04. Dezember 2014

Zentyal 3.2 - 4.0                  [1.0]

TEIL 1

Erstinstallation

 

Ich werde hier jetzt nicht auf die Installation von Zentyal mit der CD oder DVD eingehen, denn welche Angaben in den Masken bei der Erstinstallation zu machen sind ist in genügend Foren und Blogs beschrieben.

Siehe: 

1. https://wiki.zentyal.org/wiki/En/4.0/Installation

2. http://www.utorial.org/doku.php/zentyal:installation

3. http://wiki.ubuntuusers.de/Zentyal

4. https://wiki.zentyal.org/index.php?title=En/4.0/Installation&printable=yes

 

Vielmehr versuche ich hier Schrittweise zu erklären, was ich von dem SYSTEM ZENTYAL wirklich brauche, um den Small Business Server in einem Netzwerk zu ersetzen.

Ich werde an dem Punkt ansetzen, wo die Installation-CD aus dem Rechner entfernt wird und der Rechner erneut bootet.

Ich versuche zu erklären und herauszufinden wo, was zu finden ist und wofür das Ganze ist.
Wie gesagt es ist ein Versuch, basierend auf eigenen Erfahrungen und jeder hat andere Erfahrungen wie die Fülle an Forenbeiträgen zeigt.

Netzwerk

Zuerst wähle ich für die Installation nur die Komponente "DNS Server" aus.

Es werden dabei die Module "Netzwerk", "Firewall" und "DNS" mit zur Installation angeboten.

[Installieren]  

Man könnte jetzt das Modul "Firewall" deaktivieren, denn eigentlich benötigt man es hinter einem DSL Router mit NAT nicht.
Anmerkung:
Hat man einen LTE -Router mit einer T-Online Mobilen Karte braucht man es zur Zeit überhaupt nicht, da T-Online schon eine NAT  vor geschaltet hat!
(Stand: T-Online LTE Mobile  mit SpeedStick 12.2014)

Warum fängt man mit dem DNS-Server an?

Das Netzwerk und besonders der DNS-Server bzw. DNS ist das Rückgrat der gesamten Kommunikation im Netz. Viele Dienste  im Internet oder Intranet basieren auf eine korrekte Namensauflösung, entweder einen Namen in eine IP-Adresse oder eine IP-Adresse in einen Namen um zu wandeln.

Er fungiert quasi als Telefonregister, entweder kennt man den Namen oder die Adresse.

Das DNS Menü

Die Informationen werden im System "BIND" abgespeichert.

Es wird die Datei /etc/bind/named.conf.option

options {

     sortlist {

            { 192.168.0.0/24 ;{ 192.168.0.0/24 ; };};

    };

    directory "/var/cache/bind";

 

    // If there is a firewall between you and nameservers you want

    // to talk to, you might need to uncomment the query-source

    // directive below.  Previous versions of BIND always asked

    // questions using port 53, but BIND 8.1 and later use an unprivileged

    // port by default.

 

    //query-source address * port 53;

    //transfer-source * port 53;

    //notify-source * port 53;

 

    auth-nxdomain no;    # conform to RFC1035

 

    allow-query { any; };

    allow-recursion { trusted; };

    allow-query-cache { trusted; };

    allow-transfer { internal-local-nets; };

};

 

logging { category lame-servers { null; }; };

 

1. Deaktvierung des transparenten "DNS Zwischenspeichers" soll erstmal bleiben.

    --> Siehe Punkt 3.4  .

    Ein Performance Test steht noch aus!
2. "Portweiterleitung"

    Hier die IP-Adresse des Netzwerkes eintragen nicht des lokalen Rechners!

Anmerkung:
Eigentlich ist die Deutsche Übersetzung "Portweiterleitung"etwas irreführend. Forwarding bezieht sich hier nicht auf einen Port "DNS=53" sondern auf eine Abfrage für die Umwandlung eines Names in eine IP-Adresse oder umgekehrt. Es ist also besser um Missverständnisse zu vermeiden den engl. Begriff DNS-Forwarding zu verwenden. 

options {

     sortlist {

            { 192.168.0.0/24 ;{ 192.168.0.0/24 ; };};

    };

    directory "/var/cache/bind";


    // If there is a firewall between you and nameservers you want

    // to talk to, you might need to uncomment the query-source

    // directive below.  Previous versions of BIND always asked

    // questions using port 53, but BIND 8.1 and later use an unprivileged

    // port by default.


    //query-source address * port 53;

    //transfer-source * port 53;

    //notify-source * port 53;


    // If your ISP provided one or more IP addresses for stable

    // nameservers, you probably want to use them as forwarders.

    forward first;

    forwarders {

        192.168.0.250;

    };


    auth-nxdomain no;    # conform to RFC1035


    allow-query { any; };

    allow-recursion { trusted; };

    allow-query-cache { trusted; };

    allow-transfer { internal-local-nets; };

};

3. "Domänen" im DNS-Server

3.1 Hier trägt man zuerst die Root-Domäne ein. In unserem Beispiel "lemptal".

3.2 Der Domäne "lemptal" wird automatisch der lokale Rechner zugewiesen.

       Es wird automatisch folgende 2 Dateien in /etc/bind/ verändert bzw. neu angelegt.   

Datei: /etc/bind/named.conf.local

// Generated by Zentyal

//  /etc/bind/named.conf.local

acl "trusted" {

    localhost;

    localnets;

};

acl "internal-local-nets" {

    192.168.0.0/24;

};

zone "lemptal." IN {

    type master;

    file "/etc/bind/db.lemptal";

};

zone "0.168.192.in-addr.arpa" {

    type master;

    file "/etc/bind/db.0.168.192";  <---- Referenz für reverse DNS 

    update-policy {

        // The only allowed dynamic updates are PTR records

        grant lemptal. subdomain 0.168.192.in-addr.arpa. PTR TXT;

        // Grant from localhost

        grant local-ddns zonesub any;

    };

};

zone "10.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "16.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "17.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "18.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "19.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "20.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "21.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "22.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "23.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "24.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "25.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "26.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "27.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "28.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "29.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "30.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "31.172.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

zone "168.192.in-addr.arpa" {

    type master;

    file "/etc/bind/db.empty";

};

Datei:  /etc/bind/db.0.168.192

$TTL 3D

$ORIGIN 0.168.192.in-addr.arpa.

@       IN      SOA     server-01.lemptal.      hostmaster.lemptal. (

                        2014120415      ;serial number

                        8H              ;refresh

                        2H              ;retry

                        4W              ;expiration

                        1D )            ;

;

                NS      server-01.lemptal.

;

254     PTR     server-01.lemptal.

250     PTR     portal.lemptal.

3.3 Jetzt wählt man die Option "Hostnamen" "configure" aus und trägt in der angezeigten      

       Maske die Rechnernamen ein, die über die Domäne aufgelöst werden sollen.

       In unserem Beispiel heißt der Server, der die Verbindung ins Internet herstellt, "portal".

3.4 Im letzten Schritt kann man noch den "portal" Rechner (192.168.0.250) als zweiten DNS

      Server mit in der Domäne "lemptal" vermerken.

      Man geht über die Option "DNS Server" "configure" und trägt dort den zweiten
      DNS-Server "portal" ein. 

 

Jetzt lässt sich auch der transparente Modus des DNS-Server "lemptal" aktivieren.

Bitte immer darauf achten ob der Button "Änderung speichern" Oben-Rechts auftaucht!

Testen der DNS-Auflösung

Es gibt bei Zentyal zwei Arten die DNS Auflösung zu testen.

1. Über die Zentyal-Weboberfläche zur Verfügung gestellten Optionen.
    Auf die Optionen sind selbsterklärend, weshalb ich hier nicht darauf weiter eingehen will.

2. NSLOOKUP oder DIG

DIG <FORWARD>

root@server-01:/etc/bind# dig portal

; <<>> DiG 9.9.5-3+zentyal-Ubuntu <<>> portal

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64604

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 25

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;portal. IN A

;; ANSWER SECTION:

portal. 0 IN A 192.168.0.250

;; AUTHORITY SECTION:

. 512978 IN NS h.root-servers.net.

. 512978 IN NS c.root-servers.net.

. 512978 IN NS k.root-servers.net.

. 512978 IN NS e.root-servers.net.

. 512978 IN NS d.root-servers.net.

. 512978 IN NS m.root-servers.net.

. 512978 IN NS i.root-servers.net.

. 512978 IN NS j.root-servers.net.

. 512978 IN NS g.root-servers.net.

. 512978 IN NS l.root-servers.net.

. 512978 IN NS b.root-servers.net.

. 512978 IN NS f.root-servers.net.

. 512978 IN NS a.root-servers.net.

;; ADDITIONAL SECTION:

a.root-servers.net. 604733 IN A 198.41.0.4

a.root-servers.net. 604733 IN AAAA 2001:503:ba3e::2:30

b.root-servers.net. 604733 IN A 192.228.79.201

b.root-servers.net. 604733 IN AAAA 2001:500:84::b

c.root-servers.net. 604733 IN A 192.33.4.12

c.root-servers.net. 604733 IN AAAA 2001:500:2::c

d.root-servers.net. 604733 IN A 199.7.91.13

d.root-servers.net. 604733 IN AAAA 2001:500:2d::d

e.root-servers.net. 604733 IN A 192.203.230.10

f.root-servers.net. 604733 IN A 192.5.5.241

f.root-servers.net. 604733 IN AAAA 2001:500:2f::f

g.root-servers.net. 604733 IN A 192.112.36.4

h.root-servers.net. 604733 IN A 128.63.2.53

h.root-servers.net. 604733 IN AAAA 2001:500:1::803f:235

i.root-servers.net. 604733 IN A 192.36.148.17

i.root-servers.net. 604733 IN AAAA 2001:7fe::53

j.root-servers.net. 604733 IN A 192.58.128.30

j.root-servers.net. 604733 IN AAAA 2001:503:c27::2:30

k.root-servers.net. 604733 IN A 193.0.14.129

k.root-servers.net. 604733 IN AAAA 2001:7fd::1

l.root-servers.net. 604733 IN A 199.7.83.42

l.root-servers.net. 604733 IN AAAA 2001:500:3::42

m.root-servers.net. 604733 IN A 202.12.27.33

m.root-servers.net. 604733 IN AAAA 2001:dc3::35

;; Query time: 1 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Thu Dec 04 18:40:32 CET 2014

;; MSG SIZE  rcvd: 778

nslookup  <name> -> <ip-adresse>

root@server-01:/etc/bind# nslookup portal

Server: 127.0.0.1

Address: 127.0.0.1#53

Name: portal.lemptal

Address: 192.168.0.250

nslookup <ip-adresse> -> <name>

root@server-01:/etc/bind# nslookup 192.168.0.250

Server: 127.0.0.1

Address: 127.0.0.1#53

250.0.168.192.in-addr.arpa name = portal.lemptal.

Wenn die DNS-Funktion funktioniert, dann kann  nun nach Herzenslust an der Domäne gebastelt und gewerkelt werden. ADS Funktion, Mail-Server und das "Virtuelle Web-Server" System bietet ein riesiges Feld als Lust und Frust ;-) !

Anmerkung:

/etc/hosts oder (Windows: %SystemRoot%\system32\drivers\etc\hosts)

Verwendungsmöglichkeiten (Quelle: http://de.wikipedia.org/wiki/Hosts-Datei#Dateiformat)

Hosts-Dateien ermöglichen es, einen DNS-Eintrag fest einer IP-Adresse zuzuordnen, was zum Beispiel die eindeutige Zuordnung und Verwendung in einem Netzwerk mit mehrfach vergebenen gleichen Namen ermöglicht. Ebenso kann Rechnern, die über andere, möglicherweise ungünstige oder fehlende Namen verfügen, ein einfacher und genau identifizierbarer Name gegeben werden. Die Verwendung der Hosts-Datei kann also einen zeitweiligen Ausfall des DNS-Servers kompensieren. Ebenso besteht die Möglichkeit, mithilfe einer Umleitung auf das Loopback-Interface (Hostname localhost, IP-Adresse 127.0.0.1) Adressen zu sperren. Dabei wird die Anfrage nach einem bestimmten Domainnamen, z. B. example.com, so beantwortet, dass sie auf die Adresse des eigenen PCs verweist. Da dort die gesuchte Seite nicht vorhanden ist, erhält man einen Seitenladefehler.

Webentwickler tragen außerdem häufig Domains ein, für die sie Inhalte entwerfen. Somit können die Inhalte des lokalen Webservers getestet werden, als ob sie sich auf einem Webserver mit selbiger Domain im Internet befänden. Die Domain ist jedoch nur lokal erreichbar. Eine Verarbeitung von Skripten und Aufgaben ist so mit den späteren Namen sofort möglich.

Verwendung als Filter

Manchmal wird die Hosts-Datei dazu verwendet, bekannte Werbeserver zu blockieren, indem sie als Alias für 127.0.0.1 eingetragen werden. Die Besonderheit dieser Methode gegenüber den zu installierenden Werbefiltern ist, dass diese Sperrung systemweit Gültigkeit hat, also nicht nur auf einen Browser beschränkt ist. Darüber hinaus kann man solche Filter auch gegen manche Schadprogramme einsetzen, wenn diese Anweisungen von bereits bekannten Servern abzurufen versuchen.[1]

Die exzessive Verwendung dieser Datei kann jedoch den gesamten Prozess der Namensauflösung verlangsamen, da diese Datei nicht für große Datenmengen optimiert ist. Vorgefertigte Dateien für die Verwendung als Werbefilter oder DNS-Ersatz sind im Internet erhältlich.

Weiterführende Links:

Es wird zum Verständnis auch mal auf Microsoft verwiesen, denn nicht alles von MS- Know-Hoff ist schlecht. 

http://technet.microsoft.com/de-de/library/cc730921.aspx

http://technet.microsoft.com/en-us/library/cc782142(v=ws.10).aspx

http://de.wikipedia.org/wiki/Domain_Name_System#Nameserver

http://de.wikipedia.org/wiki/Namensaufl%C3%B6sung

http://de.wikipedia.org/wiki/Resource_Record

http://www.thegeekstuff.com/2012/07/nslookup-examples/

http://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

http://www.linuxhaven.de/dlhp/HOWTO/DE-DNS-HOWTO-4.html

 

Tags: Zentyal, Archive, 2014