in der Namensauflösung zu Folge haben.
Post by Norman Petzold
Als Standardgateway ist auf dem Server die 10.1.1.2 gesetzt (dieser Rechner
ist über ISA mit dem Internet verbunden).
Die Clients bekommen alle per DHCP den DNS Server 10.1.1.1 und
den Standardgateway 10.1.1.2 zugewiesen. Und damit kann jeder Client
Anfragen ins Internet stellen/auflösen, interne Auflösungen ebenfalls.
Nun lese ich aber überall das für korrektes funktionieren in den DNS
Einstellungen eine Weiterleitung auf den DNS Server des Provider
eingerichtet werden soll....es läuft hier aber auch ohne? Ist diese Art der
Konfiguration falsch?
Weiterleitung ist eine Sonderfunktion. Die oben beschriebene Abfrage der
Root-Server ist zunächst mal Standardverhalten aller DNS-Server.
Sie hat den Nachteil, daß Dein eigener DNS-Server zum Auflösen von
URLs mit jedem für eine Domain verantwortlichen DNS-Server direkt
kommuniziert. Sie hat aber den Vorteil, daß die erhaltenen IP-Adressen
immer gültig und aktuell sind, weil sie immer von dem für eine Domain
verantwortlichen (autorisierenden) DNS kommen.

Verwendest Du eine Weiterleitung, erhält Dein DNS nur noch Antworten
vom Provider-DNS aus dessen Cache. Diese Antworten müssen nicht
unbedingt aktuell sein. Vor allem sind sie nicht 'autorisierend'. Das heißt
es sind nicht unbedingt vertrauenswürdige Antworten, da die Antwort ja
nicht von dem DNS-Server stammt, der wirklich für die angefragte Domain
verantwortlich ist. Andererseits kommuniziert Dein DNS nur noch mit dem
Provider-DNS und nicht mehr mit allen anderen DNS-Servern im INet.

Keine der beiden Varianten ist 'richtig' oder 'falsch'. Weiterleitung kann
sich jedoch nachteilig auswirken, wenn der DNS-Server des Providers eine
recht langsame Kiste ist oder schlecht gewartet wird. Und wird er mal
runtergefahren oder seine IP wird geändert (darauf hast Du ja keinen
Einfluß und bekommst es gar nicht mit) tritt zunächst eine Verzögerung
in der Namensauflösung auf, bis Dein DNS merkt, daß da keine Antwort
kommt. Und dann fragt Dein DNS-Server doch wieder die Root-Server ab,
um externe Namen aufzulösen.

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
Andreas Sturma
2006-04-22 14:27:51 UTC
Hallo Robert,
möchte mich hier mal mit dranhängen.
Ich kann nichts tolles an Lesestoff finden für das Thema Konfiguration
des DNS wenn ein externer Proxy vorhanden ist.
Alles was ich immer finde ist der Leidensweg des ISA.
Es ist aber keiner, sondern nur ein normaler AVM-Proxy über den die
Clients ins Netz gehen.
--
Andreas Sturma
Robert Pieroth [MVP]
2006-04-22 22:06:19 UTC
Post by Andreas Sturma
Hallo Robert,
möchte mich hier mal mit dranhängen.
Ich kann nichts tolles an Lesestoff finden für das Thema Konfiguration
des DNS wenn ein externer Proxy vorhanden ist.
Alles was ich immer finde ist der Leidensweg des ISA.
Es ist aber keiner, sondern nur ein normaler AVM-Proxy über den die
Clients ins Netz gehen.
Hi Andreas,

meinst Du damit einen Webproxy?
Wenn die Clients (Browser) über Proxy ins Internet gehen, ist die
interne Namensauflösung hierfür unwichtig. Der Proxy muß die
externen URLs per externer DNS-Server auflösen und dann mit den
fremden Webservern kommunizieren.

Dabei ist es egal, ob es ein ISA oder ein anderer Proxyserver ist.
Der Client sendet seine HTTP-Anfrage an den Proxy. Und bekommt von
diesem die Webseite(n) geliefert.
Der Client braucht insofern noch nicht mal eine Gateway-Adresse,
wenn alle Systeme im selben Subnetz sind und nicht geroutet wird.

Der Proxy-Server selbst kann so konfiguriert werden, daß er den
internen DNS abfragt und dieser dann die Root-Server.
Oder einen externen (Provider-DNS) an seiner externen Schnittstelle.

Oder der Proxy ist selbst DNS-Server. Hier fragt der Proxy-Dienst
den DNS-Dienst und dieser ist dann entweder auf Weiterleitung oder
auf Abfrage der Root-Server konfiguriert.

Das ist ..hmmm.. Geschmackssache, wie man das implementiert. ;-)
Manche wollen ihren internen DNS nicht nach draußen fragen lassen,
geben ihm eine Root-Zone (.) und kein Gateway. Dann fällt die erste
Möglichkeit oben schonmal raus.

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A