DNS (70-291) Bedingte / Standard Weiterleitung

[Forelli 10]

Guten Morgen,

 

Ich habe ein Frage zur Prüfung 70-291: Im Kapitel DNS gibt es zwei Ausdrücke: Bedingte Weiterleitung und standard Weiterleitung. Kann mir jemand die Unterschiede erklären? Wäre nett...

 

Danke und Gruss

Forelli

[ChristianHemker 10]

Standard Weiterleitung:

Leite alles, was du nicht selbst auflösen kannst an einen anderen Server weiter.

 

Bedingte Weiterleitung:

An Bedingungen geknüpft, leite alles, was du nicht selbst auflösen kannst und das einem bestimmten Schema entspricht an einen bestimmten Server weiter.

So kannst du bedingte Weiterleitungen für test.local auf Server 192.168.0.101 und für test.msdc auf 192.168.0.102 weiterleiten. So triffst du dann direkt den zuständigen (authorisierenden) Server, ohne das erst ein root Server befragt werden muss. Dadurch wird die Namensauflösung schneller.

[Forelli 10]

In der Praxis (oder bei MCP-Prüfungen) würde man bedingte Weiterleitungen einsetzen, wenn z.B. DNS-Server in zwei verschiedenen Domänen stehen und man gerne diese Namen auflösen möchte ohne die ganze Infrastruktur umzustellen. Verstehe ich das richtig?

[mcse_killer76 10]

Also, die ganze Infrastruktur muss man deswegen nicht gleich umstellen... man kann mit einer bedingten Weiterleitung die Auflösungsgeschwindigkeit steigern und zugleich Serverressourcen sparen! Hier noch ein Beispiel dazu, das die Sache verdeutlicht:

 

Domäne1

/ \

Domäne1.2 Domäne1.3

/ \

Domäne1.2.1 Domäne1.3.1

 

So, jetzt... Du hast einen Client in Domäne 1.3.1. Der versucht einen Client-DNS-Namen aufzulösen, der sich in Domäne 1.2.1 befindet. Ohne bedingte Weiterleitung würde der Auflösungsversuch so aussehen: DNS-ServerDomäne 1.3.1, Domäne 1.3, Domäne 1, Domäne 1.2, Domäne 1.2.1.

 

Und nun mit der bedingten Weiterleitung: geht direkt an DNS-Server Domäne 1.2.1!

 

Na, Vorteil erkannt?

[ChristianHemker 10]

Ist quasi eine Abkürzung durch den DNS Dschungel ;)

[mcse_killer76 10]

Oh je, meine tolle Skizze wurde tot formatiert :-(

 

Man könnte das Ganze schon fast (zumindest vom Prinzip) mit Shortcut-Vertrauensstellungen vergleichen.

 

Bei dem DNS-Geraffel gibt es (der Vollständigkeit wegen) aber auch noch Stub-Zonen...

[monkey 10]

Hallo,

hab auch eine Frage zu bedingte/standard Weiterleitung.

Wo stell ich die "standard weiterleitung" ein?

Ich hab mal gehört, man stellt es da ein wo man die bedingte Weiterleitung macht, aber ohne eine IP anzugeben.

Wenn ja, wie wird es dann weitergeleitet ohne ip?

 

vielen Dank :wink2:

[IThome 10]

Hallo,

hab auch eine Frage zu bedingte/standard Weiterleitung.

Wo stell ich die "standard weiterleitung" ein?

Ich hab mal gehört, man stellt es da ein wo man die bedingte Weiterleitung macht, aber ohne eine IP anzugeben.

Wenn ja, wie wird es dann weitergeleitet ohne ip?

 

vielen Dank :wink2:

 

Eine Standard-Weiterleitung wie unter 2000 ist unter 2003 eine bedingte Weiterleitung mit dem Ziel "Alle anderen DNS-Domänen". Eine IP-Adresse musst Du natürlich angeben, sonst löst der DNS-Server über die Root auf (iterativ). Das macht er auch, wenn Du eine IP-Adresse für den Forwarder angegeben hast, der Haken "Keine Rekursion für diese Domäne verwenden" nicht gesetzt ist und der konfigurierte Weiterleiter nicht erreichbar ist (fehlertolerant aber Du musst Deine Firewall weiter öffnen).

[monkey 10]

Hab nochmal paar Fragen dazu.

sonst löst der DNS-Server über die Root auf (iterativ).

Frage1

Was heißt das genau? Heißt das ohne den Präfix?(oder war es der Suffix?)

 

Hab dazu noch eine Aufgabe:

Ihr Netzwerk besteht aus einem single Active diretory forest, welches 10 domänen beinhaltet.

Nur bla.com(die oberste anscheinend) hat zugang zum Internet und kann Namen vom Internet auflösen.

Jetzt müssen die anderen DNS-Server so konfiguriert werden, das bei nicht aufzulösenden abfragen, das dann der DNS-Server in bla.com die Abfragen auflösen soll.

 

a) ersetzte die Stammhinweise der Server mit bla.com

 

b) Konfiguriere die Standard Weiterleitungen der Server um nach bla.com weiter zu leiten.

 

c) Konfiguriere die bedingte Weiterleitung der Server um nach bla.com weiter zu leiten.

 

Als lösung wird b genannt.

 

Frage2

Wie muß jetzt die Standard Weiterleitung konfiguriert werden?

Ohne ip, oder doch mit aber mit dem Haken "Keine Rekursion für diese Domäne verwenden"?

 

Frage3

Warum ist a falsch?

 

Frage4

Warum ist c falsch?

 

Vielen Dank :wink2:

[IThome 10]

zu Frage 1: wenn Du in child.bla.com einen Namen http://www.microsoft.com auflösen möchtest und keinen Forwarder definiert hast, schickt Dein DNS-Server die Anfrage an die Root ( . ), bekommt eine Antwort, die den authoritativern Server von com enthält. Dein Server wendet sich an com und bekommt den Server für microsoft.com. Server wendet sich an microsoft.com, der ist authoritativ für diese Zone, kennt den Namen www und liefert die Adresse zurück. Dein Server liefert den vollständig aufgelösten Namen an Deinen Client

 

bla.com löst ohne Weiterleitung auf (über die Inet Rootserver), die internen DNS-Server leiten alle Anfragen, für die sie nicht selbst autorisierend sind (also die, die einen anderen Domänennamen haben, als den eigenen) zum bla.com weiter und der leitet die Anfragen gegebenenfalls an die Internet Rootserver (im "Auftrag" der internen Server) oder auch an einen internen DNS-Server, für den bla.com eine Delegation eingerichtet hat.

 

a: wenn bla.com die Root ist, funktioniert die externe Auflösung nicht mehr (wenn bla.com der Rootserver ist, funktioniert auf ihm kein Forwarding mehr, an wen soll er sich wenden, wenn Du z.B. bla.de auflösen möchtest?)

 

c: da Du nicht weisst, welche Inetseiten angesprochen werden, kannst Du keine bedingte Weiterleitung konfigurieren (oder Du müsstest alle Domänen eintragen :D ). Bei einer bedingten Weiterleitung spreche ich die authoritativen Server einer bestimmten Domäne an. Eventuell lässt die Firewall auch nur bla.com raus, dann solltest Du bei den anderen internen DNS-Servern den Haken "Keine Rekursion.." setzen (sie kommen eh nicht durch)

[monkey 10]

Zur Frage vorhin.

Wie sollte deiner Meinung nach die "standard Weiterleitung" konfiguriert werden?

 

a: wenn bla.com die Root ist, funktioniert die externe Auflösung nicht mehr (wenn bla.com der Rootserver ist, funktioniert auf ihm kein Forwarding mehr, an wen soll er sich wenden, wenn Du z.B. bla.de auflösen möchtest?)

 

Ja das mit dem Stammhinweisen hab ich immer noch nicht so kapiert.

Versteh auch nicht so ganz wofür die gut sind?

Wenn jetzt z.B. "hallo.bla.com" als Stammhinweis "bla.com" hat, geht die externe Auflösung nicht mehr. Und wenn ich zusätzlich eine "standard Weiterleitung" mache, geht sie dann? :suspect:

[IThome 10]

Du kennst ja die Adresse von Deinem Forwarder. Du gehst auf den Weiterleitungstab Deines DNS-Forwarders und trägst dort die IP-Adresse des Forwarders ein (Alle anderen DNS-Domänen). Er leitet also alles, was er nicht kennt, zu dem Forwarder (soll der doch machen...).

 

Rootserver kennen die authoritativen Server, die sich in den darunterliegenden Domänen (z.B. com, de usw.) befinden . Diese wiederum kennen die authoritativen Server der Domänen, die sich darunter befinden (z.B. microsoft.com, avm.de usw.) und so weiter. Jeder DNS-Server hat Roothints konfiguriert, das heisst, er kennt die Rootserver IP-Adressen. Wenn er ohne konfigurierten Forwarder von einem Client eine Anfrage bearbeiten soll (z.B. http://www.avm.de'>http://www.avm.de'>http://www.avm.de) schaut er erst einmal nach, ob er für diesen Namen zuständig ist. Wenn nicht, fragt er den Rootserver (der ja alles direkt unter sich kennt) nach dem Namen http://www.avm.de, der Rootserver ist für avm.de nicht zuständig, kennt aber den zuständigen Server für de. und liefert diese Adresse zurück. Dein Server wendet sich mit der Anfrage http://www.avm.de an den de. Server, der ist nicht zuständig, kennt aber die Adresse des DNS-Servers für avm.de und liefert sie zurück. Dein Server wendet sich an diese Adresse, dieser Server ist zuständig für avm.de und schaut in seiner Zonendatei nach dem Namen www und liefert ihn zurück. Dein Server hat jetzt die Adresse für http://www.avm.de und liefert sie an den Client.

Ein Name wird also in diesem Fall von oben nach unten und mit Hilfe von Verweisen auf andere DNS-Server aufgelöst.

Das ist nur eine prinzipielle Beschreibung dieses Vorgangs :)

[monkey 10]

Danke für deine Mühe,

ich lass das erst mal sacken und wenn ich fragen habe komme ich wieder. :wink2:

[IThome 10]

Wenn jetzt z.B. "hallo.bla.com" als Stammhinweis "bla.com" hat, geht die externe Auflösung nicht mehr. Und wenn ich zusätzlich eine "standard Weiterleitung" mache, geht sie dann? :suspect:

Ja klar, sie funktioniert ja auch, wenn die Standard-Rootserver konfiguriert sind und Du einen Weiterleiter für "Alle anderen Domänen" konfigurierst (Dein Server fragt bei dieser Konfiguration die Rootserver ja nur, wenn Dein Weiterleiter nicht reagiert und der Haken "Keine Rekursion ..." nicht gesetzt ist) .

[mcse_killer76 10]

IThome hat das sehr gut erklärt, besser hätte ich das auch nicht hin bekommen :-)

 

Eines wäre vielleicht noch zu erwähnen: einen DNS-Rootserver setzt man in einer Firma/Forest/Domäne nur dann ein, wenn es KEINEN Zugriff nach Außen (ins Internet) geben soll! Dann nämlich landet jede Anfrage SPÄTESTENS bei diesem Server! Weiter geht es dann nicht mehr.

 

Sobald eine Firma jedoch den Zugang zum Internet benötigt ist das die falsche Wahl! In diesem Fall arbeitet man mit Weiterleitungen!