Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Ãœberarbeitung
Nächste Überarbeitung
Vorhergehende Ãœberarbeitung
netz:dns:dns_fuer_alle [2018/03/02 16:44]
pilawa [DNS an der TU Braunschweig]
netz:dns:dns_fuer_alle [2022/03/28 13:06] (aktuell)
minbecir
Zeile 3: Zeile 3:
 ===== Domain Name Service (DNS) ===== ===== Domain Name Service (DNS) =====
  
-Der Domain Name Service (DNS) ist eine weltweit verteilte, hierarchische Datenbank, in der verschiedenste Informationen über Rechner, hauptsächlich aber Namen und IP-Adressen gespeichert werden. Auch wenn man noch nicht viel über DNS gehört hat, so sollte man sich die Bedeutung dieses Dienstes für das Internet vergegenwärtigen. Menschen nutzen Namen, um andere Personen oder Gegenstände anzusprechen oder zu benennen. Computer nutzen binäre Informationen und Zahlen. Im Internet kommunizieren Rechner über so genannte ​Internetprotokoll-Adressen (IP-Adressen) miteinander. Auf Basis der IP-Adresse eines Rechners im Netz ist es möglich, Verbindungen zwischen Rechnern aufzubauen. Das Internet Protokoll stellt daher die Grundlage des Internets dar.+Der Domain Name Service (DNS) ist eine weltweit verteilte, hierarchische Datenbank, in der verschiedenste Informationen über Rechner, hauptsächlich aber Namen und IP-Adressen gespeichert werden. Auch wenn man noch nicht viel über DNS gehört hat, so sollte man sich die Bedeutung dieses Dienstes für das Internet vergegenwärtigen. Menschen nutzen Namen, um andere Personen oder Gegenstände anzusprechen oder zu benennen. Computer nutzen binäre Informationen und Zahlen. Im Internet kommunizieren Rechner über sogenannte ​Internetprotokoll-Adressen (IP-Adressen) miteinander. Auf Basis der IP-Adresse eines Rechners im Netz ist es möglich, Verbindungen zwischen Rechnern aufzubauen. Das Internet Protokoll stellt daher die Grundlage des Internets dar.
  
-Der Domain Name Service stellt nun unter anderem eine Verknüpfung zwischen den für Menschen einprägsamen Namen (beispielsweise www.tu-braunschweig.de) und den dazugehörigen Adressen im Internet her (beispielsweise 134.169.9.190). Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung. In Analogie zu einer Telefonauskunft soll der Domain Name Service unter anderem Verknüpfungen zwischen (Rechner)namen und IP-Adressen liefern. Jedes mal wenn Sie beispielsweise im World Wide Web surfen, nutzen Sie den Domain Name Service intensiv. Fast jeder Dienst im Internet nutzt den Domain Name Service zur Adressermittlung. Ohne DNS wären daher WWW oder E-Mail nahezu unmöglich einsetzbar.+Der Domain Name Service stellt nun unter anderem eine Verknüpfung zwischen den für Menschen einprägsamen Namen (beispielsweise www.tu-braunschweig.de) und den dazugehörigen Adressen im Internet her (beispielsweise 134.169.9.150). Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung. In Analogie zu einer Telefonauskunft soll der Domain Name Service unter anderem Verknüpfungen zwischen (Rechner-)Namen und IP-Adressen liefern. Jedes Mal, wenn Sie beispielsweise im World Wide Web surfen, nutzen Sie den Domain Name Service intensiv. Fast jeder Dienst im Internet nutzt den Domain Name Service zur Adressermittlung. Ohne DNS wären daher WWW oder E-Mail nahezu unmöglich einsetzbar. 
 + 
 +Das Gauß-IT-Zentrum stellt derzeit drei solcher Resolver zur Verfügung. Die Adressen dieser Server (siehe auch Dienstnamenübersicht) lauten 
 + 
 +  * **134.169.9.150** 
 +  * **134.169.9.151** 
 +  * **134.169.9.152** 
 + 
 +und müssen auf den Servern und Clients im Campusnetz konfiguriert sein. 
 + 
 +==== DNS-Sperren ==== 
 + 
 +Das Gauß-IT-Zentrum blockt auf den oben genannten DNS-Resolvern über automatisiert-abgerufene Listen bestimmte Domains. Auf die Inhalte der Listen haben wir im Vorfeld keinen Einfluss, sodass es hin und wieder dazu kommt, dass fälschlicherweise Domains geblockt werden, die nicht schädlich sind (False-Positives). Ãœber DNS leiten wir geblockte Anfragen auf den Webserver http://​rzdnsquarant.rz.tu-bs.de/?​url=Blocked_Domain weiter, um die Nutzenden zu informieren und über ein eingebautes Webformular Freigaben zu beantragen. ​  
 + 
 + 
 +Leider gibt es aufgrund des Verhaltens bestimmter Browser gelegentlich Fehler bzw. Probleme. Bei den Weiterleitungen kann das GITZ die Validität des Webaufrufs über das Zertifikat (Schloss-Symbol in der Adressleiste des Browser) nicht mehr sicherstellen,​ da uns die aufgerufenen Seiten nicht gehören. Demzufolge kommt es regelmäßig zu Zertifikatsfehlern,​ die das Zertifikat für rzdnsquarant.rz.tu-bs.de enthalten. Es wird empfohlen, die Zertifikatswarnungen bzw. -fehler nicht "​wegzuklicken",​ sondern uns bei Bedarf über noc@tu-braunschweig.de zu melden, welche Seite Sie aufrufen wollten, bevor der Fehler aufgetreten ist
  
 ===== DNS an der TU Braunschweig ===== ===== DNS an der TU Braunschweig =====
  
-Das Gauß-IT-Zentrum betreibt ​zur Zeit fünf offizielle DNS-Server. Dabei wird zwischen den DNS-Servern unterschieden,​ die als Teil der weltweiten Datenbank für den Namensraum der TU (Domains "​tu-braunschweig.de"​ und "​tu-bs.de"​) zuständig sind und diese Daten "autoritativ verwalten, und sogenannten Resolvern (s.u.) oder Caching DNS-Servern,​ die für Clients die Aufgabe der rekursiven Namensauflösung übernehmen und die Antworten ggf. temporär in einem Cache speichern. Die IP-Adressen unserer autoritativen Nameserver sind beim DeNIC (zentrale Registrierungsstelle für alle Domains unterhalb der Top Level Domain .de) registriert. Anfragen aus dem Internet nach Namen oder IP-Adressen aus dem Netz der TU Braunschweig,​ werden an diese Server vermittelt.+Das Gauß-IT-Zentrum betreibt ​zurzeit ​fünf offizielle DNS-Server. Dabei wird zwischen den DNS-Servern unterschieden,​ die als Teil der weltweiten Datenbank für den Namensraum der TU (Domains "​tu-braunschweig.de"​ und "​tu-bs.de"​) zuständig sind und diese Daten autoritativ verwalten, und sogenannten Resolvern (s.u.) oder Caching DNS-Servern,​ die für Clients die Aufgabe der rekursiven Namensauflösung übernehmen und die Antworten ggf. temporär in einem Cache speichern. Die IP-Adressen unserer autoritativen Nameserver sind beim DeNIC (zentrale Registrierungsstelle für alle Domains unterhalb der Top Level Domain .de) registriert. Anfragen aus dem Internet nach Namen oder IP-Adressen aus dem Netz der TU Braunschweig,​ werden an diese Server vermittelt.
  
 Das Gauß-IT-Zentrum betreibt den offiziellen „primary“ DNS-Server (Server, der als Quelle zur Replizierung der Informationen auf allen „secondary“ DNS-Servern dient), sowie einen „secondary“ DNS-Server als Backup. Zusätzlich gibt es noch je einen offiziellen „secondary“ DNS-Server am Informatik-Zentrum sowie beim DFN e.V. Das Gauß-IT-Zentrum betreibt den offiziellen „primary“ DNS-Server (Server, der als Quelle zur Replizierung der Informationen auf allen „secondary“ DNS-Servern dient), sowie einen „secondary“ DNS-Server als Backup. Zusätzlich gibt es noch je einen offiziellen „secondary“ DNS-Server am Informatik-Zentrum sowie beim DFN e.V.
Zeile 15: Zeile 30:
 Die DNS-Datenbank ist hierarchisch aufgebaut. Auf den unterschiedlichen Ebenen (in DNS-Namen durch Punkte getrennt) enthalten unterschiedliche Server jeweils nur die Informationen über einen Teil-Namensraum. Server wie die oben beschriebenen primary und secondary DNS-Server der TU-Braunschweig enthalten beispielsweise lediglich die Informationen über Namen und IP-Adressen unterhalb der Domains tu-braunschweig.de und tu-bs.de. Server auf übergeordneten Ebenen (z.B. „.de“) enthalten häufig keinerlei Informationen über Namen und IP-Adressen sondern wissen lediglich, welche Server für die entsprechenden Subdomains (z.B. „tu-braunschweig.de“) zuständig sind.  Die DNS-Datenbank ist hierarchisch aufgebaut. Auf den unterschiedlichen Ebenen (in DNS-Namen durch Punkte getrennt) enthalten unterschiedliche Server jeweils nur die Informationen über einen Teil-Namensraum. Server wie die oben beschriebenen primary und secondary DNS-Server der TU-Braunschweig enthalten beispielsweise lediglich die Informationen über Namen und IP-Adressen unterhalb der Domains tu-braunschweig.de und tu-bs.de. Server auf übergeordneten Ebenen (z.B. „.de“) enthalten häufig keinerlei Informationen über Namen und IP-Adressen sondern wissen lediglich, welche Server für die entsprechenden Subdomains (z.B. „tu-braunschweig.de“) zuständig sind. 
  
-Aus diesem Grund müssen zur Auflösung eines einzigen „Fully Qualified Domain Names“ wie beispielsweise „%%www.tu-braunschweig.de%%“ in eine IP-Adresse in der Regel mehrere Server „rekursiv“ befragt werden. Die Anfragen starten bei den allgemein bekannten „Root“-Servern,​ die von der IANA (Internet Assigned Numbers Authority) verwaltet werden. Diese Server enthalten nur die Informationen,​ welche Server für die Top-Level-Domains (z.B. „.de“, „.com“ oder „.org“) zuständig sind, und geben diese Informationen an den Anfragenden zurück. Im Fall „%%www.tu-braunschweig.de%%“ kommt hier also die Information über die für „.de“ zuständigen Server zurück. Der Anfragende muss seine Anfrage nach der IP-Adresse von „%%www.tu-braunschweig.de%%“ dann erneut an einen dieser Server schicken und erhält dort die Information,​ welche Server für „%%tu-braunschweig.de%%“ zuständig sind. Die erneute ​Frage nach der IP-Adresse von „%%www.tu-braunschweig.de%%“ an einen dieser Server liefert schließlich das Ergebnis. Bei DNS-Namen „mit mehr Punkten“ wären ggf. weitere rekursive Anfragen an weitere Server nötig, wobei ein weiterer Punkt nicht in jedem Fall einen weiteren Rekursionsschritt nötig machen muss. Subdomains müssen nicht unbedingt an weitere Server „delegiert“ werden. So werden z.B. die Informationen über die Subdomains „ing.tu-bs. de“, „nat.tu-bs.de“,​ „rz.tu-bs.de“ usw. an der TU Braunschweig auf den gleichen Servern vorgehalten,​ die für „tu-bs.de“ zuständig sind.+Aus diesem Grund müssen zur Auflösung eines einzigen „Fully Qualified Domain Names“ wie beispielsweise „%%www.tu-braunschweig.de%%“ in eine IP-Adresse in der Regel mehrere Server „rekursiv“ befragt werden. Die Anfragen starten bei den allgemein bekannten „Root“-Servern,​ die von der IANA (Internet Assigned Numbers Authority) verwaltet werden. Diese Server enthalten nur die Informationen,​ welche Server für die Top-Level-Domains (z.B. „.de“, „.com“ oder „.org“) zuständig sind, und geben diese Informationen an den Anfragenden zurück. Im Fall „%%www.tu-braunschweig.de%%“ kommt hier also die Information über die für „.de“ zuständigen Server zurück. Der Anfragende muss seine Anfrage nach der IP-Adresse von „%%www.tu-braunschweig.de%%“ dann erneut an einen dieser Server schicken und erhält dort die Information,​ welche Server für „%%tu-braunschweig.de%%“ zuständig sind. Die erneute ​Anfrage ​nach der IP-Adresse von „%%www.tu-braunschweig.de%%“ an einen dieser Server liefert schließlich das Ergebnis. Bei DNS-Namen „mit mehr Punkten“ wären ggf. weitere rekursive Anfragen an weitere Server nötig, wobei ein weiterer Punkt nicht in jedem Fall einen weiteren Rekursionsschritt nötig machen muss. Subdomains müssen nicht unbedingt an weitere Server „delegiert“ werden. So werden z.B. die Informationen über die Subdomains „ing.tu-bs.de“,​ „nat.tu-bs.de“,​ „rz.tu-bs.de“ usw. an der TU Braunschweig auf den gleichen Servern vorgehalten,​ die für „tu-bs.de“ zuständig sind.
  
 {{:​netz:​dns:​dnsserv.png?​750|Hierarchie im Domain Name Service}} {{:​netz:​dns:​dnsserv.png?​750|Hierarchie im Domain Name Service}}
  
  
-In der Regel verfügen Client-Betriebssysteme wie Windows, Mac OSX oder Linux nicht über die Fähigkeit zur rekursiven Namensauflösung. Sie sind darauf angewiesen, dass sie ihre Anfrage an einen DNS-Server, einen sogenannten „Resolver“,​ schicken können, der die Rekursion für sie übernimmt und anschließend nur das Ergebnis ​zurück schickt.+In der Regel verfügen Client-Betriebssysteme wie Windows, Mac OSX oder Linux nicht über die Fähigkeit zur rekursiven Namensauflösung. Sie sind darauf angewiesen, dass sie ihre Anfrage an einen DNS-Server, einen sogenannten „Resolver“,​ schicken können, der die Rekursion für sie übernimmt und anschließend nur das Ergebnis ​zurückschickt.
  
-Das Gauß-IT-Zentrum stellt derzeit drei solcher Resolver zur Verfügung. Die Adressen dieser Server (siehe auch Dienstnamen ​übersicht) lauten+Das Gauß-IT-Zentrum stellt derzeit drei solcher Resolver zur Verfügung. Die Adressen dieser Server (siehe auch Dienstnamen-Ãœbersicht) lauten
  
   * **134.169.9.150**   * **134.169.9.150**
netz/dns/dns_fuer_alle.1520005447.txt.gz · Zuletzt geändert: 2018/03/02 16:44 von pilawa
Gauß-IT-Zentrum