Zum Inhalt springen

BIND/Installation: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
K Dirkwagner verschob die Seite BIND9/Installation nach BIND/Installation: Textersetzung - „BIND9“ durch „BIND“
DanielZorin (Diskussion | Beiträge)
Bürokraten, Page Ownership admin
630 Bearbeitungen
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
'''topic''' - Beschreibung
'''BIND/Installation''' - Installation eines autoritativen DNS-Servers mit BIND 9
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
Diese Anleitung beschreibt die Installation und Grundkonfiguration eines primären DNS-Servers mit '''BIND 9''' unter Debian/Ubuntu. Als Beispielumgebung dient der Schulungsraum 102 mit der internen Domain ''raum102.itw''. Der Nameserver übernimmt die Namensauflösung für Router, Server und Clients im lokalen Netz und kann optional durch einen sekundären Nameserver ergänzt werden.
== Anwendungen ==
 
=== Problembehebung ===
== Planung ==
== Aufruf ==
Vor der eigentlichen Installation werden Domänenname, Servername und IP-Adresse festgelegt und die Rolle des Servers definiert.
=== Optionen ===
 
=== Argumente ===
* Domain: '''raum102.itw'''
=== Umgebung ===
* Primärer DNS-Server: '''ns1.raum102.itw'''
=== Rückgabewert ===
* IP-Adresse: '''10.0.0.3'''
== Konfiguration ==
* Alias: '''nameserver1'''
=== Dateien ===
* DNS-Dienst: '''BIND 9'''
== Sicherheit ==
 
Der DNS-Server wird als autoritativer Nameserver für die Zone ''raum102.itw'' betrieben und stellt zusätzlich rekursive Auflösung für die internen Clients bereit.
 
== Voraussetzungen ==
 
=== Statische IP-Adresse konfigurieren ===
Der DNS-Server benötigt eine statische IPv4-Adresse.
 
1. Zum '''root'''-Benutzer wechseln.


== Siehe auch ==
<syntaxhighlight lang="bash" highlight="1" copy line>
=== Dokumentation ===
su -
==== RFC ====
</syntaxhighlight>
==== Man-Page ====
==== Info-Pages ====
=== Links ===
==== Projekt ====
==== Weblinks ====


2.&nbsp;Netzwerkschnittstelle ermitteln.


<syntaxhighlight lang="bash" highlight="1" copy line>
ip a
</syntaxhighlight>


3.&nbsp;Datei ''/etc/network/interfaces'' bearbeiten.


= Planung =
<syntaxhighlight lang="bash" highlight="1" copy line>
* Zu Beginn machen wir uns kurz Gedanken, wie die Domäne, der Servername und die IP-Adresse lauten sollen.
vi /etc/network/interfaces
* Weiter sollten wir uns überlegen, welchen Dienst wir hierfür einsetzen möchten.
</syntaxhighlight>


Primary DNS-Server
Beispielkonfiguration für die Schnittstelle ''enp2s0'':
Domain: raum102.itw
Servername: ns1.raum102.itw
IP-Address: 10.0.0.3
Alias: nameserver1


Als DNS-Dienst wird [[BIND]] verwendet.
<syntaxhighlight lang="ini" highlight="" copy line>
# In dieser Datei werden die Schnittstellen bekannt gemacht und
# konfiguriert. (weitere Informationen enthält die Manpage)


=Vorbedingungen=
# Sollte man die Schnittstellen in jeweils eigenen Dateien angelegt
Bevor wir den eigentlichen DNS Dienst installieren, müssen wir noch einige Vorkehrungen treffen.
# haben, werden diese hiermit eingebunden
source /etc/network/interfaces.d/*


==Statische IP setzen==
# LOOPBACK INTERFACE (localhost) --> nicht verändern
# Zum root User wechseln
auto lo
$ su -
iface lo inet loopback
# Schnittstellenbezeichnung herausfinden
# ip a
# interfaces Datei bearbeiten
# vi /etc/network/interfaces


# DNS INTERFACE
# Bereitstellung beim Hochfahren
auto enp2s0
# Konfiguration der statischen Adressinformationen
iface enp2s0 inet static
        address 10.0.0.3/8
        gateway 10.0.0.1


Das resolvconf Paket muss installiert sein, wenn man die Namesserver in die /etc/network/interfaces eintragen will! Wir tragen  die Nameserver allerdings in die /etc/resolv.conf ein und brauchen das Paket somit nicht. Wir müssen allerdings sicherstellen, dass wir eine IP-Adresse nutzen, die im Adressbereich liegt den unser Router auch kennt. Als Nameserver nutzen wir zu Beginn am besten 8.8.8.8.
# Bekanntmachung der Routen bei jedem Start (somit persistent)
post-up ip route add 10.10.0.0/16 via 10.0.0.1
post-up ip route add 10.20.0.0/16 via 10.0.0.1
post-up ip route add 10.30.0.0/16 via 10.0.0.1
</syntaxhighlight>


Anfangs wird ein externer Nameserver (z. B. 8.8.8.8) verwendet, damit Paketinstallationen funktionieren:


<u>[https://wiki.ubuntuusers.de/interfaces/ /etc/network/interfaces]</u>
<syntaxhighlight lang="bash" highlight="1" copy line>
# In dieser Datei werden die Schnittstellen bekannt gemacht und
vi /etc/resolv.conf
# konfiguriert. (weitere Informationen enthält die Manpage)
</syntaxhighlight>
# Sollte man die Schnittstellen in jeweils eigenen Dateien angelegt
# haben, werden diese hiermit eingebunden
source /etc/network/interfaces.d/*
# LOOPBACK INTERFACE (localhost) --> nicht verändern
auto lo
iface lo inet loopback
# DNS INTERFACE
# Bereitstellung beim Hochfahren
auto enp2s0
# Konfiguration der statischen Adressinformationen
iface enp2s0 inet static
        address 10.0.0.3/8
        gateway 10.0.0.1
# Bekanntmachung der Routen bei jedem Start (somit persistent)
post-up ip route add 10.10.0.0/16 via 10.0.0.1
post-up ip route add 10.20.0.0/16 via 10.0.0.1
post-up ip route add 10.30.0.0/16 via 10.0.0.1


<syntaxhighlight lang="ini" highlight="1" copy line>
# Der zu nutzende Nameserver
nameserver 8.8.8.8
</syntaxhighlight>


:4. resolv.conf Datei bearbeiten
* Das Paket ''resolvconf'' wird nicht benötigt, solange die Nameserver direkt in ''/etc/resolv.conf'' eingetragen werden.
# vi /etc/resolv.conf
* Die gewählte IP-Adresse muss im vom Router gerouteten Adressbereich liegen.


Anschließend wird der Netzwerkdienst neu gestartet und die Konfiguration geprüft:


<u>[https://wiki.archlinux.de/title/Resolv.conf /etc/resolv.conf]</u>
<syntaxhighlight lang="bash" highlight="1" copy line>
# Der zu nutzende Nameserver
systemctl restart networking.service
nameserver 8.8.8.8
</syntaxhighlight>


<syntaxhighlight lang="bash" highlight="1" copy line>
ip a
</syntaxhighlight>


:5. Jetzt den Dienst neu starten
<syntaxhighlight lang="bash" highlight="1" copy line>
# systemctl restart networking.service
ip r
</syntaxhighlight>


=== Betriebssystem aktualisieren ===
Vor der Installation von BIND wird das System aktualisiert:


:6. Mit ~# ip a und ~# ip r überprüfen ob unsere Einträge greifen.
<syntaxhighlight lang="bash" highlight="1" copy line>
apt update && apt upgrade
</syntaxhighlight>


==Packetliste und Packete updaten==
== Installation von bind9 ==
# apt update && apt upgrade <br>
Die Installation erfolgt über die Paketverwaltung:


= Beispiel =
<syntaxhighlight lang="bash" highlight="1" copy line>
Wir haben für den Schulungsraum 102 einen eigenen DNS-Server aufgesetzt um eine Namensauflösung aller Router, Server und Clients zu ermöglichen. <br>
apt install -y bind9 bind9utils bind9-doc dnsutils
Die Domain lautet hier raum102.itw. Wie wir dies realisiert haben erläutern wir im weiteren Verlauf.
</syntaxhighlight>


== Konventionen ==
Die Konfigurationsdateien von BIND befinden sich anschließend unter ''/etc/bind''. Dort werden auch die Zonendateien abgelegt.
Zu Beginn machen wir uns kurz Gedanken wie die Domäne, der Servername und die IP-Adresse lauten sollen. <br>
Weiter sollten wir uns überlegen, welchen Dienst wir hierfür einsetzen möchten.


Primary DNS-Server
== Zonendateien anlegen ==
Domain: raum102.itw
Damit der DNS-Server ordnungsgemäß arbeiten kann, werden eine Forward- und eine Reverse-Zone für ''raum102.itw'' angelegt.
Servername: ns1.raum102.itw
IP-Address: 10.0.0.3
Alias: nameserver1


Als DNS-Dienst wollen wir [[# bind9 installieren|bind9]] verwenden.
=== Resource Records kurz erklärt ===
In den Zonendateien werden unterschiedliche Resource Records (RR) verwendet:


==Vorraussetzungen==
* '''SOA''' (Start of Authority) – enthält u. a. Seriennummer und Gültigkeitsdauern der Zone.
* '''Serial''' – Seriennummer der Zone, wird bei jeder Änderung inkrementiert (oft im Format JJJJMMTTVV, z. B. ''2019092301'').
* '''Refresh''' – Intervall in Sekunden, in dem sekundäre Nameserver die SOA vom Master abfragen.
* '''Retry''' – Intervall in Sekunden für erneute Abfragen, falls der Master nicht erreichbar ist (kleiner als ''Refresh'').
* '''Expire''' – Zeit in Sekunden, nach deren Ablauf sekundäre Nameserver keine Antworten mehr für die Zone geben, wenn der Master nicht erreichbar ist (größer als ''Refresh + Retry'').
* '''TTL''' – Zeit in Sekunden, wie lange die Einträge im Cache gültig bleiben dürfen.
* '''NS''' – Delegierung auf zuständige Nameserver.
* '''A''' – ordnet einem Namen eine IPv4-Adresse zu.
* '''AAAA''' – ordnet einem Namen eine IPv6-Adresse zu (im Beispiel nicht verwendet).
* '''CNAME''' – Alias, verweist von einem Namen auf einen anderen Namen.
* '''MX''' – Mail-Exchanger-Eintrag (im Beispiel nicht verwendet).
* '''PTR''' – ordnet einer IP-Adresse einen Namen zu (Reverse Lookup).
* '''TXT''' – freier Text zu einem Namen (z. B. für Anti-Spam-Mechanismen; im Beispiel nicht verwendet).


====Betriebssystem aktualisieren====
=== Forward lookup Zone anlegen ===
# apt update && apt upgrade
Die Forward-Zone für ''raum102.itw'' wird in der Datei ''/etc/bind/fwd.raum102.itw'' angelegt:


====Statische IP setzen====
<syntaxhighlight lang="bash" highlight="1" copy line>
# vi /etc/network/interfaces<br>
vi /etc/bind/fwd.raum102.itw
# vi /etc/resolv.conf
</syntaxhighlight>


==bind9 installieren==
<syntaxhighlight lang="ini" highlight="" copy line>
# apt install -y bind9 bind9utils bind9-doc dnsutils
;
; BIND forward zone file for raum102.itw
;


===Zonendateien anlegen===
$TTL    604800
=====Resource Records kurz erklärt=====
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
'''SOA - enthält z.B Seriennummer, Gultigkeitsdauer ...'''
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
                     2019092301        ; Serial
                     2019092301        ; Serial
                         604800        ; Refresh
                         604800        ; Refresh
Zeile 134: Zeile 150:
                         604800 )      ; Negative Cache TTL
                         604800 )      ; Negative Cache TTL


'''SOA''' bedeutet Start of Authority (dt. Beginn der Zuständigkeit) und ist wichtiger Bestandteil einer Zonendatei im DNS.
;Name Server Information
'''Seriel''' wird bei jeder Änderung inkrementiert (vorzugsweise JJJJMMTTVV; dient als Hinweis, wann die Zone zuletzt aktualisiert wurde.
                IN      NS      ns1.raum102.itw.
'''Refresh''' Sekundenabstand, in dem sekundäre Nameserver die Seriennummer vom primären Master abfragen sollen, um Änderungen der Zone festzustellen.
'''Retry''' Sekundenabstand, in dem, bei ausbleibender Antwort des Masters, sekundäre Nameserver nochmals seine Seriennummer abfragen sollen. Dieser Wert muss kleiner als jener zum Refresh sein.
'''Expire''' Sekundenabstand, nach dem bei ausbleibender Antwort des Masters sekundäre Nameserver keine Antworten über die Zone mehr geben sollen. Dieser Wert muss größer als die Summe jener zum Refresh und Retry sein.
'''TTL''' gibt in Sekunden an, wie lange dieser RR in einem Cache gültig sein darf.


'''NS - Delegierung der Nameserver untereinander'''
;IP address of Name Server
                IN      NS      ns1.raum102.itw.
ns1            IN      A      10.0.0.3


'''A - weist einem Namen eine IPv4-Adresse zu'''
;A - Record HostName To Ip Address
;IP address of Name Server
nfs            IN      A      10.0.0.140
ns1            IN      A      10.0.0.3
bup            IN      A      10.0.0.141
r1              IN      A      10.0.0.1
;A - Record HostName To Ip Address
r2              IN      A      10.0.0.2
nfs            IN      A      10.0.0.140
bup            IN      A      10.0.0.141
r1              IN      A      10.0.0.1
r2              IN      A      10.0.0.2


'''AAAA - weist einem Namen eine IPv6-Adresse zu'''
;CNAME record
;wird hier nicht verwendet
nameserver1    IN      CNAME  ns1.raum102.itw.
fileserver      IN      CNAME  nfs.raum102.itw.
backupserver    IN      CNAME  bup.raum102.itw.
router01        IN      CNAME  r1.raum102.itw.
router02        IN      CNAME  r2.raum102.itw.
</syntaxhighlight>


'''CNAME - verweist von einem Namen auf einen anderen Namen (Alias)'''
=== Reverse lookup Zone anlegen ===
;CNAME record
Die Reverse-Zone für das Netz 10.0.0.0/8 wird in der Datei ''/etc/bind/rev.raum102.itw'' angelegt:
nameserver1    IN      CNAME  ns1.raum102.itw.
fileserver      IN      CNAME  nfs.raum102.itw.
backupserver    IN      CNAME  bup.raum102.itw.
router01        IN      CNAME  r1.raum102.itw.
router02        IN      CNAME  r2.raum102.itw.


'''MX - weist einem Namen einen Mailserver zu (SMTP)'''
<syntaxhighlight lang="bash" highlight="1" copy line>
;wird hier nicht verwendet
vi /etc/bind/rev.raum102.itw
</syntaxhighlight>


'''PTR - weist einer IP-Adresse einen Namen zu (Reverse Lookup)
<syntaxhighlight lang="ini" highlight="" copy line>
;Reverse lookup for Name Server
;
3      IN      PTR    ns1.raum102.itw.
; BIND reverse zone file for raum102.itw
;
;PTR Record IP address to HostName
140    IN      PTR    nfs.raum102.itw.
141    IN      PTR    bup.raum102.itw.
1      IN      PTR    r1.raum102.itw.
2      IN      PTR    r2.raum102.itw.


'''TXT - kann einem Namen einen frei definierbaren Text zuweisen (Abwehr von Spam)
$TTL    604800
;wird hier nicht verwendet
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
                    2019092301        ; Serial
                        604800        ; Refresh
                          86400        ; Retry
                        2419200        ; Expire
                        604800 )       ; Negative Cache TTL


====Forward lookup Zone anlegen====
;Name Server Information
'''# vi /etc/bind/fwd.raum102.itw'''
        IN      NS      ns1.raum102.itw.
;
; BIND forward zone file for raum102.itw
;
$TTL    604800
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
                      2019092301        ; Serial
                          604800        ; Refresh
                          86400        ; Retry
                        2419200        ; Expire
                          604800 )      ; Negative Cache TTL
;@      IN      NS      localhost.
;@      IN      A      127.0.0.1
;@      IN      AAAA    ::1
;Name Server Information
                IN      NS      ns1.raum102.itw.
;IP address of Name Server
ns1            IN      A      10.0.0.3
;A - Record HostName To Ip Address
nfs            IN      A      10.0.0.140
bup            IN      A      10.0.0.141
r1              IN      A      10.0.0.1
r2              IN      A      10.0.0.2
 
;CNAME record
nameserver1    IN      CNAME  ns1.raum102.itw.
fileserver      IN      CNAME  nfs.raum102.itw.
backupserver    IN      CNAME  bup.raum102.itw.
router01        IN      CNAME  r1.raum102.itw.
router02        IN      CNAME  r2.raum102.itw.


====Reverse lookup Zone anlegen====
;Reverse lookup for Name Server
'''# vi /etc/bind/rev.raum102.itw'''
3      IN      PTR    ns1.raum102.itw.
;
; BIND reverse zone file for raum102.itw
;
$TTL    604800
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
                      2019092301        ; Serial
                          604800        ; Refresh
                          86400        ; Retry
                        2419200        ; Expire
                          604800 )      ; Negative Cache TTL
;Name Server Information
        IN      NS      ns1.raum102.itw.
;Reverse lookup for Name Server
3      IN      PTR    ns1.raum102.itw.
;PTR Record IP address to HostName
140    IN      PTR    nfs.raum102.itw.
141    IN      PTR    bup.raum102.itw.
1      IN      PTR    r1.raum102.itw.
2      IN      PTR    r2.raum102.itw.


===Zonendateien einbinden===
;PTR Record IP address to HostName
'''# vi /etc/bind/named.conf.local'''
140    IN      PTR    nfs.raum102.itw.
141    IN     PTR    bup.raum102.itw.
zone "raum102.itw" IN {                        //domain name (forward zone)
1       IN      PTR    r1.raum102.itw.
      type master;                              //primary DNS
2       IN      PTR    r2.raum102.itw.
      file "/etc/bind/fwd.raum102.itw";          //forward zone file
</syntaxhighlight>
       allow-update { none; };                    //none, because its primary DNS
};
zone "0.0.10.in-addr.arpa" IN {                //reverse zone
       type master;                              //primary DNS
      file "/etc/bind/rev.raum102.itw";          //reverse zone file
      allow-update { none; };                    //none, because its primary DNS
};


===Konfiguration eines sekundären DNS-Servers===
=== Zonendateien einbinden ===
* Um Ausfallsicherheit zu gewährleisten, kann es sinnvoll sein, mehrere DNS-Server zu betreiben.
Die neuen Zonendateien werden in ''/etc/bind/named.conf.local'' referenziert:
* Tatsächlich ist es sogar vorgeschrieben, dass eine öffentlich zugängliche Domain von mindestens zwei Servern bedient werden muss.
* Oft sind es sogar fünf oder mehr. In einem privaten Netz kommt man dagegen in der Regel mit einem aus.
* Damit man die verschiedenen Server aber nicht alle einzeln konfigurieren muss, und sich bei routinemäßigen Veränderungen der Zonen Fehler bzw.&nbsp;Abweichungen zwischen den Zonendaten einschleichen, gibt es Zonentransfers.
* Dafür werden die Daten dann immer nur auf einem primären Nameserver angepasst und dieser transferiert die aktuellen Zonendaten dann an einen oder mehrere sekundäre Server weiter, so dass die Daten immer konsistent bleiben.
* Für einen Client macht es keinen Unterschied, ob er mit einem primären oder einem sekundären Server kommunizieret.
'''Änderungen auf dem primären Server'''


* Als erstes muss man dem primären Server beibringen, an welche Rechner er die Zonendaten überhaupt übertragen darf.
<syntaxhighlight lang="bash" highlight="1" copy line>
* Das passiert in der Datei /etc/bind/named.conf.options, wo man irgendwo im durch geschweifte Klammern eingefassten options-Block Folgendes einträgt:
vi /etc/bind/named.conf.local
</syntaxhighlight>


allow-transfer { 192.168.0.200; };
<syntaxhighlight lang="ini" highlight="" copy line>
notify yes;
zone "raum102.itw" IN {                        // domain name (forward zone)
    type master;                              // primary DNS
    file "/etc/bind/fwd.raum102.itw";          // forward zone file
    allow-update { none; };                   // none, because it's primary DNS
};


allow-transfer gibt dabei an, welchen Hosts ein Zonentransfer erlaubt werden soll. Die Angabe mehrerer IP-Adressen hintereinander ist möglich, es sollte jedoch unbedingt darauf geachtet werden, dass kein Semikolon fehlt. Die Direktive notify yes gibt an, dass der primäre Server seine Stellvertreter von selbst darauf aufmerksam macht, sobald aktualisierte Zonendateien verfügbar sind.
zone "0.0.10.in-addr.arpa" IN {                // reverse zone
    type master;                              // primary DNS
    file "/etc/bind/rev.raum102.itw";          // reverse zone file
    allow-update { none; };                    // none, because it's primary DNS
};
</syntaxhighlight>


; Nach den Änderungen muss der Dienst neu gestartet werden
== Konfiguration eines sekundären DNS-Servers ==
Zur Erhöhung der Ausfallsicherheit kann ein sekundärer Nameserver (Slave) eingerichtet werden. Öffentliche Zonen sollten mindestens zwei autoritative Nameserver besitzen.


* Die Unterscheidung zwischen alten und neuen Daten erfolgt ausschließlich über die Seriennummer im SOA-Header der Zone.
=== Änderungen auf dem primären Server ===
* Wenn man beim Editieren vergisst, diese zu erhöhen, findet kein Zonentransfer statt und die Slaves arbeiten mit den veralteten Daten weiter.
Auf dem primären Server wird in ''/etc/bind/named.conf.options'' festgelegt, welche Hosts Zonentransfers erhalten dürfen und ob diese aktiv benachrichtigt werden:


==Einrichtung des sekundären Servers==
<syntaxhighlight lang="bash" highlight="1" copy line>
vi /etc/bind/named.conf.options
</syntaxhighlight>


* Als erstes muss in der Datei named.conf.options eingetragen werden, von welchem Host die Benachrichtigungen kommen werden:
Innerhalb des ''options''-Blocks:
allow-notify { 192.168.0.10; };


* Dann müssen in named.conf.local die Zonen eingetragen werden, für die der Server als Slave agieren soll, und wer sein Meister ist:
<syntaxhighlight lang="ini" highlight="" copy line>
zone "domainname" {
allow-transfer { 192.168.0.200; };
        type slave;
notify yes;
        masters { 192.168.0.10; };
</syntaxhighlight>
        file "back/domainname.bak";
};


zone "0.168.192.in-addr.arpa" {
* ''allow-transfer'' definiert die Liste der IP-Adressen, an die Zonentransfers erlaubt sind (mehrere IP-Adressen sind möglich).
        type slave;
* ''notify yes'' bewirkt, dass der Master seine Slaves aktiv informiert, sobald aktualisierte Zonendateien vorliegen.
        masters { 192.168.0.10; };
        file "back/0.168.192.bak";
};


* Die File-Direktiven zeigen in diesem Fall nicht auf existierende Zonendateien, sondern auf den Ort, wo der Server die erhaltenen Zonendaten ablegen soll.
Wichtig: Die Unterscheidung zwischen alten und neuen Zonendaten erfolgt ausschließlich über die ''Serial'' im SOA-Record. Wird die Seriennummer bei Änderungen nicht erhöht, findet kein Zonentransfer statt und die Slaves behalten veraltete Daten.
* In diesem Fall im Verzeichnis back im Bind-Homeverzeichnis /var/cache/bind. Da dieses noch nicht existiert, muss es erst passend angelegt werden:
$ sudo mkdir /var/cache/bind/back
$ sudo chown bind /var/cache/bind/back


* Eigene Zonendateien besitzt ein sekundärer Nameserver nicht.
Nach Änderungen an der Konfiguration wird der Dienst neu gestartet:
* Natürlich muss der Dienst auch hier nach der Änderung neu gestartet werden. Getestet werden kann er dann genau wie ein primärer Server.


===Syntax der named.conf.* und der Zonendateien überprüfen===
<syntaxhighlight lang="bash" highlight="1" copy line>
'''# named-checkzone raum102.itw /etc/bind/fwd.raum102.itw'''
systemctl restart bind9
zone raum102.itw/IN: loaded serial 20
</syntaxhighlight>
OK
'''# named-checkzone 0.0.10-in-addr.arpa /etc/bind/rev.raum102.itw'''
zone 0.0.10-in-addr.arpa/IN: loaded serial 20
OK


===bind9 Installation abschließen===
=== Einrichtung des sekundären Servers ===
# systemctl restart bind9
Auf dem sekundären Server wird zunächst festgelegt, von welchem Host Benachrichtigungen akzeptiert werden:
# systemctl enable bind9
# systemctl status bind9
# vi /etc/resolv.conf --> nameserver 10.0.0.3
# service networking restart


==Namensauflösung testen==
<syntaxhighlight lang="bash" highlight="1" copy line>
[[Datei:WiresharkDNS1.png|Ablaufverfolgung der Namensauflösung]]
vi /etc/bind/named.conf.options
'''# dig google.de'''
</syntaxhighlight>
 
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> google.de
<syntaxhighlight lang="ini" highlight="" copy line>
;; global options: +cmd
allow-notify { 192.168.0.10; };
;; Got answer:
</syntaxhighlight>
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3983
 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9
Anschließend werden in ''/etc/bind/named.conf.local'' die Zonen eingetragen, für die der Server als Slave agieren soll, sowie die Master-Adressen definiert:
 
;; OPT PSEUDOSECTION:
<syntaxhighlight lang="bash" highlight="1" copy line>
; EDNS: version: 0, flags:; udp: 4096
vi /etc/bind/named.conf.local
; COOKIE: bea27b6c0abfa5c4d5c979555d8b180addb5f0df1c69bfd0 (good)
</syntaxhighlight>
;; QUESTION SECTION:
 
;google.de.                    IN      A
<syntaxhighlight lang="ini" highlight="" copy line>
zone "domainname" {
;; ANSWER SECTION:
      type slave;
google.de.             300    IN      A      172.217.17.35
      masters { 192.168.0.10; };
      file "back/domainname.bak";
;; AUTHORITY SECTION:
};
google.de.             83363  IN      NS      ns1.google.com.
 
google.de.             83363  IN      NS      ns2.google.com.
zone "0.168.192.in-addr.arpa" {
google.de.              83363  IN      NS      ns3.google.com.
      type slave;
google.de.              83363  IN      NS      ns4.google.com.
      masters { 192.168.0.10; };
      file "back/0.168.192.bak";
;; ADDITIONAL SECTION:
};
ns1.google.com.        168448  IN      A      216.239.32.10
</syntaxhighlight>
ns2.google.com.        168448  IN      A      216.239.34.10
 
ns3.google.com.        168448  IN      A      216.239.36.10
Die mit ''file'' angegebenen Dateien müssen nicht existieren; BIND legt sie beim ersten Zonentransfer automatisch an. Im Beispiel werden sie im Verzeichnis ''/var/cache/bind/back'' gespeichert, das vorab erzeugt und mit passenden Rechten versehen wird:
ns4.google.com.        168448  IN      A      216.239.38.10
 
ns1.google.com.        168448  IN      AAAA    2001:4860:4802:32::a
<syntaxhighlight lang="bash" highlight="" copy line>
ns2.google.com.         168448  IN      AAAA    2001:4860:4802:34::a
mkdir /var/cache/bind/back
ns3.google.com.        168448  IN      AAAA    2001:4860:4802:36::a
chown bind /var/cache/bind/back
ns4.google.com.        168448  IN      AAAA    2001:4860:4802:38::a
</syntaxhighlight>
 
;; Query time: 20 msec
Der sekundäre Nameserver besitzt keine eigenen Zonendateien; alle Zonendaten stammen vom Master. Nach der Konfiguration wird der Dienst neu gestartet:
;; <span style="background:yellow">SERVER: 10.0.0.3#53(10.0.0.3)</span>
 
;; WHEN: Mi Sep 25 09:32:26 CEST 2019
<syntaxhighlight lang="bash" highlight="1" copy line>
;; MSG SIZE  rcvd: 340
systemctl restart bind9
</syntaxhighlight>
 
== Syntax der named.conf.* und der Zonendateien überprüfen ==
Mit ''named-checkconf'' wird die Syntax der globalen Konfiguration (''named.conf'' und eingebundene Dateien) geprüft:
 
<syntaxhighlight lang="bash" highlight="1" copy line>
named-checkconf
</syntaxhighlight>
 
Die Zonendateien werden mit ''named-checkzone'' validiert:
 
<syntaxhighlight lang="bash" highlight="" copy line>
named-checkzone raum102.itw /etc/bind/fwd.raum102.itw
named-checkzone 0.0.10.in-addr.arpa /etc/bind/rev.raum102.itw
</syntaxhighlight>
 
Beispielausgabe:


<syntaxhighlight lang="ini" highlight="" copy line>
= [https://wiki.ubuntuusers.de/DNS-Server_Bind/ bind9] installieren =
zone raum102.itw/IN: loaded serial 2019092301
# apt install -y bind9 bind9utils bind9-doc dnsutils
OK


zone 0.0.10.in-addr.arpa/IN: loaded serial 2019092301
OK
</syntaxhighlight>


In /etc/bind/ liegen nun die Konfigurationsdateien für bind9 hier werden wir auch unsere sogenannten Zonendateien ablegen.
== bind9 Installation abschließen ==
Nach erfolgreicher Syntaxprüfung wird der Dienst aktiviert und der lokale Nameserver als Resolver eingetragen.


== Zonendateien anlegen ==
:1. Dienst neu starten
Damit der DNS Server ordnungsgemäss arbeiten kann benötigt dieser entsprechende Zonendateien.
<syntaxhighlight lang="bash" highlight="1" copy line>
systemctl restart bind9
</syntaxhighlight>


===Forward lookup Zone anlegen===
:2. Dienst beim Systemstart aktivieren
# vi /etc/bind/fwd.raum102.itw
<syntaxhighlight lang="bash" highlight="1" copy line>
systemctl enable bind9
</syntaxhighlight>


:3. Status prüfen
<syntaxhighlight lang="bash" highlight="1" copy line>
systemctl status bind9
</syntaxhighlight>


; /etc/bind/fwd.raum102.itw
Beispielausgabe:
;
; BIND forward zone file for raum102.itw
;
$TTL    604800
@      IN      SOA    ns1.raum102.itw. root.raum102.itw. (
                              20        ; Serial
                          604800        ; Refresh
                          86400        ; Retry
                        2419200        ; Expire
                          604800 )      ; Negative Cache TTL
;@      IN      NS      localhost.
;@      IN      A      127.0.0.1
;@      IN      AAAA    ::1
;Name Server Information
                IN      NS      ns1.raum102.itw.
;IP address of Name Server
ns1            IN      A      10.0.0.3
;A - Record HostName To Ip Address
nfs            IN      A      10.0.0.140
bup            IN      A      10.0.0.141
r1              IN      A      10.0.0.1
r2              IN      A      10.0.0.2
 
;CNAME record
nameserver1    IN      CNAME  ns1.raum102.itw.
fileserver      IN      CNAME  nfs.raum102.itw.
backupserver    IN      CNAME  bup.raum102.itw.
router01        IN      CNAME  r1.raum102.itw.
router02        IN      CNAME  r2.raum102.itw.


=== Reverse lookup Zone anlegen ===
<syntaxhighlight lang="ini" highlight="" copy line>
  # vi /etc/bind/rev.raum102.itw
● bind9.service - BIND Domain Name Server
  Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
  Active: active (running) since Fri 2019-09-20 13:28:34 CEST; 1s ago
    Docs: man:named(8)
  Process: 1886 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
  Main PID: 1887 (named)
    Tasks: 5 (limit: 4478)
  Memory: 12.2M
  CGroup: /system.slice/bind9.service
          └─1887 /usr/sbin/named -u bind
</syntaxhighlight>


:4. Resolver auf den neuen DNS-Server umstellen
<syntaxhighlight lang="bash" highlight="1" copy line>
vi /etc/resolv.conf
</syntaxhighlight>


; /etc/bind/rev.raum102.itw
<syntaxhighlight lang="ini" highlight="" copy line>
;
# Der zu nutzende Nameserver
; BIND reverse zone file for raum102.itw
nameserver 10.0.0.3
;
</syntaxhighlight>
$TTL    604800
@      IN      SOA    raum102.itw. root.raum102.itw. (
                              20        ; Serial
                          604800        ; Refresh
                          86400        ; Retry
                        2419200        ; Expire
                          604800 )      ; Negative Cache TTL
;Name Server Information
        IN      NS      ns1.raum102.itw.
;Reverse lookup for Name Server
3       IN      PTR    ns1.raum102.itw.
;PTR Record IP address to HostName
140    IN      PTR    nfs.raum102.itw.
141    IN      PTR    bup.raum102.itw.
1      IN      PTR    r1.raum102.itw.
2      IN      PTR    r2.raum102.itw.


==Zonendateien einbinden==
:5. Netzwerkdienst neu starten
# vi /etc/bind/named.conf.local
<syntaxhighlight lang="bash" highlight="1" copy line>service networking restart</syntaxhighlight>


:6. Konfiguration prüfen


; /etc/bind/named.conf.local
<syntaxhighlight lang="bash" highlight="1" copy line>
zone "raum102.itw" IN {                        //domain name (forward zone)
ip a
      type master;                              //primary DNS
</syntaxhighlight>
      file "/etc/bind/fwd.raum102.itw";          //forward zone file
      allow-update { none; };                    //none, because its primary DNS
};
zone "0.0.10.in-addr.arpa" IN {                //reverse zone
      type master;                              //primary DNS
      file "/etc/bind/rev.raum102.itw";          //reverse zone file
      allow-update { none; };                    //none, because its primary DNS
};


== Syntax der named.conf.* und der Zonendateien überprüfen ==
<syntaxhighlight lang="bash" highlight="1" copy line>
Mit dem Befehl named-checkconf wird die Syntax aller named.conf.* Dateien geprüft.
ip r
</syntaxhighlight>


Um die Zonendateien zu überprüfen verwenden wir named-checkzone
== Namensauflösung testen ==
Zur Funktionsprüfung kann die Namensauflösung mit '''dig''' getestet und bei Bedarf mit Wireshark mitgeschnitten werden.


# named-checkzone raum102.itw /etc/bind/fwd.raum102.itw
[[Datei:WiresharkDNS1.png|Ablaufverfolgung der Namensauflösung]]
zone raum102.itw/IN: loaded serial 20
OK


# named-checkzone 0.0.10-in-addr.arpa /etc/bind/rev.raum102.itw
Beispielabfrage:
zone 0.0.10-in-addr.arpa/IN: loaded serial 20
OK


== bind9 Installation abschließen ==
<syntaxhighlight lang="bash" highlight="1" copy line>dig google.de</syntaxhighlight>
:1. Service neu starten
# systemctl restart bind9


Beispielausgabe (Auszug):


:2. Bei jedem Systemstart laden
<syntaxhighlight lang="ini" highlight="" copy line>
# systemctl enable bind9
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3983
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: bea27b6c0abfa5c4d5c979555d8b180addb5f0df1c69bfd0 (good)
;; QUESTION SECTION:
;google.de.                    IN      A


:3. Status anzeigen lassen
;; ANSWER SECTION:
# systemctl status bind9
google.de.             300     IN      A       172.217.17.35
● bind9.service - BIND Domain Name Server
    Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
     Active: <span style="color:green;">active (running)</span> since Fri 2019-09-20 13:28:34 CEST; 1s ago
       Docs: man:named(8)
  Process: 1886 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
  Main PID: 1887 (named)
    Tasks: 5 (limit: 4478)
    Memory: 12.2M
    CGroup: /system.slice/bind9.service
            └─1887 /usr/sbin/named -u bind


:4. resolv.conf Datei bearbeiten
;; AUTHORITY SECTION:
# vi /etc/resolv.conf
google.de.              83363  IN      NS      ns1.google.com.
google.de.              83363  IN      NS      ns2.google.com.
google.de.              83363  IN      NS      ns3.google.com.
google.de.              83363  IN      NS      ns4.google.com.


;; ADDITIONAL SECTION:
ns1.google.com.        168448  IN      A      216.239.32.10
ns2.google.com.        168448  IN      A      216.239.34.10
ns3.google.com.        168448  IN      A      216.239.36.10
ns4.google.com.        168448  IN      A      216.239.38.10
ns1.google.com.        168448  IN      AAAA    2001:4860:4802:32::a
ns2.google.com.        168448  IN      AAAA    2001:4860:4802:34::a
ns3.google.com.        168448  IN      AAAA    2001:4860:4802:36::a
ns4.google.com.        168448  IN      AAAA    2001:4860:4802:38::a


<u>/etc/resolv.conf</u>
;; Query time: 20 msec
# Der zu nutzende Nameserver
;; SERVER: 10.0.0.3#53(10.0.0.3)
nameserver 10.0.0.3
;; WHEN: Mi Sep 25 09:32:26 CEST 2019
;; MSG SIZE  rcvd: 340
</syntaxhighlight>


Wichtig ist insbesondere die Zeile mit dem verwendeten Server:


:5. Jetzt den Dienst neu starten
* '''SERVER: 10.0.0.3#53(10.0.0.3)''' – die Anfrage wurde über den lokal eingerichteten BIND-Server beantwortet.
# service networking restart


<noinclude>


:6. Mit ~# ip a und ~# ip r überprüfen, ob unsere Einträge greifen.
== Anhang ==
=== Siehe auch ===
<div style="column-count:2">
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
</div>
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}


=== Dokumentation ===
<!--
; Man-Page
#


=Links=
; Info-Pages
==Interne Links==
-->


# [[Netzwerke:DNS]]
=== Links ===
==== Projekt ====
==== Weblinks ====


==Externe Links==
<!--
# https://de.wikipedia.org/wiki/Domain_Name_System
{{DEFAULTSORT:new}}
{{DISPLAYTITLE:new}}
-->


[[Kategorie:BIND]]
[[Kategorie:BIND]]
</noinclude>

Version vom 8. Dezember 2025, 10:35 Uhr

BIND/Installation - Installation eines autoritativen DNS-Servers mit BIND 9

Beschreibung

Diese Anleitung beschreibt die Installation und Grundkonfiguration eines primären DNS-Servers mit BIND 9 unter Debian/Ubuntu. Als Beispielumgebung dient der Schulungsraum 102 mit der internen Domain raum102.itw. Der Nameserver übernimmt die Namensauflösung für Router, Server und Clients im lokalen Netz und kann optional durch einen sekundären Nameserver ergänzt werden.

Planung

Vor der eigentlichen Installation werden Domänenname, Servername und IP-Adresse festgelegt und die Rolle des Servers definiert.

  • Domain: raum102.itw
  • Primärer DNS-Server: ns1.raum102.itw
  • IP-Adresse: 10.0.0.3
  • Alias: nameserver1
  • DNS-Dienst: BIND 9

Der DNS-Server wird als autoritativer Nameserver für die Zone raum102.itw betrieben und stellt zusätzlich rekursive Auflösung für die internen Clients bereit.

Voraussetzungen

Statische IP-Adresse konfigurieren

Der DNS-Server benötigt eine statische IPv4-Adresse.

1. Zum root-Benutzer wechseln. 

su -

2. Netzwerkschnittstelle ermitteln. 

ip a

3. Datei /etc/network/interfaces bearbeiten. 

vi /etc/network/interfaces

Beispielkonfiguration für die Schnittstelle enp2s0: 

# In dieser Datei werden die Schnittstellen bekannt gemacht und
# konfiguriert. (weitere Informationen enthält die Manpage)

# Sollte man die Schnittstellen in jeweils eigenen Dateien angelegt
# haben, werden diese hiermit eingebunden
source /etc/network/interfaces.d/*

# LOOPBACK INTERFACE (localhost) --> nicht verändern
auto lo
iface lo inet loopback

# DNS INTERFACE
# Bereitstellung beim Hochfahren
auto enp2s0
# Konfiguration der statischen Adressinformationen
iface enp2s0 inet static
        address 10.0.0.3/8
        gateway 10.0.0.1

# Bekanntmachung der Routen bei jedem Start (somit persistent)
post-up ip route add 10.10.0.0/16 via 10.0.0.1
post-up ip route add 10.20.0.0/16 via 10.0.0.1
post-up ip route add 10.30.0.0/16 via 10.0.0.1

Anfangs wird ein externer Nameserver (z. B. 8.8.8.8) verwendet, damit Paketinstallationen funktionieren: 

vi /etc/resolv.conf

# Der zu nutzende Nameserver
nameserver 8.8.8.8
  • Das Paket resolvconf wird nicht benötigt, solange die Nameserver direkt in /etc/resolv.conf eingetragen werden.
  • Die gewählte IP-Adresse muss im vom Router gerouteten Adressbereich liegen.

Anschließend wird der Netzwerkdienst neu gestartet und die Konfiguration geprüft: 

systemctl restart networking.service

ip a

ip r

Betriebssystem aktualisieren

Vor der Installation von BIND wird das System aktualisiert: 

apt update && apt upgrade

Installation von bind9

Die Installation erfolgt über die Paketverwaltung: 

apt install -y bind9 bind9utils bind9-doc dnsutils

Die Konfigurationsdateien von BIND befinden sich anschließend unter /etc/bind. Dort werden auch die Zonendateien abgelegt.

Zonendateien anlegen

Damit der DNS-Server ordnungsgemäß arbeiten kann, werden eine Forward- und eine Reverse-Zone für raum102.itw angelegt.

Resource Records kurz erklärt

In den Zonendateien werden unterschiedliche Resource Records (RR) verwendet:

  • SOA (Start of Authority) – enthält u. a. Seriennummer und Gültigkeitsdauern der Zone.
  • Serial – Seriennummer der Zone, wird bei jeder Änderung inkrementiert (oft im Format JJJJMMTTVV, z. B. 2019092301).
  • Refresh – Intervall in Sekunden, in dem sekundäre Nameserver die SOA vom Master abfragen.
  • Retry – Intervall in Sekunden für erneute Abfragen, falls der Master nicht erreichbar ist (kleiner als Refresh).
  • Expire – Zeit in Sekunden, nach deren Ablauf sekundäre Nameserver keine Antworten mehr für die Zone geben, wenn der Master nicht erreichbar ist (größer als Refresh + Retry).
  • TTL – Zeit in Sekunden, wie lange die Einträge im Cache gültig bleiben dürfen.
  • NS – Delegierung auf zuständige Nameserver.
  • A – ordnet einem Namen eine IPv4-Adresse zu.
  • AAAA – ordnet einem Namen eine IPv6-Adresse zu (im Beispiel nicht verwendet).
  • CNAME – Alias, verweist von einem Namen auf einen anderen Namen.
  • MX – Mail-Exchanger-Eintrag (im Beispiel nicht verwendet).
  • PTR – ordnet einer IP-Adresse einen Namen zu (Reverse Lookup).
  • TXT – freier Text zu einem Namen (z. B. für Anti-Spam-Mechanismen; im Beispiel nicht verwendet).

Forward lookup Zone anlegen

Die Forward-Zone für raum102.itw wird in der Datei /etc/bind/fwd.raum102.itw angelegt: 

vi /etc/bind/fwd.raum102.itw

;
; BIND forward zone file for raum102.itw
;

$TTL    604800
@       IN      SOA     ns1.raum102.itw. root.raum102.itw. (
                     2019092301         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

;Name Server Information
                IN      NS      ns1.raum102.itw.

;IP address of Name Server
ns1             IN      A       10.0.0.3

;A - Record HostName To Ip Address
nfs             IN      A       10.0.0.140
bup             IN      A       10.0.0.141
r1              IN      A       10.0.0.1
r2              IN      A       10.0.0.2

;CNAME record
nameserver1     IN      CNAME   ns1.raum102.itw.
fileserver      IN      CNAME   nfs.raum102.itw.
backupserver    IN      CNAME   bup.raum102.itw.
router01        IN      CNAME   r1.raum102.itw.
router02        IN      CNAME   r2.raum102.itw.

Reverse lookup Zone anlegen

Die Reverse-Zone für das Netz 10.0.0.0/8 wird in der Datei /etc/bind/rev.raum102.itw angelegt: 

vi /etc/bind/rev.raum102.itw

;
; BIND reverse zone file for raum102.itw
;

$TTL    604800
@       IN      SOA     ns1.raum102.itw. root.raum102.itw. (
                     2019092301         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

;Name Server Information
        IN      NS      ns1.raum102.itw.

;Reverse lookup for Name Server
3       IN      PTR     ns1.raum102.itw.

;PTR Record IP address to HostName
140     IN      PTR     nfs.raum102.itw.
141     IN      PTR     bup.raum102.itw.
1       IN      PTR     r1.raum102.itw.
2       IN      PTR     r2.raum102.itw.

Zonendateien einbinden

Die neuen Zonendateien werden in /etc/bind/named.conf.local referenziert: 

vi /etc/bind/named.conf.local

zone "raum102.itw" IN {                         // domain name (forward zone)
     type master;                               // primary DNS
     file "/etc/bind/fwd.raum102.itw";          // forward zone file
     allow-update { none; };                    // none, because it's primary DNS
};

zone "0.0.10.in-addr.arpa" IN {                 // reverse zone
     type master;                               // primary DNS
     file "/etc/bind/rev.raum102.itw";          // reverse zone file
     allow-update { none; };                    // none, because it's primary DNS
};

Konfiguration eines sekundären DNS-Servers

Zur Erhöhung der Ausfallsicherheit kann ein sekundärer Nameserver (Slave) eingerichtet werden. Öffentliche Zonen sollten mindestens zwei autoritative Nameserver besitzen.

Änderungen auf dem primären Server

Auf dem primären Server wird in /etc/bind/named.conf.options festgelegt, welche Hosts Zonentransfers erhalten dürfen und ob diese aktiv benachrichtigt werden: 

vi /etc/bind/named.conf.options

Innerhalb des options-Blocks: 

allow-transfer { 192.168.0.200; };
notify yes;
  • allow-transfer definiert die Liste der IP-Adressen, an die Zonentransfers erlaubt sind (mehrere IP-Adressen sind möglich).
  • notify yes bewirkt, dass der Master seine Slaves aktiv informiert, sobald aktualisierte Zonendateien vorliegen.

Wichtig: Die Unterscheidung zwischen alten und neuen Zonendaten erfolgt ausschließlich über die Serial im SOA-Record. Wird die Seriennummer bei Änderungen nicht erhöht, findet kein Zonentransfer statt und die Slaves behalten veraltete Daten.

Nach Änderungen an der Konfiguration wird der Dienst neu gestartet: 

systemctl restart bind9

Einrichtung des sekundären Servers

Auf dem sekundären Server wird zunächst festgelegt, von welchem Host Benachrichtigungen akzeptiert werden: 

vi /etc/bind/named.conf.options

allow-notify { 192.168.0.10; };

Anschließend werden in /etc/bind/named.conf.local die Zonen eingetragen, für die der Server als Slave agieren soll, sowie die Master-Adressen definiert: 

vi /etc/bind/named.conf.local

zone "domainname" {
       type slave;
       masters { 192.168.0.10; };
       file "back/domainname.bak";
};

zone "0.168.192.in-addr.arpa" {
       type slave;
       masters { 192.168.0.10; };
       file "back/0.168.192.bak";
};

Die mit file angegebenen Dateien müssen nicht existieren; BIND legt sie beim ersten Zonentransfer automatisch an. Im Beispiel werden sie im Verzeichnis /var/cache/bind/back gespeichert, das vorab erzeugt und mit passenden Rechten versehen wird: 

mkdir /var/cache/bind/back
chown bind /var/cache/bind/back

Der sekundäre Nameserver besitzt keine eigenen Zonendateien; alle Zonendaten stammen vom Master. Nach der Konfiguration wird der Dienst neu gestartet: 

systemctl restart bind9

Syntax der named.conf.* und der Zonendateien überprüfen

Mit named-checkconf wird die Syntax der globalen Konfiguration (named.conf und eingebundene Dateien) geprüft: 

named-checkconf

Die Zonendateien werden mit named-checkzone validiert: 

named-checkzone raum102.itw /etc/bind/fwd.raum102.itw
named-checkzone 0.0.10.in-addr.arpa /etc/bind/rev.raum102.itw

Beispielausgabe: 

zone raum102.itw/IN: loaded serial 2019092301
OK

zone 0.0.10.in-addr.arpa/IN: loaded serial 2019092301
OK

bind9 Installation abschließen

Nach erfolgreicher Syntaxprüfung wird der Dienst aktiviert und der lokale Nameserver als Resolver eingetragen.

1. Dienst neu starten
systemctl restart bind9
2. Dienst beim Systemstart aktivieren
systemctl enable bind9
3. Status prüfen
systemctl status bind9

Beispielausgabe: 

● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-09-20 13:28:34 CEST; 1s ago
     Docs: man:named(8)
  Process: 1886 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 1887 (named)
    Tasks: 5 (limit: 4478)
   Memory: 12.2M
   CGroup: /system.slice/bind9.service
           └─1887 /usr/sbin/named -u bind
4. Resolver auf den neuen DNS-Server umstellen
vi /etc/resolv.conf

# Der zu nutzende Nameserver
nameserver 10.0.0.3
5. Netzwerkdienst neu starten
service networking restart
6. Konfiguration prüfen
ip a

ip r

Namensauflösung testen

Zur Funktionsprüfung kann die Namensauflösung mit dig getestet und bei Bedarf mit Wireshark mitgeschnitten werden.

Ablaufverfolgung der Namensauflösung

Beispielabfrage: 

dig google.de

Beispielausgabe (Auszug): 

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3983
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: bea27b6c0abfa5c4d5c979555d8b180addb5f0df1c69bfd0 (good)
;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              300     IN      A       172.217.17.35

;; AUTHORITY SECTION:
google.de.              83363   IN      NS      ns1.google.com.
google.de.              83363   IN      NS      ns2.google.com.
google.de.              83363   IN      NS      ns3.google.com.
google.de.              83363   IN      NS      ns4.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         168448  IN      A       216.239.32.10
ns2.google.com.         168448  IN      A       216.239.34.10
ns3.google.com.         168448  IN      A       216.239.36.10
ns4.google.com.         168448  IN      A       216.239.38.10
ns1.google.com.         168448  IN      AAAA    2001:4860:4802:32::a
ns2.google.com.         168448  IN      AAAA    2001:4860:4802:34::a
ns3.google.com.         168448  IN      AAAA    2001:4860:4802:36::a
ns4.google.com.         168448  IN      AAAA    2001:4860:4802:38::a

;; Query time: 20 msec
;; SERVER: 10.0.0.3#53(10.0.0.3)
;; WHEN: Mi Sep 25 09:32:26 CEST 2019
;; MSG SIZE  rcvd: 340

Wichtig ist insbesondere die Zeile mit dem verwendeten Server:

  • SERVER: 10.0.0.3#53(10.0.0.3) – die Anfrage wurde über den lokal eingerichteten BIND-Server beantwortet.


Anhang

Siehe auch


Dokumentation

Links

Projekt

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=BIND/Installation&oldid=158765