für Sie bereitgestellt

Volker Steitz
Postfach 26 49
Baumgartenstrasse 36b
55543 Bad Kreuznach
Bad Kreuznach, 25.11.2014
netMOUNT 2015
Telefon
Telefax
Mobil
E-Mail
+49 (0) 671 298 76 20
+49 (0) 3222 3720 848
+49 (0) 175 59 71 110
[email protected]
Angaben zum Projekt
Software zum Verbinden von Netzlaufwerken mit unterschiedlichen Accounts, Rechten
und Passworten und der Möglichkeit Mountlisten zentral zu hinterlegen und zu
verwalten.
Will man ausgewählte Netzlaufwerke beim Anmelden eines Benutzers verbinden, bietet
Windows dafür das Kommandozeilen-Tool „net use“. - dies wird oft in Login-Scripten
ausgeführt.
Will man jedoch die Netzlaufwerke mit anderen Usercredentials Verbinden, sind Scripte
denkbar ungeeignet, da dort Username und Password im Klartext zu lesen sind.
Viele Administratoren haben die deutliche einfachere und mächtigere Variante „Group Policy
Preferences“ eingesetzt. Group Policy Preferences basieren auf XML Dateien. Hier befinden
sich die Passwörter welche für die oben genannten Einstellungen gespeichert werden im
SYSVOL-Verzeichnis innerhalb der betreffenden XML Dateien im Attribut "cPassword". Das
Passwort wird mittels 32-Byte AES verschlüsselt.
Das Problem: Der Schlüssel wurde veröffentlicht und ist somit frei zugänglich.
Microsoft hat darauf regiert und den Patch MS14-025 veröffentlicht.
Mit diesem Update wird unter anderem die Möglichkeit genommen, zukünftig Passwörter per
GPPs zu setzen (die bestehenden Passwörter bleiben unberührt).
Wollen Sie nun neue Netzlaufwerke via GPO und mit unterschiedlichen Credentials
zuweisen/Verbinden, ist dies nicht mehr möglich.
An dieser Stelle greift das Tool netMOUNT.
Dies gibt Ihnen die Möglichkeit, unterschiedliche Usercredentials für unterschiedliche Share zu
speichern und diese automatisch nach der Anmeldung des Users zu verbinden.
Die erstellte Mountlist kann lokal oder auf einem UNC-Share – z.B. Sysvol - zur Verfügung
gestellt werden. Sie haben somit weiterhin die Möglichkeit, der zu Verbindenden Shares zentral
zu verwalten.
Voraussetzungen
・ die Software benötigt ein installiertes .NET-Framework 4.5.
・ das System muss über mindestens 512 MB RAM verfügen
・ das System muss über 12 MB freien Festplattenspeicher verfügen
・ Lauffähig auf 32-/64-Bit Windows-Betriebssystemen ab Windows XP SP3
-2-
Neuerungen netMount ab Version 12.0.4583.5
・
Die Software kann ohne administrative Rechte gestartet werden
・
Es ist möglich, Netzlaufwerksverbindungen OHNE Usernamen und Password
zu verwenden
・
Die Software wurde an die Bedürfnisse von Windows 7/8 angepasst
・
Die Software verfügt über eine digitale Signatur
Neuerungen netMount ab Version 14.11.5148.xxxx
・
Ein Traceroute Client wurde integriert – damit ist der Administrator in der
Lage, die Netzwerkroute zu ermitteln
Soll die Software so konfiguriert werden, dass sie bei jeder
Anmeldung automatisch startet, muss die Ersteinrichtung als
Administrator oder mit Admin-Rechten ausgeführt werden.
-3-
Inhalt
Angaben zum Projekt ................................................................................................................... 2 Voraussetzungen ......................................................................................................................... 2 Neuerungen netMount ab Version 12.0.4583.5 ........................................................................... 3 Neuerungen netMount ab Version 14.11.5148.xxxx .................................................................... 3 Installation der Software ............................................................................................................... 5 Erster Start der Software .............................................................................................................. 6 AUTOSTART DER ANWENDUNG .............................................................................................. 9 Einstellungen .............................................................................................................................. 10 Tracert ........................................................................................................................................ 11 DNS –Überblick ...................................................................................................................... 14
DNS-Recordtypen: ................................................................................................................. 18
DNS-Abfrage – Reverse Lookup ............................................................................................ 20
-4-
Installation der Software
Die Software muss nicht installiert werden - ein kopieren auf die lokale HDD des System reicht
aus.
Achtung:
Da die Software in Ihrem Programmverzeichnis schreibenden Zugriff benötigt, sollten sie die
Software bei einer Verwendung von
Windows Vista
Windows 7
Windows 8 / 8.1
Server 2008 / R2
Windows 2012 / R2
nicht ins Programmverzeichnis (C:\Program Files (x86) kopieren.
-5-
Erster Start der Software
Wurde noch keine
Mountliste hinterlegt, sind
alle Steuerelemente AKTIV
Bitte klicken Sie auf den
Button
um einen neuen
Eintrag anzulegen
Hinweis:
Diese Symbol verwenden
Sie auch, um einer bestehenden Mount Liste
weitere Einträge hinzuzufügen.
Bitte vervollständigen Sie
alle nötigen Angaben.
Der Username muss
IMMER aus Domäne (oder
lokalem Remotesystemnamen), gefolgt von
einem \ und dem
Usernamen bestehen!
-6-
Nach Bestätigung der Daten
durch OK sieht das
Hauptfenster wie auf der
linken Seite gezeigt aus.
Bitte führen Sie den o.g.
Schritt für jedes benötigte
Laufwerk durch!
Achtung:
Stellen Sie mehrere
Verbindungen zu einem
Server her, dürfen hierfür
keine unterschiedlichen
User verwandt werden!
Bitte speichern Sie nun die
soeben erstelle Mountliste
durch drücken auf das
WEISSE Diskettensymbol
Dass SCHWARZE
Diskettensymbol speichert
Änderungen in einer bereits
bestehenden Mount
Liste.
Vergeben Sie einen
Aussagekräftigen Namen und
wechseln Sie anschließend
im Hauptfenster
der Anwendung auf die
Registerkarte
EINSTELLUNGEN
Wenn Sie eine ActiveDirectory Struktur verwenden, sollten Sie die Mountlist im Sysvol-Verzeichnis der
Domöne speichern. Alternativ können Sie auch den UNC-Pfad zu einem Netzlaufwerk angeben. So
müssen Sie immer nur einmal die Mountlist ändern – egal wieviele Systeme Sie haben.
-7-
Bitte aktivieren Sie unter
Load last Mountlist die
Option YES.
Wollen Sie zudem noch, dass
sich die Anwendung nach
dem Verbinden der
Netzlaufwerke wieder
automatisch beendet,
aktivieren Sie zusätzlich unter
Auto-End die Option YES.
-8-
AUTOSTART DER ANWENDUNG
Soll die Anwendung bei jeder
Anmeldung am System gestartet
werden, so aktivieren Sie bitte
die Option
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Sollten Sie die folgende Meldung
erhalten, müssen Sie die
Anwendung als Administrator
starten, da der Autostart für alle
User im Registrykey HKLM liegt!
Die Anwendung wird nun nach
jeder Benutzer-anmeldung am
System ausgeführt.
Der User muss nun noch auf den
linkes gezeigten Button drücken.
Wollen Sie dem User auch noch
diesen Schritt abnehmen,
aktivieren Sie AutoConnect
Beim nächsten Programm-start
wartet die Software 6 Sekunden
und verbindet dann die
Netzlaufwerke.
-9-
Innerhalb dieser 6 Sek.können
Sie das AutoConnect
unterbinden indem Sie einmal in
das
Feld Autoconnect aktiv klicken
und das Häkchen entfernen.
Der Autostartvorgang wird
unterbrochen.
Einstellungen
Hier können
Sie die
Startoption der
Software
festlegen.
Bitte beachten
Sie, dass die
Settings für
alle User
dieses
Systems
gelten.
Die
Einstellungen
bzgl. Des
automatischen
Startens der
Anwendung
nach dem der
User
angemeldet
ist, kann nur
mit
administrativen
Privilegien
- 10 -
gesetzt
werden!
Tracert
In die Software wurde ein TraceRoute Client integriert, der es Administratoren ermöglichen soll,
schnell und einfach Netzwerkfehler beim Fehlschlag von Verbindungen zu ermitteln.
- 11 -
Mit Traceroute wird ermittelt, über welche Router und Internet-Knoten IP-Datenpakete
bis zum abgefragten Rechner gelangen.
Funktionsweise
Traceroute sendet mehrfach IP-Datenpakete vom Typ ICMP Echo Request an den ZielHost, beginnend mit einer Time to Live (TTL) von 1.
Der erste Router, der das Datenpaket weiterleiten soll, zählt den Wert der TTL um eins
herunter auf 0, woraufhin er es nicht weiterleitet, sondern verwirft. Dabei sendet er die
ICMP-Antwort Typ 11: Time exceeded mit Code 0: Time to live exceeded in transit an
den Absender.
Dieses Datenpaket enthält als Source Address die IP-Adresse des betreffenden Routers.
Diese Information wird vom Traceroute-Programm zusammen mit der gesamten
Übertragungsdauer aufgezeichnet. Anschließend wiederholt das Programm diesen
Schritt mit einer um 1 erhöhten TTL, um auf dieselbe Weise den nächsten Router auf
dem Weg durch das Netzwerk zu ermitteln.
- 12 -
Dies wird solange wiederholt, bis der Ziel-Host oder das vom jeweiligen TracerouteProgramm verwendete Maximum an Hops erreicht wurde. Wird der Ziel-Host erreicht,
sendet er bei ICMP-basiertem Traceroute die ICMP Antwort Typ 0 ICMP Echo Reply
bzw. bei UDP-basiertem Traceroute Destination Unreachable Code 3 Port Unreachable.
Die Sequenz der so gesammelten Adressen kennzeichnet den Weg zum Ziel durch das
Netz. Der Rückweg ist in der Regel identisch, kann aber bei asymmetrischem Routing
anders verlaufen. In der Regel werden an jeden Host drei Pakete gesendet. Die drei
angezeigten Werte in Millisekunden geben die Antwortzeit dieser drei Versuche wieder.
Das Ergebnis von Traceroute zeigt nicht immer den tatsächlichen Weg. Es wird
beeinflusst von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network
Address Translation, IP-Tunneln oder der Wahl eines anderen Pfades bei
Netzwerküberlastung und anderen Faktoren.
Windows-Traceroute sendet standardmäßig ICMP-Pakete, Unix-Traceroute arbeitet mit
UDP-Paketen. Mit TCP-Paketen arbeiten nur spezielle Programme z. B. Tcptraceroute
oder LFT (Layer Four Traceroute). Alle diese Traceroute-Implementierungen sind
jedoch auf die zurückkommenden ICMP-Pakete angewiesen. Verschiedene Protokolle
und Ports auszuprobieren ist dann sinnvoll, wenn eine Firewall den Traceroute blockiert.
Insbesondere die Verwendung von UDP ist oft problematisch. Manche Unix-Traceroutes
lassen sich mit dem Parameter „-I” auf ICMP bzw. mit „-T” auf TCP umstellen.
Quelle: Wikipedia, http://de.wikipedia.org/wiki/Traceroute
- 13 -
Zum Identifizieren von Fehlschlägen beim Verbindungsaufbau wurde ein DNS-Client in die
Software implementiert.
DNS –Überblick
Das Domain Name System (DNS) ist einer der wichtigsten Dienste in vielen IP-basierten
Netzwerken. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung.
Das DNS funktioniert ähnlich wie eine Telefonauskunft. Der Benutzer kennt die Domain
(den für Menschen merkbaren Namen eines Rechners im Internet) – zum Beispiel
example.org. Diese sendet er als Anfrage in das Internet. Die URL wird dann dort vom
DNS in die zugehörige IP-Adresse (die „Anschlussnummer“ im Internet) umgewandelt –
zum Beispiel eine IPv4-Adresse der Form 192.0.2.42 oder eine IPv6-Adresse wie
2001:db8:85a3:8d3:1319:8a2e:370:7347, und führt so zum richtigen Rechner.
Überblick
Das DNS ist ein weltweit auf tausenden von Servern verteilter hierarchischer
Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum
ist in so genannte Zonen unterteilt, für die jeweils unabhängige Administratoren
- 14 -
zuständig sind. Für lokale Anforderungen – etwa innerhalb eines Firmennetzes – ist es
auch möglich, ein vom Internet unabhängiges DNS zu betreiben.
Hauptsächlich wird das DNS zur Umsetzung von Domainnamen in IP-Adressen
(„forward lookup“) benutzt. Dies ist vergleichbar mit einem Telefonbuch, das die Namen
der Teilnehmer in ihre Telefonnummer auflöst. Das DNS bietet somit eine
Vereinfachung, weil Menschen sich Namen weitaus besser merken können als
Zahlenkolonnen. So kann man sich einen Domainnamen wie example.org in der Regel
leichter merken als die dazugehörende IP-Adresse 192.0.32.10. Dieser Punkt gewinnt
im Zuge der Einführung von IPv6 noch an Bedeutung, denn dann werden einem Namen
jeweils IPv4- und IPv6-Adressen zugeordnet. So löst sich beispielsweise der Name
www.kame.net in die IPv4-Adresse 203.178.141.194 und die IPv6-Adresse
2001:200:0:8002:203:47ff:fea5:3085 auf.
Ein weiterer Vorteil ist, dass IP-Adressen – etwa von Web-Servern – relativ risikolos
geändert werden können. Da Internetteilnehmer nur den (unveränderten) DNS-Namen
ansprechen, bleiben ihnen Änderungen der untergeordneten IP-Ebene weitestgehend
verborgen. Da einem Namen auch mehrere IP-Adressen zugeordnet werden können,
kann sogar eine einfache Lastverteilung per DNS (Load Balancing) realisiert werden.
Mit dem DNS ist auch eine umgekehrte Auflösung von IP-Adressen in Namen (reverse
lookup) möglich. In Analogie zum Telefonbuch entspricht dies einer Suche nach dem
Namen eines Teilnehmers zu einer bekannten Rufnummer, was innerhalb der
Telekommunikationsbranche unter dem Namen Inverssuche bekannt ist.
Das DNS wurde 1983 von Paul Mockapetris entworfen und in RFC 882 und RFC 883
(RFC = Request for Comments) beschrieben. Beide wurden inzwischen von RFC 1034
und RFC 1035 abgelöst und durch zahlreiche weitere Standards ergänzt. Ursprüngliche
Aufgabe war es, die lokalen hosts-Dateien abzulösen, die bis dahin für die
Namensauflösung zuständig waren und die der enorm zunehmenden Zahl von
Neueinträgen nicht mehr gewachsen waren. Aufgrund der erwiesenermaßen hohen
Zuverlässigkeit und Flexibilität wurden nach und nach weitere Datenbestände in das
DNS integriert und so den Internetnutzern zur Verfügung gestellt (siehe unten:
Erweiterung des DNS).
DNS zeichnet sich aus durch:
 Dezentrale Verwaltung



Hierarchische Struktur des Namensraums in
Baumform
Eindeutigkeit der Namen
Erweiterbarkeit
Komponenten
Schematische Darstellung der DNS-HierarchieDer Domain-Namensraum hat eine
baumförmige Struktur. Die Blätter und Knoten des Baumes werden als Labels
bezeichnet. Ein kompletter Domainname eines Objektes besteht aus der Verkettung
aller Labels eines Pfades.
Labels sind Zeichenketten, die jeweils mindestens ein Zeichen und maximal 63 Zeichen
lang sind (RFC 2181, Abschnitt „11. Name syntax“).
Einzelne Labels werden durch Punkte voneinander getrennt.
- 15 -
Ein Domainname wird mit einem Punkt abgeschlossen (der letzte Punkt wird
normalerweise weggelassen, gehört rein formal aber zu einem vollständigen
Domainnamen dazu).
Somit lautet ein korrekter, vollständiger Domainname (auch Fully Qualified DomainName (FQDN) genannt) zum Beispiel www.example.com. und darf inklusive aller Punkte
maximal 255 Zeichen lang sein.
Ein Domainname wird immer von rechts nach links delegiert und aufgelöst, das heißt je
weiter rechts ein Label steht, umso höher steht es im Baum.
Der Punkt am rechten Ende eines Domainnamens trennt das Label für die erste
Hierarchieebene von der Wurzel (engl. root).
Diese erste Ebene wird auch als Top-Level-Domain (TLD) bezeichnet.
Die DNS-Objekte einer Domäne (zum Beispiel die Rechnernamen) werden als Satz von
Resource Records meist in einer Zonendatei gehalten, die auf einem oder mehreren
autoritativen Nameservern vorhanden ist. Anstelle von Zonendatei wird meist der etwas
allgemeinere Ausdruck Zone verwendet.
Nameserver
Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das
Verfahren, das es ermöglicht, Namen von Rechnern bzw. Diensten in eine vom
Computer bearbeitbare Adresse aufzulösen (z. B. www.wikipedia.org in
91.198.174.225).
Die meisten Nameserver sind Teil des Domain Name System, das auch im Internet
benutzt wird.
Nameserver sind zum einen Programme, die auf Basis einer DNS-Datenbank Anfragen
zum Domain-Namensraum beantworten, im Sprachgebrauch werden allerdings auch die
Rechner, auf denen diese Programme zum Einsatz kommen, als Nameserver
bezeichnet. Man unterscheidet zwischen autoritativen und nicht-autoritativen
Nameservern.
Ein autoritativer Nameserver ist verantwortlich für eine Zone. Seine Informationen über
diese Zone werden deshalb als gesichert angesehen. Für jede Zone existiert mindestens
ein autoritativer Server, der Primary Nameserver. Dieser wird im SOA Resource Record
einer Zonendatei aufgeführt. Aus Redundanz- und Lastverteilungsgründen werden
autoritative Nameserver fast immer als Server-Cluster realisiert, wobei die Zonendaten
identisch auf einem oder mehreren Secondary Nameservern liegen. Die Synchronisation
zwischen Primary und Secondary Nameservern erfolgt per Zonentransfer.
Ein nicht-autoritativer Nameserver bezieht seine Informationen über eine Zone von
anderen Nameservern sozusagen aus zweiter oder dritter Hand. Seine Informationen
werden als nicht gesichert angesehen.
Da sich DNS-Daten normalerweise nur sehr selten ändern, speichern nicht-autoritative
Nameserver die einmal von einem Resolver angefragten Informationen im lokalen RAM
ab, damit diese bei einer erneuten Anfrage schneller vorliegen.
Diese Technik wird als Caching bezeichnet.
Jeder dieser Einträge besitzt ein eigenes Verfallsdatum (TTL time to live), nach dessen
Ablauf der Eintrag aus dem Cache gelöscht wird. Die TTL wird dabei durch einen
autoritativen Nameserver für diesen Eintrag festgelegt und wird nach der
- 16 -
Änderungswahrscheinlichkeit des Eintrages bestimmt (sich häufig ändernde DNS-Daten
erhalten eine niedrige TTL).
Das kann unter Umständen aber auch bedeuten, dass der Nameserver in dieser Zeit
falsche Informationen liefern kann, wenn sich die Daten zwischenzeitlich geändert
haben.
Ein Spezialfall ist der Caching Only Nameserver.
In diesem Fall ist der Nameserver für keine Zone verantwortlich und muss alle
eintreffenden Anfragen über weitere Nameserver (Forwarder) auflösen.
Dafür stehen verschiedene Strategien zur Verfügung:
Zusammenarbeit der einzelnen Nameserver
Damit ein nicht-autoritativer Nameserver Informationen über andere Teile des
Namensraumes finden kann, bedient er sich folgender Strategien:
Delegierung
Teile des Namensraumes einer Domain werden oft an Subdomains mit dann eigens
zuständigen Nameservern ausgelagert. Ein Nameserver einer Domäne kennt die
zuständigen Nameserver für diese Subdomains aus seiner Zonendatei und delegiert
Anfragen zu diesem untergeordneten Namensraum an einen dieser Nameserver.
Weiterleitung (forwarding)
Falls der angefragte Namensraum außerhalb der eigenen Domäne liegt, wird die
Anfrage an einen fest konfigurierten Nameserver weitergeleitet.
Auflösung über die Root-Server
Falls kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, werden
die Root-Server befragt. Dazu werden in Form einer statischen Datei die Namen und IPAdressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die RootServer beantworten ausschließlich iterative Anfragen. Sie wären sonst mit der Anzahl
der Anfragen schlicht überlastet.
Anders konzipierte Namensauflösungen durch Server, wie der NetWare Name Service
oder der Windows Internet Naming Service, sind meistens auf Local Area Networks
beschränkt und werden zunehmend von der Internetprotokollfamilie verdrängt.
Resolver
Schematische Darstellung der rekursiven und iterativen DNS-AbfrageResolver sind
einfach aufgebaute Software-Module, die auf dem Rechner eines DNS-Teilnehmers
installiert sind und die Informationen von Nameservern abrufen können. Sie bilden die
Schnittstelle zwischen Anwendung und Nameserver. Der Resolver übernimmt die
Anfrage einer Anwendung, ergänzt sie, falls notwendig, zu einem FQDN und übermittelt
sie an einen normalerweise fest zugeordneten Nameserver. Ein Resolver arbeitet
entweder rekursiv oder iterativ.
Im rekursiven Modus schickt der Resolver eine rekursive Anfrage an den ihm
zugeordneten Nameserver. Hat dieser die gewünschte Information nicht im eigenen
Datenbestand, so kontaktiert der Nameserver weitere Server, und zwar solange bis er
entweder eine positive Antwort oder bis er von einem autoritativen Server eine negative
- 17 -
Antwort erhält. Rekursiv arbeitende Resolver überlassen also die Arbeit zur
vollständigen Auflösung ihrem Nameserver.
Bei einer iterativen Anfrage bekommt der Resolver entweder den gewünschten
Resource Record oder einen Verweis auf weitere Nameserver, die er als Nächstes fragt.
Der Resolver hangelt sich so von Nameserver zu Nameserver, bis er von einem eine
verbindliche Antwort erhält.
Die so gewonnene Antwort übergibt der Resolver an das Programm, das die Daten
angefordert hat, beispielsweise an den Webbrowser. Übliche Resolver von Clients
arbeiten ausschließlich rekursiv, sie werden dann auch als Stub-Resolver bezeichnet.
Nameserver besitzen in der Regel eigene Resolver. Diese arbeiten gewöhnlich iterativ.
Bekannte Programme zur Überprüfung der Namensauflösung sind nslookup, host und
dig.
Protokoll
DNS-Anfragen werden normalerweise per UDP Port 53 zum Namensserver gesendet.
Der DNS-Standard fordert aber auch die Unterstützung von TCP für Fragen, deren
Antwort zu groß für UDP-Übertragung sind.
Falls kein Extended DNS verwendet wird (EDNS), beträgt die maximal zulässige Länge
des DNS-UDP-Pakets 512 Bytes. Überlange Antworten werden daher abgeschnitten
übertragen.
Durch Setzen des Truncated-Flags wird der anfragende Client über diesen Sachverhalt
informiert. Er muss dann entscheiden, ob ihm die Antwort reicht oder nicht.
Gegebenenfalls wird er die Anfrage per TCP Port 53 wiederholen.
Zonentransfers werden stets über Port 53 TCP durchgeführt. Die Auslösung von
Zonentransfers erfolgt aber gewöhnlich per UDP.
Aufbau der DNS-Datenbank
Das Domain Name System kann als verteilte Datenbank mit baumförmiger Struktur
aufgefasst werden. Beim Internet-DNS liegen die Daten auf einer Vielzahl von weltweit
verstreuten Servern, die untereinander über Verweise – in der DNS-Terminologie
Delegierungen genannt – verknüpft sind.
In jedem beteiligten Nameserver existieren eine oder mehrere Dateien – die so
genannten Zonendateien – die alle relevanten Daten enthalten. Bei diesen Dateien
handelt es sich um Listen von Resource Records. Von großer Bedeutung sind sieben
Record-Typen.
DNS-Recordtypen:

Mit dem SOA Resource Record werden Parameter der Zone, wie z. B.
Gültigkeitsdauer oder Seriennummer, festgelegt.

Mit dem NS Resource Record werden die Verknüpfungen (Delegierungen) der
Server untereinander realisiert.

Mit folgenden Record-Typen werden die eigentlichen Daten definiert:
- 18 -

Ein A Resource Record weist einem Namen eine IPv4-Adresse zu.

Ein AAAA Resource Record weist einem Namen eine IPv6-Adresse zu.

Ein CNAME Resource Record verweist von einem Namen auf einen anderen
Namen.

Ein MX Resource Record weist einem Namen einen Mailserver zu. Er stellt eine
Besonderheit dar, da er sich auf einen speziellen Dienst im Internet, nämlich die
E-Mailzustellung mittels SMTP bezieht. Alle anderen Dienste nutzen CNAME, A
und AAAA Resource Records für die Namensauflösung.

Ein PTR Resource Record weist einer IP-Adresse einen Namen zu (Reverse
Lookup) und wird für IPv4 und IPv6 gleichermaßen benutzt, nur für IPv4
unterhalb der Domain „IN-ADDR.ARPA.“ und für IPv6 unterhalb von „IP6.ARPA.“.
Im Laufe der Zeit wurden neue Typen definiert, mit denen Erweiterungen des DNS
realisiert wurden. Dieser Prozess ist noch nicht abgeschlossen. Eine umfassende Liste
findet sich unter Resource Record.
Quelle: Wikipedia, http://de.wikipedia.org/wiki/Domain_Name_System
- 19 -
DNS-Abfrage – Reverse Lookup
Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse
der Name ermittelt werden soll.
Alternativbezeichnungen sind inverse Anfragen, reverse lookup oder inverse requests.
Das Pendant beim Telefon ist die so genannte Inverssuche, also die Suche nach dem
Namen zu einer gegebenen Telefonnummer.
Hintergrund
In den meisten Fällen wird das Domain Name System (DNS) verwendet, um zu einem
Domain-Namen die zugehörige IP-Adresse zu ermitteln. Es gibt aber auch die
umgekehrte Situation, bei der zu einer vorgegebenen IP-Adresse der Name benötigt
wird. Wenn diese Auflösung ermöglicht werden soll, wird eine reverse Domäne
angelegt.
Technik
Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten DomänenBaum nach der gewünschten IPv4-Adresse zu durchsuchen – es ist ja nicht bekannt, in
welchem Ast sich der gesuchte Eintrag befindet – wurde eine eigenständige Domäne für
inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren
lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer
IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0
und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiele:
10.in-addr.arpa oder 192.in-addr.arpa).
Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse
(Beispiel: 16.172.in-addr.arpa. enthält die IPv4-Adressen 172.16.x.y) und die unterste
Ebene schließlich die dritte Komponente (Beispiel: 2.0.192.in-addr.arpa enthält alle
bekannten IPv4-Adressen des Netzes 192.0.2.0/24 – also z. B. 192.0.2.69).
Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IPAdresskomponenten in umgekehrter Reihenfolge.
Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren
Schritten.
So kann beispielsweise das Netz 198.51.0.0/16 zunächst durch die reverse Domäne
51.198.in-addr.arpa. repräsentiert werden. Alle neu vergebenen IPv4-Adressen aus
diesem Segment werden dort eingetragen. Zu einem späteren Zeitpunkt können
Subdomänen angelegt werden (z. B. 100.51.198.in-addr.arpa).
Inverse Anfragen zu IP-Adressen, für die keine Subdomänen existieren, werden dabei
weiterhin über die globalen Domänen aufgelöst.
Reverse Domänen funktionieren genauso wie normale. Das gilt im Wesentlichen auch
für die entsprechenden Zonendateien (siehe: Zone). Am Anfang einer reversen Domäne
zugeordneten Zonendatei steht ein SOA Resource Record gefolgt von einem oder
mehreren NS Resource Records. Als weitere RR-Typen sind aber nur noch PTR
Resource Records zulässig.
Bei einem PTR-RR steht links eine IP-Adresse und rechts ein Name – im Gegensatz zum
A Resource Record, wo links ein Name und rechts eine IP-Adresse steht.
- 20 -
Bei IPv6-Adressen wird dieses Prinzip wieder verwendet. Zusätzlich zur bisherigen
Domäne wurde ip6.arpa eingeführt. Die hexadezimalen Ziffern der IPv6-Adressen
werden reverse nicht in Viererblöcken sondern einzeln notiert.
Quelle: Wikipedia, http://de.wikipedia.org/wiki/Reverse_DNS
- 21 -