Die WinTipps 2001 :: Thema: - W2K Server / DNS Frage-Problem

Die WinTipps 2001

Windows 2000 Server - W2K Server / DNS Frage-Problem

Ronnie - 23.01.2004, 22:34
Titel: W2K Server / DNS Frage-Problem

Hallo Leute,

eure Seite war mir schon öfter behilflich bei dem einen oder anderen Problem und mußte ich daher auch noch nie einen Beitrag schreiben

Jetzt steh ich aber an:

Ich habe einen W2K Server mit Apache, die Anfragen kommen auf der IP 80.110.XXX.XXX herein, es werden insgesamt 13 Domains auf diesem "Webserver" verwaltet.

Nun ist es aber erforderlich, daß einige Domains mit SSL ausgestattet werden (neuer Shop) und daher müßte ich die Namen auf IP´s auflösen, weil SSL mit Virtuellen Hosts im Apache nur mit verschiedenen IP´s funzt.

Ich hab mir das ganze so vorgestellt (als Laie), daß die Anfrage auf der Haupnetzwerkkarte (IP 80.110.XXX.XXX) hereinkommt der DNS des Servers (der hoffentlich vor dem Apache "steht") die Anfrage auf eine IP 192.168.0.XXX auflöst (die wiederum würde ich virtuell auf einer anderen Netzwerkkarte im Server anlegen).

Nachdem der Apache nicht auf eine IP gebunden ist, müßte er dann theoretisch auch auf die virtuellen IP´s hören.

Das ganze funzt auch insofern, daß ich z.B. die entsprechende Domain "www.meinefirma.at" in der Zone mit "meinefirma" eintrage, ich kann dann, owbwohl der Apache schon auf IP´s konfiguriert ist, auf die Seite zugreifen mit HTTP und HTTPS, allerdings nur vom Server aus, nicht vom Netz.

Eine weitere Eintragung in den Zonen für z.B. "www.meinezweitefirma.de" wird nicht mehr korrekt aufgelöst, sondern vom Apache in das "standard-nicht-definierte" Root weitergeleitet (auf der Haupt IP).

Meine Befürchtung unter anderem ist, wenn ich die Domäne in der Zone als www Adresse eintrage, daß ich dann meinen ISP (der mir die DNS für meine Domains macht) sozusagen over rule und wenn mein Server dann aus irgend einem Grund nicht online ist, geht gar nix mehr.

Irgendwie muß es aber gehn, weil im Prinzip macht ja mein ISP auch nichts anderes ?? Er bekommt von einem der "Über-DNS" (von denen es ja angeblich nur 3 Stk. oder so gibt) eine Anfrage (oder auch mehrere) und löst diese dann auch auf meine IP auf,... und nachdem ich nicht der einzige Kunde bin, löst er verschiedene Anfragen auf verschiedene IP´s auf!

Die Frage ist nur WIE ??

Hoffe es kann mir jemand weiterhelfen.

Danke und liebe Grüße aus Wien
Ronnie

Webmaster - 26.01.2004, 22:34
Titel: RE

Moin,

ich muss Dich leider enttäuschen, aber das Vorhaben ist so nicht realisierbar.

Da Du eine dynamische IP-Adresse vom ISP beziehst, kannst Du virtuelle Hosts nur als namensbasierte (Named Virtuell Hosts) realisieren, wenn diese aus dem Internet erreichbar sein sollen. Im internen Netzwerk kannst Du natürlich problemlos feste Ip-Adressen verteilen.

Da der IP-Bereich 192.168.xxx.xxx für private IP-Adressen reserviert ist, werden diese Adressen nie aus dem Internet erreichbar sein.

Für Dein Vorhaben benötigst Du feste, öffentliche IP-Adressen, die dann von mindestens 2 DNS-Servern im Internet aufgelöst werden.

Ronnie - 28.01.2004, 14:11
Titel: RE

Hallo Webmaster,

danke für die Antwort.

Das ist so nicht richtig, wahrscheinlich hab ich mich falsch ausgedrückt bzw. durch die Angabe 80.110.XXX.XXX zur Annahme geführt, daß ich eine dynamische IP habe.

Ich habe aber eine fixe IP, daher müßte es auch gehen, abgesehen davon müßte eine Namensauflösung innerhalb des eigenen Netzwerkes (ab Eingangsschnittstelle, weche in diesem Fall die IP 80.110.usw. ist) doch immer möglich sein ?

Die Angaben 80.110.XXX.XXX habe ich gemacht, weil ich meine IP nicht unbedingt gerne in ein öffentliches Forum schreiben muß,...

Danke noch mal und vielleicht gibt es ja doch eine Lösung,... ansonst müßte ich alle HTTPS Anfragen umrouten,... (sprich die ganze Source umschreiben).

Liebe Grüße aus Wien
Ronnie

Webmaster - 28.01.2004, 20:05
Titel: RE

Moin,

also, das machst Du alles über die virtuellen Hosts...

Zitat:

<VirtualHost 80.xxx.xxx.xxx:443>
ServerName www.meinefirma.de
DocumentRoot c:/apache/www/meinefirma
SSLEngine On
SSLCertificateFile conf/ssl/test-zertifikat.crt
SSLCertificateKeyFile conf/ssl/test-zertifikat.key
ErrorLog logs/meinefirma/error.log
CustomLog logs/meinefirma/access.log combined
</VirtualHost>

<VirtualHost 80.xxx.xxx.xxx:443>
ServerName www.meinefirma2.de
DocumentRoot c:/apache/www/meinefirma2
SSLEngine On
SSLCertificateFile conf/ssl/test-zertifikat.crt
SSLCertificateKeyFile conf/ssl/test-zertifikat.key
ErrorLog logs/meinefirma2/error.log
CustomLog logs/meinefirma2/access.log combined
</VirtualHost>

Das geht dann auch für mehrere Domänen, Du musst lediglich den Servernamen und die Pfade für DocumentRoot und die Logs anpassen.

Du arbeitest also mit IP-basierten virtuellen Hosts...

Auf Deinem Windows-DNS brauchst Du nichts einzutragen und solltest evtl. erstellte Zonen bzgl. der Internetdomänen löschen.

Ronnie - 28.01.2004, 20:53
Titel:

Hallo und Danke,

das würde dann gehen, wenn ich mehrere 80.110.usw. IPs auf meinem Server hätte, dann hätte ich auch nie ein Problem, weil dann könnte mir die Firma bei der ich die Domains bestellt habe auch den NS gleich auf die entsprechende IP machen.

Habe ich aber nicht. Ich habe nur eine statische IP (sagen wir mal 80.110.123.123) und möchte die verschiedenen Anfragen von dort aus auf interne weiterleiten (siehe Anhang Bild 1).

Im Prinzip muß das doch möglich sein, ich denke mir in großen Serverfarmen haben sie auch nicht unbegrenzt IPs (die nach aussen fungieren) zur Verfügung und die lösen es dann vielleicht ähnlich wie Anhang Bild 2 ??

Weil was ist z.B. wenn ich einen Webspace bei 1&1 Miete und mir den Server mit sagen wir 10 anderen Teile und trotzdem SSL bekomme, weil ich bei 1&1 auch einen Shop miete ? Oder gehn die dann einfach in ein 1&1 Standard Root bei der SSL Anfrage (was im übrigen die Alternative ist, wenn ich es mittels DNS nicht hinbekomme,... ich ändere überall die a href auf eine Hauptseite die dann als einzige SSL hat,...

Danke im voraus und liebe Grüße aus Wien
Ronnie

Webmaster - 28.01.2004, 21:33
Titel: RE

Also, grundsätzlich werden, auch bei grossen ISP's, die Ip-Adressen aufgeteilt.

Soll heissen, dass z.B. die IP-Adress 80.100.200.001 für die Internetdomänen A, B, und C steht. Der Apache regelt dann intern über die virtuellen Hosts und die Servernamen (die ja inden jeweiligen virtuellen Hosts definiert sind) die Anzeige der entsprechenden Domäne.
Das funktioniert zwar nicht unbegrenzt, aber für Deinen Bedarf sollte es allemal ausreichen.

Man kann eine IP-Adresse 1.2.3.4 nicht auf einem DNS-Server auf eine IP 5.6.7.8 "umauflösen"!

Ein DNS-Server löst Anfragen in der Form www.xyz.com in eine IP-Adresse auf.

Wenn Du es so umsetzt, wie ich es oben beschrieben habe, sollte alles einwandfrei funktionieren.

Ronnie - 28.01.2004, 22:26
Titel: RE

Genau,

der User gibt "www.meinefirma.de" in den Browser ein und über die DNS Auflösung der Firma Kapper, wird diese auf die IP 80.110.1.2 geroutet. Der Header bleibt ja aber erhalten. Jetzt sollte mein DNS die Anfrage an die Netzwerkkarte mit der IP 192.168.0.101 weiterleiten.

Der Apache "hört" dann unter anderem auch auf diese IP (192.168.0.101) und verweist in das entsprechende Verzeichnis (je nachdem ob HTTP oder HTTPS).

Das der Header erhalten bleibt, ist sicher, da ja der Apache auch Namensauflösungen zusammen bringt, nur geht da SSL halt nur für 1 Domain. Virtuelle Hosts können mit SSL nur aufgelöst werden, wenn diese IP Hosts sind (und nicht name based), weil das Handshake für das SSL noch vor der "Containerabfrage" kommt. Also müßte das "name based" der DNS erledigen,... hätte ich mir vorgestellt.

Im Linux habe ich - nachdem Apache schwer Linux-lastig ist - schon einige Lösungsansätze gefunden, nur halt für W2K nicht.

Meine Befürchtung ist, wenn ich www.meinefirma.de in meinem DNS mit der IP 192.168.0.101 eintrage, daß ich dann - mangels Kenntnis von DNS Konfiguration usw. - unbeabsichtigt die Namensauflösung vom NS1.kapper.net overrule ??

Ich habe keine Ahnung, inwieweit mein DNS diese Informationen an andere DNS überträgt, bzw. wie ich es unterbinden kann, daß diese Auflösung nur in meinem Netz bleibt ?

Wenn ich allerdings nur meinefirma als Zone eintrage, geht das Ganze nicht.

Es muß doch eine Möglichkeit geben, mittels Header/DNS die Abfrage am 80er Port auf der Eingangsschnittstelle meines Servers an eine interne IP weiterzugeben ??

Lg aus Wien
Ronnie

Webmaster - 28.01.2004, 23:20
Titel: RE

Dafür brauchst Du einen Router...

Alle Zeiten sind GMT + 1 Stunde
Design and Modifications (additional scripting and bug fixes) by TL Networks
Template-Version 2.1.0 © 2002 TL Networks
based on phpBB