DNS-Server

Ein DNS Server verwaltet eine logische Einheit, eine sogenannte Zone. Hier werden Gruppen von Rechnern zusammengefaßt, die auf irgendeine Art und Weise logisch zusammengehören. Eine Zone im Sinne von DNS kann sich über mehrere Domänen erstrecken oder auch ein Teil einer Domäne sein.

Innerhalb einer Zone wird ein DNS-Server zum primären (autorisierenden) DNS Server erklärt. Dieser hat das alleinige Verwaltungsrecht (also das Recht Einträge zu ändern) an der DNS-Zone. Diese Hierarchie wurde aus Gründen der Konsistenz eingeführt. Die nicht autorisierenden DNS Server in der Zone dienen daher nur dazu die Rechenlast zu verteilen. Sie besitzen Kopien der zentralen DNS Datenbank des authorisierenden DNS-Servers. Der Vorgang des Kopierens wird als Zonentransfer oder Replikation bezeichnet. Zur Verringerung der Netzlast wurde ein Verfahren entwickelt, mit dem beim Zonentransfer nicht mehr die gesamte Datenbank übertragen wird, sondern nur kann der Zonentransfer auch inkrementell erfolgen. Das heißt, daß nur noch die Änderungen an der Datenbank übertragen werden. Dieses Verfahren ist in RFC 1995 festgelegt.

Der Zonentransfer kann entweder im Pull- bzw. Polling- Verfahren oder im push Verfahren erfolgen. Beim Pull-Verfahren fragen die sekundären Server in regelmäßigen Abständen beim primären Zonenserver an, ob sich in der Zonendatenbank Änderungen ergeben haben.
Beim Transfer im Push- Verfahren initiert der primäre Server die Zonentransfers. Er sendet den sekundären Servern eine Benachrichtigung, falls sich Änderungen an seiner Datenbank ergeben haben. Der Sekundäre Server fragt beim Master dann die Änderungen ab. Die Konfiguration für diese Verfahren erfolgt direkt in der Registry.

Es gibt eine Reihe von Rollen, die ein DNS-Server spielen kann, ja nach seiner Konfiguration und den Erfordernissen:

  • Primärer Master
    Der primäre Master-DNS-Server hat die einzige Lese-/Schreib-Version der Zonendatenbank. Daher müssen alle Aktualisierungen der Zonendatenbank auf diesem Server durchgeführt werden.

  • Sekundärer Master
    Ein sekundärer Master-DNS-Server besitzt eine schreibgeschützte Version der Zonendatenbank. Dies ermöglicht ihm, Namensauflösungsanforderungen zu erfüllen, aber es hindert ihn an der Durchführung von Änderungen an der Zonendatenbank. Wenn ein sekundärer Server startet, nimmt er Kontakt zu dem Nameserver auf, von dem er die Aktualisierungen erhält (dem autorisierten Server), und erhält die neueste Version der Zonendatenbank.

  • Server nur für Zwischenspeicherungen
    Ein DNS-Server nur für Zwischenspeicherungen ist ein DNS-Server ohne Zoneninformationen oder Kopie der Zonendatenbankdateien. Stattdessen erstellt er seine Auflösungstabelle aus den erfolgreichen Auflösungen, die er für seine Clientcomputer durchgeführt hat.

  • DNS-Weiterleitungsserver
    Ein DNS-Weiterleitungsserver ist ein DNS-Server, der rekursive DNS-Anforderungen an einen anderen DNS-Server weiterleitet. Dies kann hilfreich sein, wenn Sie keine lokalen Kopien Ihrer internen DNS-Zone haben und möchten, dass Ihr lokaler DNS-Server DNS-Abfragen an einen DNS-Server weiterleitet, der für die interne DNS-Zone autorisiert ist.
    Server, die für Zwischenspeicherung verwendet werden, eignen sich auch gut als DNS-Weiterleitungsserver. Falls der DNS-Weiterleitungsserver keine gültige Auflösung von dem Server erhält, an den er Anforderungen weiterleitet, so versucht er die Clientforderung selbst aufzulösen.

  • DNS-Slave-Server
    Ein DNS-Slave-Server ist ein DNS-Weiterleitungsserver, der nicht versucht, eine Auflösungsanforderung selbst aufzulösen, falls er keine gültige Antwort auf seine weitergeleitete DNS-Anforderung erhält. Sie finden diese Art von DNS-Server-Implementierung typischerweise in Verbindung mit einer sicheren Internetverbindung.

Active Directory Integration

Unter W2K kann die Speicherung der DNS auch im Active Directory erfolgen. Falls jetzt das System der primären und sekundären DNS- Server eingehalten wird, so daß Änderungen nur von einem Rechner aus erfolgen können, wird man beim Zonentransfer von einer Single-Master-Replikation sprechen. Windows 2000 bietet die zusätzlich die Möglichkeit, daß bei einem AD basierten DNS-System Änderungen an der DNS-Tabelle von jedem beliebigen DNS-Server durchgeführt werden können. Dieses wird auch als Multi-Master-Replikation bezeichnet. Wenn der DNS-Server in das Active Directory integriert wurde besteht die Möglichkeit ACL-Listen von Benutzeraccounts zu führen, die diese Zonen updaten dürfen (Allow only secure updates).

Unter NT oder Unix erfolgt immer eine vollständige Replikation der Zonendatei, wohingegen ein Active Directory basiertes DNS-System unter Windows 2000/2003 nur die Änderungen repliziert.

In gemischten Umgebungen können sowohl das herkömmliche (NT4) DNS als auch das Active Directory basierte DNS - auf verschiedenen DNS Servern - parallel eingesetzt werden. Wird ein Domänencontroller mit Active Directory installiert, so wird diese Maschine zusätzlich automatisch als DNS Server konfiguriert.

Bei Windows 2000 gibt es eine spezielle DNS-Eigenschaft zur Lastverteilung, das Round Robin DNS . Um es einzuschalten, muss ein bestimmter Eintrag in der Registry gesetzt werden. Ob in Ihrem Netzwerk Round Robin DNS eingesetzt wird, können Sie leicht ausprobieren, indem Sie mehrere ping-Befehle an einen FQDN absetzen. Sind die zurückgegebenen IP-Adressen jedes Mal unterschiedlich, ist Round Robin DNS aktiv. Wie kommt dieses auf den ersten Blick seltsame Verhalten zustande? In der Zonen-datei sind für einen FQDN mehrere IP-Adressen angegeben. Bei einer Abfrage werden die IPs nacheinander zurückgeliefert, so dass die Last auf verschiedene Server verteilt sind.