Wer eine Webseite betreibt, braucht sich normalerweise nicht um DNS zu kümmern, denn der ISP übernimmt die Aufgabe der DNS-Verwaltung. Auch bei einer Standleitung ist der Aufbau eines eigenen DNS-Servers nicht notwendig.
Diese Lösung reicht in den meisten Fällen völlig aus: Der ISP nennt zwei DNS-Server, die im Zuge des Vertrags verwendet werden können. Die IP-Adressen der DNS-Server werden in der Konfiguration eingetragen, und damit ist der Internet-Anschluss betriebsbereit. Egal, ob man von der Webseite eine Mail per Script versendet oder die Standleitung zum Surfen benutzt: Die Namensauflösung wird über die DNS-Server des Service Providers abgewickelt.
Gegen diese Vorgehensweise spricht eigentlich nichts. Zwar kostet diese Abfrage ein wenig Zeit, die man anderweitig eingespart hätte - aber so lange dauert die Abfrage dann auch wieder nicht: Nur wenn der DNS-Server des ISP ständig schlecht erreichbar ist oder nur langsam antwortet, macht sich dieses Vorgehen negativ bemerkbar. Wenn ein solcher Umstand jedoch länger anhält, ist das eher ein Grund, sich Gedanken über den Wechsel zu einem anderen ISP zu machen, statt sich selbst die Last der DNS-Verwaltung aufzuerlegen.
Gründe für eigene DNS-Dienste
In einem Netz mit nur wenigen Clients spielen weiter gehende Überlegungen keine Rolle - wer aber sehr viele Clients zu verwalten hat, bei dem kann es sich durchaus lohnen, über einen eigenen DNS nachzudenken, etwa um Traffic und Antwortzeiten zu minimieren. Es gibt aber einen viel einleuchtenderen Grund, sich selbst ein wenig um DNS zu kümmern - und zwar dann, wenn man selbst einen Mailserver betreibt.
Von Haus aus ist die DNS-Versorgung des eigenen Mailservers über den ISP durchaus ausreichend. Hat man allerdings sehr viele Mails zu versenden, beispielsweise durch regelmäßige, hochvolumige Newsletter, oder will man sich mittels externer Dienste gegen Spam wehren, wächst die Anzahl der DNS-Anfragen extrem.
Ein praktischer Anti-Spam-Schutz ist zum Beispiel die Befragung von DNS-Blacklist-Servern direkt nach der Kontaktaufnahme durch den Server, der die Mail zustellen möchte. Steht dessen IP-Adresse auf einer der gängigen Blacklists, kann es sicher nicht schaden, die Mail nicht anzunehmen. Denn die Gegenseite ist dann entweder ein offenes Relay oder ein bekannter Spammer.
Spam-Blocker brauchen schnelle DNS-Antworten
Für die Abfrage von DNS-Blacklist-Servern brauchen Sie keine speziellen Tools: Das ist gerade das Praktische daran, denn diese Server lassen sich einfach per DNS abfragen. Dabei wird eine spezielle Notation verwendet, die die IP-Adresse des zu untersuchenden Servers enthält. Kann die DNS-Blacklist diese Anfrage auflösen, so handelt es sich bei der Gegenstelle mit ziemlich großer Sicherheit um einen Rechner, dem man die Kontaktaufnahme verwehren oder zumindest - zum Beispiel durch Tarpits - erschweren sollte.
Mehr Informationen über derartige "Spam Blocker Hosts" finden Sie beispielsweise bei www.ordb.org oder bei www.spamcop.net.
Nun ist es so, dass die DNS-Einträge der Spam-Blocker-Hosts notgedrungen eine recht kurze Lebenszeit haben. Wer einen aktiven Mailserver betreibt, wird in kurzer Zeit viele Anfragen an solche Hosts senden. Ähnliches gilt auch für Reverse DNS Lookups, die man ebenfalls gut als Anti-Spam-Maßnahme einsetzen kann.
Solche Anfragen brauchen jedoch Zeit - und die hat man auf einem aktiven Mailserver nicht. Wird die DNS-Anfrage nicht innerhalb einer bestimmten Zeitspanne beantwortet, bleibt einem daher nichts anderes übrig, als die Verbindung zuzulassen. Und damit handelt man sich dann eben doch wieder SPAM ein.
Windows 2003 kann DNS-Antworten cachen
Das muss aber nicht sein, denn bei Windows Server 2003 gibt es eine einfach zu benutzende Komponente, die alle DNS-Anfragen zwischenspeichern kann. Durch diesen Caching-Mechanismus werden weitere Anfragen deutlich schneller beantwortet, da die Anfrage - ohne Umweg über das Netzwerk - direkt aus dem Hauptspeicher beantwortet wird.
Bei dieser Komponente handelt es sich um den DNS-Server von Windows Server 2003. Das klingt bedrohlich - aber keine Angst: Es ist nicht notwendig, sich in irgendeiner Form mit DNS auseinander zu setzen, und man muss auch nichts über Zone-Files und ähnliche Dinge wissen, um den Windows Server 2003 als Caching Server zu verwenden.
Der DNS-Server in Windows 2003 kann in zwei unterschiedlichen Modi betrieben werden: entweder als vollwertiger DNS-Server mit oder ohne Autorität über eine Zone oder als reiner Caching-Server.
Im zweiten Fall fungiert der Server nur als Zwischenspeicher für DNS-Anfragen: Man sendet alle Anfragen an den DNS-Server von Windows 2003, und erst der sendet diese Anfragen an die DNS-Server des ISP oder des Spam Blocker Host, falls die Antwort noch nicht im lokalen Cache vorgehalten wird. Die Antworten speichert er dann zwischen und behält sie so lange im Cache, wie die Lebenszeit (TTL ) des DNS-Eintrags festgelegt ist. Weitere Anfragen werden dann blitzschnell beantwortet.
Das hört sich nicht nur ungeheuer praktisch an - das ist es auch: Einen aktiven Mailserver mit einigen zehntausend Mails pro Tag, der sich außerdem um Spam Blocker Hosts und um Reverse Lookups kümmert, sollten Sie ohne einen eigenen Caching-DNS-Server schlicht nicht betreiben.
Konfiguration leicht gemacht
Bleibt die Frage, wie das Ganze zu installieren und zu konfigurieren ist. Sie lässt sich leicht beantworten, denn viel ist nicht zu tun. Wenn Sie den DHCP-Server von Windows 2003 für Ihr LAN verwenden, dann brauchen Sie dort bloß die Adresse des DNS-Servers anzupassen. Im Normalfall werden Sie im DHCP-Server die beiden DNS-Adressen Ihres ISP eingetragen haben. Diese behalten Sie einfach bei, legen aber die IP-Adresse Ihres eigenen Caching-Servers auch noch in der Liste der DNS-Server ab - und zwar vor den Adressen Ihres ISP.
Wenn Sie keinen DHCP-Server verwenden, müssen Sie die IP-Konfiguration aller Arbeitsstationen im LAN bearbeiten: Dort tragen Sie als ersten DNS-Server ebenfalls den eigenen Server ein.
Auf dem Rechner, der später der DNS-Cache werden soll, belassen Sie die IP-Adressen Ihres ISP, denn irgendjemand muss der Caching-Server ja fragen können.
Danach sind Sie im Großen und Ganzen fertig: Nur den Caching-Server müssen Sie noch installieren - und konfigurieren, wenn man das überhaupt so nennen kann.
Foto:
Die Installation erledigen Sie ganz normal über die Systemsteuerung. Die zu installierende Komponente ist dabei der "DNS Server". Der Caching-Server hat keinen eigenen Eintrag in der Systemsteuerung. Ist die Installation des DNS-Servers abgeschlossen, geht es an die Konfiguration. Diese besteht daraus, dass Sie einfach nichts tun. In diesem Fall wird der DNS-Server nämlich einfach nur als Caching-Server ausgeführt. Eine einfacher zu konfigurierende Server-Software werden Sie vermutlich so schnell nicht wieder in die Hände bekommen.
Überwachung
Nun möchte man trotzdem wenigstens sehen, was der DNS-Server tut - und das ist möglich, auch wenn Microsoft die entsprechende Funktionalität ein wenig versteckt hat. Zum Überprüfen öffnen Sie die Management-Konsole für den DNS-Server, die die Installationsroutine im Startmenü untergebracht hat. Dort können Sie dann Zoneneinträge begutachten. Zumindest könnten Sie das, wenn Ihr DNS-Server auch tatsächlich Zonen verwalten würde. Das tut er aber nicht. Um die gecachten Einträge zu betrachten, aktivieren Sie im Ansichtsmenü die "Erweiterte Ansicht": Das blendet auch die zwischengespeicherten Einträge im Baum ein - und dort finden sich die DNS-Records, die von Ihrem Caching-DNS-Server gespeichert wurden.
Mit einem Caching-DNS-Server lassen sich DNS-Abfragen ohne viel Aufwand erheblich beschleunigen: Für einige Anwendungsfälle, wie zum Beispiel bei der SPAM-Abwehr, ist das nicht nur hilfreich, sondern praktisch lebensnotwendig. Mit dem DNS-Server von Windows 2003 ist ein solcher cachender DNS-Server mehr als einfach zu haben: Es gibt keinen Grund, darauf zu verzichten. (mha)