DNS ist das für die Umwandlung von Rechnernamen in IP-Adressen zuständige Protokoll. Im Internet wird DNS durch ein komplexes System von autoritativen Root-Nameservern, Top Level Domain-Servern (TLD) sowie anderen kleineren Nameservern verwaltet, die individuelle Domaininformationen speichern und untereinander abgleichen. Für einfache DNS-Anfragen wird auf dem lokalen System kein Nameserver benötigt.
Die folgende Tabelle beschreibt einige mit DNS verbundenen Begriffe:
| Begriff | Bedeutung |
|---|---|
| Forward-DNS | Rechnernamen in IP-Adressen umwandeln. |
| Origin (Ursprung) | Die in einer bestimmten Zonendatei beschriebene Domäne. |
| Resolver | Ein Systemprozess, durch den ein Rechner Zoneninformationen von einem Nameserver anfordert. |
| Reverse-DNS | die Umwandlung von IP-Adressen in Rechnernamen |
| Root-Zone | Der Beginn der Internet-Zonenhierarchie. Alle Zonen befinden sich innerhalb der Root-Zone. Dies ist analog zu einem Dateisystem, in dem sich alle Dateien und Verzeichnisse innerhalb des Wurzelverzeichnisses befinden. |
| Zone | Eine individuelle Domäne, Unterdomäne, oder ein Teil von DNS, der von der gleichen Autorität verwaltet wird. |
Es folgen nun einige Zonenbeispiele:
Innerhalb der Dokumentation wird die Root-Zone in der
Regel mit . bezeichnet.
org. ist eine Top level Domain
(TLD) innerhalb der Root-Zone.
example.org. ist eine
Zone innerhalb der
org.-TLD.
1.168.192.in-addr.arpa. ist die
Zone mit allen IP-Adressen des Bereichs
192.168.1.*.
Wie man an diesen Beispielen erkennen kann, befindet sich
der spezifischere Teil eines Rechnernamens auf der linken Seite
der Adresse. example.org. beschreibt
einen Rechner also genauer als org.,
während org. genauer als die Root-Zone
ist. Jeder Teil des Rechnernamens hat Ähnlichkeiten mit
einem Dateisystem, in dem etwa /dev dem
Wurzelverzeichnis untergeordnet ist.
Es gibt zwei Arten von Nameservern: Autoritative Nameserver sowie zwischenspeichernde (cachende, auch bekannt als auflösende) Nameserver.
Ein autoritativer Nameserver ist notwendig, wenn
Sie anderen verbindliche DNS-Auskünfte erteilen wollen.
eine Domain, beispielsweise example.org,
registriert wird, und den zu dieser Domain gehörenden
Rechnern IP-Adressen zugewiesen werden
müssen.
ein IP-Adressblock reverse-DNS-Einträge benötigt, um IP-Adressen in Rechnernamen auflösen zu können.
ein Backup-Nameserver (auch Slaveserver genannt) oder ein zweiter Nameserver auf Anfragen antworten soll.
Ein cachender Nameserver ist notwendig, weil
ein lokaler DNS-Server Daten zwischenspeichern und daher schneller auf Anfragen reagieren kann als ein entfernter Server.
Wird nach www.FreeBSD.org gesucht,
leitet der Resolver diese Anfrage an den Nameserver des
ISPs weiter und nimmt danach das Ergebnis
der Abfrage entgegen. Existiert ein lokaler,
zwischenspeichernder DNS-Server, muss
dieser die Anfrage nur einmal nach außen weitergeben. Für
alle weiteren Anfragen ist dies nicht mehr nötig, da diese
Information nun lokal gespeichert ist.
Unbound ist im Basissystem von FreeBSD enthalten. In der Voreinstellung bietet es nur die DNS-Auflösung auf dem lokalen Rechner. Obwohl das im Basissystem enthaltene Unbound konfiguriert werden kann, um Namensauflösung über den lokalen Rechner hinweg bereitzustellen, ist es empfehlenswert für solche Anforderungen Unbound aus der FreeBSD Ports-Sammlung zu installieren.
Um Unbound zu aktivieren, fügen
Sie folgende Zeile in /etc/rc.conf
ein:
local_unbound_enable="YES"
Alle vorhandenen Nameserver aus
/etc/resolv.conf werden als Forwarder
in der neuen Unbound-Konfiguration
benutzt.
Wenn einer der aufgeführten Nameserver kein
DNSSEC unterstützt, wird die lokale
DNS-Auflösung nicht funktionieren.
Testen Sie jeden Server und entfernen Sie die Server, die
den Test nicht bestehen. Das folgende Beispiel zeigt einen
Trust Tree beziehungsweise
einen Fehler für den Nameserver auf 192.168.1.1:
#drill -S FreeBSD.org @192.168.1.1
Nachdem jeder Server für DNSSEC konfiguriert ist, starten Sie Unbound:
#service local_unbound onestart
Dieses Kommando sorgt für die Aktualisierung von
/etc/resolv.conf, so dass Abfragen für
DNSSEC gesicherte Domains jetzt
funktionieren. Führen Sie folgenden Befehl aus, um den
DNSSEC
Trust Tree für
FreeBSD.org zu überprüfen:
%drill -S FreeBSD.org;; Number of trusted keys: 1 ;; Chasing: freebsd.org. A DNSSEC Trust tree: freebsd.org. (A) |---freebsd.org. (DNSKEY keytag: 36786 alg: 8 flags: 256) |---freebsd.org. (DNSKEY keytag: 32659 alg: 8 flags: 257) |---freebsd.org. (DS keytag: 32659 digest type: 2) |---org. (DNSKEY keytag: 49587 alg: 7 flags: 256) |---org. (DNSKEY keytag: 9795 alg: 7 flags: 257) |---org. (DNSKEY keytag: 21366 alg: 7 flags: 257) |---org. (DS keytag: 21366 digest type: 1) | |---. (DNSKEY keytag: 40926 alg: 8 flags: 256) | |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) |---org. (DS keytag: 21366 digest type: 2) |---. (DNSKEY keytag: 40926 alg: 8 flags: 256) |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) ;; Chase successful
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.