Netzwerkverteilerschränke zur Aggregation von Büro-Anschlussdosen

Domain Name System (DNS)

Das Domain Name System (DNS) dient in erster Linie der Zuordnung von Internetadressen zu leichter merkbaren Namen. Beispielsweise ist das eingängige www.fau.de der Adresse 131.188.16.209 zugeordnet. Außerdem können Informationen zu diversen Diensten im DNS hinterlegt werden, die oft sogar nötig sind, damit diese Dienste funktionieren. Beispiele hierfür sind e-Mail, Chat-Protokolle oder auch MS Active Directory.

Für Allgemeine Informationen zum Thema DNS (Wie funktioniert DNS? Was ist eine Domain? Was ist eine Zone? Welche Daten können in DNS-Records hinterlegt werden? …) möchten wir auf die vorzüglichen und reichhaltigen Quellen im Internet hinweisen. Allen voran natürlich die Wikipedia-Seite: https://de.wikipedia.org/wiki/Domain_Name_System

Für eine interessante Besonderheit, nämlich Domainnamen mit Umlauten, möchten wir noch insbesondere auf die Wikipedia-Seite zum Thema Punycode hinweisen: https://de.wikipedia.org/wiki/Punycode

DNS an der FAU

Haupt-Domains der FAU: fau.de und uni-erlangen.de
Nameserver (Wissenschaftsnetz): 131.188.0.10 (dns1.rrze.uni-erlangen.de),
131.188.0.11 (dns2.rrze.uni-erlangen.de)

DNS wird an der FAU zentral verwaltet. Eine Delegation der DNS-Administration für Teilbereiche (sogenannte Subdomains) ist zwar prinzipiell technisch möglich, wird auf Grund der komplexen Abhängigkeiten aber nur in Sonderfällen angewendet. Allerdings gibt es für die angeschlossenen Rechner eine dezentrale Organisation durch lokale IT-Betreuer bzw. Administratoren. Diese verwalten jeweils Geräte in einem bestimmten Teil des gesamten Netzes und sind dabei auch für die Vergabe von Internetadressen und geeigneten Namen zuständig.

Die lokalen IT-Betreuer melden alle Änderungen bzgl. DNS per Mail in einer festgelegten Form (siehe unten) an die Adresse der zentralen DNS-Administration. Hinter dieser befinden sich einige Mitarbeiter des RRZE, die die entsprechende Eintragung dann innerhalb weniger Stunden erledigen und auch per Mail quittieren.  Bitte beachten Sie in diesem Zusammenhang, dass bei der Meldung von Domainnamen für Webauftritte spezielle Namensregeln gelten. Wenn Sie einen Rechner als Webserver betreiben wollen, empfehlen wir Ihnen zudem sich zuvor mit dem Webteam des RRZE in Verbindung zu setzen und sich das Angebot des RRZE zum Betrieb von Webauftritten anzusehen.

Bitte beachten Sie: Grundsätzlich gilt, dass jedes Gerät, das via Internet-Protokoll (TCP/IP) an das Kommunikationsnetz angeschlossen ist, einen ordentlichen DNS-Eintrag besitzen muss (siehe Richtlinien zur Nutzung des FAU-Datennetzes); ganz egal ob Server, Arbeitsplatz, Notebook, Drucker oder Kühlschrank.

Nicht im DNS eingetragene Geräte werden nicht durch Dienstleistungen der Universität unterstützt. So ist z.B. der Zugriff von solchen Geräten auf Server im RRZE in der Regel nicht möglich. Diese Maßnahme ist auf Grund gehäufter Angriffe nötig, die auch innerhalb der Universität stattfinden. Geräte, die nicht im DNS eingetragen sind, werden also als „nicht ordnungsgemäß administriert“ und somit als potentielle Gefahr sowohl für das FAU-Netz als auch das Internet betrachtet.
Seit August 2000 werden daher nicht im DNS eingetragene Geräte am X-WiN-Anschluss geblockt.

Bitte beachten Sie außerdem: Ein Gerät, das keinen DNS-Eintrag besitzt, ist weder sofort noch umfassend gegen Angriffe von außen geschützt! Das Schützen von Adressen kann nur mit Hilfe von ACL-Einträgen dauerhaft und umfassend durchgeführt werden!

 

Weitere Informationen

Sie erleichtern uns die Arbeit der Datenbasisverwaltung, wenn Sie uns die erforderlichen Daten im folgenden Format senden:

aliasname	IN	CNAME	rechnername
rechnername	IN	HINFO	<Rechnertyp> <Betriebssystem>
		IN	A	<IPv4-Adresse>
		IN	AAAA	<IPv6-Adresse>

Einfache Beispiele:

hugo		IN	HINFO	PC Windows
		IN	A	131.188.70.222

farbdrucker	IN	HINFO	Drucker None
		IN	A	131.188.70.223
		IN	AAAA	2001:638:a000:4711:131:188:70:223

Beispiel mit zusätzlichen Alias-Namen (CNAME-Records), die auf die gleiche IP verweisen:

drucker1	IN	CNAME	farbdrucker
fotodrucker	IN	CNAME	farbdrucker
farbdrucker	IN	HINFO	Drucker None
		IN	A	131.188.70.223

Erläuterungen

rechnername gibt den frei wählbaren Namen des Geräts an (Hostname). Natürlich gibt es ein paar Einschränkungen in der Auswahl der Zeichen (laut RFC 1034): Zugelassen sind nur alle Klein- und Großbuchstaben, alle Ziffern und <code>-</code>. Die Groß-/Kleinschreibung ist allerdings nicht signifikant. Der Name muss weiterhin mit einem Buchstaben beginnen. Er kann zwar länger als 15 Zeichen sein, einige Betriebssysteme, allen voran Microsoft Windows, bekommen dann jedoch ggf Probleme.

Pro Rechner muss mindestens eine Zeile mit HINFO (Host-Info) und eine mit einer IP-Adresse existieren. Hinter HINFO stehen dann Kurzbezeichnungen von Rechnertyp und Betriebssystem. Jede der beiden Angaben sollte zusammenhängend, d.h. ohne Leerzeichen geschrieben werden. Zur Trennung der einzelnen Bestandteile sollte man daher die Zeichen -_./+ verwenden. Hierbei sind keine Details der Hardware oder exakte Versionen von Betriebssystemen von Interesse. Es geht um die grobe Einordnung des Typs eines Geräts. Typische Beispiele wären also PC Windows, Server Linux oder Drucker None. Beachten Sie, dass der HINFO-Record zwar von uns eingefordert und auch eingepflegt wird, aber nicht per DNS-Anfrage von den DNS-Servern erfragbar ist!

Danach folgen eine oder mehrere Zeilen mit den zugehörigen IP-Adressen. Mehrere IP-Adressen sind vor allem dann typisch, wenn der Rechner sowohl eine IPv4 (A-Record) als auch eine IPv6-Adresse (AAAA-Record) besitzt. Mehrere IP-Adressen der gleichen Version des IP-Protokolls sind dabei meist nur in Sonderfällen erwünscht und führen sonst zu merkwürdigen Effekten.

Außer dem eigentlichen Rechnernamen lassen sich auch zusätzliche Alternativnamen (Aliase) vergeben.
Fügen Sie diese CNAME-Zeile(n) bitte vor der HINFO-Zeile ein.

Das Format der Einträge entspricht den Original Resource Records für die DNS-Datendateien, nachzulesen in den RFCs 1034 und 1035.

Der Name Ihrer Subdomain lässt sich zwar meistens aus der IP-Adresse und Ihrer Einrichtung erschließen. Sie können den Namen der Subdomain aber auch formlos in der Mail mit angeben, oder den Einträgen gleich technisch formal korrekt voranstellen:

$ORIGIN subdomain.uni-erlangen.de

Weiteres Prozedere

Wenn Sie auf Ihre Anfrage eine Antwortmail erhalten haben, sind die Daten ins DNS eingepflegt. Es kann jedoch noch etwas dauern bis die Daten auch überall angekommen sind. Das DNS setzt hier massiv auf das Zwischenspeichern von Informationen um das verteilte System effizient zu halten. Sie müssen damit rechnen, dass es bis zu 24 Stunden dauern kann, bis die neuen Informationen überall bekannt sind. Falls Sie hier kürzere Umstellungszeiten benötigen, kontaktieren Sie uns im Vorfeld, damit wir dies ermöglichen können.

Wenn Sie überprüfen möchten, ob Ihre Einträge im DNS vorhanden sind, finden Sie weiter unten unter Zugriff auf Informationen im DNS weitere Informationen.

nslookup und dig

Unter nahezu jedem Betriebssystem ist das Tool nslookup verfügbar. In den Details unterscheiden sich die unterschiedlichen Varianten des Tools zwar, aber die Grundfunktionen sind meist vorhanden.

Auflösung der IP-Adresse eines Namens (unter Windows):

PS C:> nslookup.exe dialog.rrze.uni-erlangen.de
Server: dns1.rrze.uni-erlangen.de
Address: 2001:638:a000:1053:53::1

Nicht autorisierende Antwort:
Name: dialog.rrze.uni-erlangen.de
Address: 131.188.2.109

Auflösung des Namens einer IP-Adresse (Reverse-Lookup):

PS C:> nslookup.exe 131.188.2.109
Server: dns1.rrze.uni-erlangen.de
Address: 2001:638:a000:1053:53::1

Name: dialog.rrze.uni-erlangen.de
Address: 131.188.2.109

Weitere Informationen erhalten Sie über die Hilfefunktion des jeweiligen Betriebssystems. Unter Windows mit nslookup.exe /? und unter Linux in der Regel mit man nslookup.

Das mächtige Tool dig ist Bestandteil der am häufigsten verwendeten DNS-Server-Software BIND. Leider ist das Tool unter Windows nicht von Haus aus vorhanden und muss erst installiert werden. Unter Linux und macOS ist das Tool bereits vorhanden oder kann in der Regel aus den Paketquellen leicht nachinstalliert werden. Weitere Informationen finden Sie beispielsweise hier.

dig ist mit seinen Fähigkeiten und der Benutzerschnittstelle viel näher an der grundlegenden DNS-Kommunikation und den grundlegenden Datenstrukturen. Die Ausgabe von Standardanfragen ist deshalb viel komplexer und für den Laien schwerer zu verstehen, gibt aber dafür Informationen wieder, die der DNS-Server als Antwort lieferte. Der Parameter +short hilft jedoch dabei die Antwort auf das wesentliche zu beschränken und ist so noch knapper als die von nslookup.

Auflösung der IP-Adresse eines Namens:

$ dig +short dialog.rrze.uni-erlangen.de
131.188.2.109

Auflösung des Namens einer IP-Adresse (Reverse-Lookup):

$ dig +short -x 131.188.2.109
dialog.rrze.uni-erlangen.de.

Weitere Informationen zu den Möglichkeiten von dig erhält man mit Hilfe von dig -h oder man dig.

Zugriff auf den kompletten Inhalt einer Zone

Der Zugriff auf die kompletten Zonendaten per sogenanntem Zonentransfer ist heute eher unüblich. Die Tools, wie die meisten modernen Versionen von nslookup, können es größtenteils gar nicht mehr. Aber wie viele andere auch, haben wir ebenfalls den Zugriff über diesen Weg eingeschränkt. Deswegen funktioniert es auch mit dig nicht, das an sich dazu noch in der Lage ist.
Unserer wichtigsten Zonen sind momentan auch per DNSSEC signiert, was den Zugriff per Zonentransfer zusätzlich problematisch macht.

Ein Zugang zu den Daten über Zonentransfer ist jedoch im Wesentlichen technisch noch möglich und wir überlegen diesen Mitarbeitern und Studenten auch anzubieten. Momentan gibt es hier aber (noch) keine konkrete Möglichkeit.

Die Datei DOMAINS

Eine andere Möglichkeit, an die Daten zu kommen, geht über die Text-Datei DOMAINS, die als Ausgang für die Erzeugung des DNS-Datenbestands dient. Die Datei ist momentan auf den meisten Linux-Maschinen des RRZE per NFS erreichbar. Entweder über den Pfad /proj/dns/etc/DOMAINS oder als zweimal täglich aktualisierte Kopie unter /home/rrze/netd/netdns/DOMAINS. Dies ist beispielsweise auf dem Server dialog.rrze.uni-erlangen.de der Fall, der als Zugangspunkt für Studenten und Mitarbeiter gedacht ist.

Die Datei enthält (fast) alle Informationen, die von den DNS-Servern in Form von Zonendateien bereitgestellt werden. Man sucht in der Regel nach $ORIGIN subdomain und findet dort zusammenhängend und nach IP-Adressen geordnet (fast) alles, was bzgl. dieser Subdomain eingetragen ist.

Wir planen auch weiterhin eine derartige Möglichkeit zu bieten. Allerdings kann es auch hier in nächster Zeit zu größeren Umstellungen kommen. Das Thema Sicherheit wird laufend verstärkt und derartige Zugriffe geraten da schnell absichtlich oder aus Versehen ins Visier.

Der Artikel „DNS: Verbesserte Verfügbarkeit durch Anycast“ auf Seite 37 der BI79 beschreibt die Anycast-Technik mit deren Hilfe die Caching Nameserver der FAU aktuell ihre Dienste bereit stellen.

Der Artikel „DNSSEC: Mehr Sicherheit im Internet“ auf Seite 54 der BI92 beschreibt den Einsatz der Technik DNSSEC an der FAU. DNSSEC dient dazu die DNS-Daten vor der Manipulation durch Dritte zu schützen. Angriffe wie Phishing oder auch die Zensur von Inhalten werden so stark erschwert, bzw. unmöglich gemacht.