Rekursive Nameserver
Adresse nicht gefunden ...

von Andreas Papst (Ausgabe 10/1, März 2010)

 

Problemsituation

Man stelle sich folgende Situation vor: Im Zimmer eines Studierendenwohnheims erhält ein Bewohner beim Surfen im Internet folgende Meldung auf seinem Computer: Adresse nicht gefunden: Der Server unter www.meine-domain.at konnte nicht gefunden werden.

Eine ähnliche Fehlermeldung im Webbrowser wird (fast) jeder schon einmal selber gesehen haben. Den Button Nochmals versuchen anklicken, bringt kein neues Ergebnis, dabei ist die Adresse korrekt getippt und auch die Internetverbindung funktioniert tadellos. An https kann es ebenfalls nicht liegen, dass dieses funktioniert, zeigt der Aufruf von https://univis.univie.ac.at/. Dafür ist auch die Website eines Freundes nicht erreichbar. Letzte Woche im PC-Raum auf der Universität hatte alles noch problemlos funktioniert. Was ist da los?

Auch am nächsten Tag besteht das Problem weiterhin. Später, beim Surfen im WLAN-Netz der Universität Wien funktioniert jedoch alles wie gewohnt. Selbst am Abend im Studierendenheim lässt sich die Seite wieder ohne Schwie­rigkeiten abrufen, die Frage nach der Ursache des Problems ist damit vom Tisch. Jedoch zwei Tage später dasselbe Spiel: Wieder zu Hause, wieder die Fehler­meldung, woran kann das nur liegen?

Ursache Nameserver

Eine Homepage nicht zu erreichen, kann viele mögliche Ursachen haben. Im hier geschilderten Fall liegt das Pro­blem darin, dass die verwendeten Nameserver keine Na­mens­auflösung durchführen.

Nameserver sind jene Einheiten im Internet, die zu einem Hostnamen wie www.meine-domain.at die zugehörige IP-Adresse (z. B. 123.4.5.67) bereitstellen. Man kann sich das im Prinzip wie ein Telefonbuch vorstellen, das einem Namen die entsprechende Nummer zuordnet. Dieses Domain Name System (DNS) ist weltweit hierarchisch auf tausende Server verteilt, wobei der gesamte Namensraum in Zonen unterteilt ist, die von Admin­istratoren verwaltet werden. Für lokale Anforderungen – etwa innerhalb eines Firmennetzes – ist es auch möglich, ein vom Internet unabhängiges DNS zu betreiben.

Es gibt zwei Arten von Nameservern: Autoritative Nameserver sind verantwortlich für eine Zone und stellen die Informationen über den Domain-Namensraum im Internet bereit. Rekursive Nameserver fragen diese Informationen ab, indem sie autoritativen Nameservern die Frage nach dem Hostnamen stellen, bis sie eine Antwort bekommen. Letztere muss man verwenden, damit man das Internet wie gewohnt benutzen kann.

Achillesferse

Wenn man rekursiven Nameservern permanent dieselbe Frage stellt, ist es möglich, diese aufgrund von Überlastung arbeitsunfähig zu machen. Die geballte Macht aller Abfragen trifft nun auch den autoritativen Nameserver, der dadurch nicht mehr für normale Abfragen zur Verfügung steht. Einen solchen böswilligen Angriff nennt man DDoS (Distributed Denial of Service)-Attacke.

Es wird in weiterer Folge nicht nur der Nameserver lahm gelegt, sondern auch alle Dienste von Rechnern, deren Namen auf diesem Server bereitgestellt werden. Um solche Angriffe zu vermeiden, sollten alle rekursiven Nameserver so konfiguriert werden, dass dieses Service nur den eigenen „Kunden“ zur Verfügung steht und Fremden diese Möglichkeit genommen ist. Der Begriff „Kunde“ bezeichnet hier Rechner, die IP-Adressen des jeweiligen Providers verwenden. Eine Abfrage von einem Rechner mit einer anderen IP-Adresse wird nur soweit beantwortet, als diese Daten bereits bekannt sind. Die Daten können direkt am rekursiven Nameserver eingetragen sein, wenn es ein Zwitter aus rekursivem und autoritativem Nameserver ist, oder die Daten wurden gelernt, da ein Kunde den Namen bereits zuvor abgefragt hat. Denn ein rekursiver Nameserver merkt sich Antworten für eine frei konfigurierbare Zeitspanne, um nicht dieselbe Arbeit zweimal kurz hintereinander durchführen zu müssen.

Problemlösung

Damit wird das Verhalten im oben angeführten Beispiel erklärt, wo der Domainname nach der Abfrage auf der Universität auch zu Hause wieder verfügbar war.

Auch die rekursiven Nameserver der Universität Wien sind so konfiguriert, dass nur für Computer im eigenen Netzbereich (Geräte innerhalb des Universitätsdaten­netzes inkl. WLAN-Zugang) die Namensauflösung korrekt erfolgt. Alle anderen Rechner werden unter Umständen die oben beschriebene Erfahrung machen. Da es jedoch sehr viele Kunden im Uni­versitätsdatennetz gibt, sind häufig abgefragte Domainnamen immer „vorrätig“, daher fällt dieses Verhalten nicht immer auf Wenn also ein Laptop über verschiedene Provider mit dem Internet verbunden wird – Universität, zu Hause, unterwegs –, darf keine fixe Einstellung der Name­­server­konfiguration verwendet werden, die Einstellung sollte dynamisch sein.

 

Die Nameserverkonfiguration kann über Eigenschaften im Kontextmenü der LAN-Verbindung (Systemsteuerung- Netzwerk und Internet - Netzwerkverbindungen) vorgenommen werden (Windows).

Bei einigen Studierendenheimen ist es der Fall, dass diese auf den Dienst fremder rekursiver Nameserver zugreifen, wodurch oben geschilderte Verbindungs­probleme auftreten können.

 

Rekursive Nameserver für ACOnet-Teilnehmer

ACOnet stellt allen Kunden, die keine eigenen rekursiven Nameserver betreiben können, zwei rekursive Nameserver zur Verfügung:

nsr1.aco.net (193.170.140.196)

nsr2.aco.net (193.170.140.131)

Voraussetzungen

  • Die Institution muss ACOnet-Teilnehmer sein.
  • Der Bedarf ist glaubhaft zu begründen.
  • Der Zugriff ist auf das Teilnehmernetz beschränkt.

Einrichtung & Antrag

Um die Nameserver zu verwenden, ist es nur notwendig, dieses Service von ACOnet freischalten zu lassen. Zur Beantragung schicken Sie eine formlose E-Mail mit Ihrer Begründung an Öffnet ein Fenster zum Versenden einer E-Mailadmin@aco.net.

Die beiden Nameserver der Universität Wien 131.130.1.11 und 131.130.1.12 können allerdings weiterhin nicht außerhalb des Universitätsdatennetzes verwendet werden.

Es wird an dieser Stelle explizit darauf hingewiesen, dass die IP-Adressen der angeführten rekusiven Nameserver verändert werden können. Dies ist bei der Konfiguration der Klienten zu beachten.

Öffnet einen externen Link in einem neuen Fensterwww.aco.net/dns.html