ADC

Konfigurieren von DNSSEC für eine Zone, für die Citrix ADC ein DNS-Proxyserver ist

Das Verfahren zum Signieren einer Zone, für die der Citrix ADC als DNS-Proxyserver konfiguriert ist, hängt davon ab, ob der ADC eine Teilmenge der Zoneninformationen besitzt, die den Back-End-Namenservern gehören. Wenn dies der Fall ist, wird die Konfiguration als Teilzoneneigentumskonfigurationbetrachtet. Wenn der ADC keine Teilmenge der Zoneninformationen besitzt, wird die Citrix ADC-Konfiguration zur Verwaltung der Backend-Server als zonenlose DNS-Proxy-Serverkonfiguration betrachtet. Die grundlegenden DNSSEC-Konfigurationsaufgaben für beide Citrix ADC Konfigurationen sind identisch. Das Signieren der Teilzone auf dem Citrix ADC erfordert jedoch einige zusätzliche Konfigurationsschritte.

Hinweis: Die Begriffe zonenlose Proxy-Serverkonfiguration und Teilzone werden nur im Kontext der Citrix ADC Appliance verwendet.

Wichtig: Wenn der ADC im Proxy-Modus konfiguriert ist, führt der ADC keine Signaturüberprüfung für DNSSEC-Antworten durch, bevor er den Cache aktualisiert.

Wenn Sie den ADC als DNS-Proxy für den Lastenausgleich DNSSEC-fähiger Resolver (Server) konfigurieren, müssen Sie bei der Konfiguration des virtuellen DNS-Servers die Option Rekursion verfügbar festlegen. Wenn eine DNSSEC-Abfrage mit dem eingestellten CD-Bit “Checking Disabled” eingeht, wird die Abfrage an den Server weitergegeben, wobei das CD-Bit beibehalten wird. Die Antwort vom Server wird nicht zwischengespeichert.

Konfigurieren von DNSSEC für eine zonenfreie DNS-Proxyserver-Konfiguration

Für eine zonenlose DNS-Proxy-Serverkonfiguration muss die Zonensignierung auf den Back-End-Nameservern durchgeführt werden. Auf dem Citrix ADC konfigurieren Sie den ADC als DNS-Proxyserver für die Zone. Erstellen Sie einen virtuellen Lastausgleichsserver vom Protokolltyp DNS. Konfigurieren Sie Dienste auf dem ADC so, dass sie die Namensserver darstellen. Binden Sie dann die Dienste an den virtuellen Lastausgleichsserver. Weitere Informationen zu diesen Konfigurationsaufgaben finden Sie unter Konfigurieren des NetScaler als DNS-Proxyserver.

Wenn ein Client dem ADC eine DNS-Anforderung mit dem DNSSEC OK (DO) -Bit sendet, überprüft der ADC seinen Cache auf die angeforderten Informationen. Wenn die Ressourceneinträge nicht in seinem Cache verfügbar sind, leitet der ADC die Anfrage an einen der DNS-Nameserver weiter. Anschließend wird die Antwort vom Nameserver an den Client weitergeleitet. Außerdem speichert der ADC die RRSIG-Ressourceneinträge zusammen mit der Antwort vom Nameserver im Cache. Nachfolgende Anforderungen von DNSSEC-fähigen Clients werden vom Cache (einschließlich der RRSIG-Ressourceneinträge) bedient, abhängig vom Time-to-Live (TTL) -Parameter. Wenn ein Client eine DNS-Anfrage sendet, ohne das DO-Bit festzulegen, antwortet der ADC nur mit den angeforderten Ressourceneinträgen. Es enthält nicht die RRSIG-Ressourceneinträge, die für DNSSEC spezifisch sind.

Konfigurieren von DNSSEC für eine Teilzoneneigentumskonfiguration

In einigen ADC-Konfigurationen kann eine Teilmenge der Ressourceneinträge, die zur Zone gehören, auf dem ADC konfiguriert werden, obwohl die Berechtigung für eine Zone bei den Back-End-Namensservern liegt. Der ADC besitzt (oder ist autorisierend für) nur diese Teilmenge von Datensätzen. Eine solche Teilmenge von Datensätzen kann als Teilzone auf dem ADC angesehen werden. Der ADC ist Eigentümer der Teilzone. Alle anderen Datensätze gehören den Back-End-Namenservern.

Eine typische Teilzonenkonfiguration auf dem Citrix ADC wird angezeigt, wenn:

  • Global Server Load Balancing (GSLB) -Domänen werden auf dem ADC konfiguriert
  • Die GSLB-Domains sind Teil einer Zone, für die die Back-End-Nameserver autorisierend sind.

Die Unterzeichnung einer Zone, die nur eine Teilzone auf dem ADC umfasst, beinhaltet:

  • Einschließen der Teilzoneninformationen in den Back-End-Namensserver-Zonendateien
  • Signieren der Zone auf den Back-End-Namenservern
  • Unterzeichnung der Teilzone auf dem ADC.

Der gleiche Schlüsselsatz muss verwendet werden, um die Zone auf den Nameservern und die Teilzone auf dem ADC zu signieren.

Die Zone auf den Back-End-Namenservern signieren

  1. Fügen Sie die in der Teilzone enthaltenen Ressourceneinträge in die Zonendateien der Nameserver ein.
  2. Erstellen Sie Schlüssel und verwenden Sie die Schlüssel, um die Zone auf den Back-End-Nameservern zu signieren.

Signieren der Teilzone auf dem Citrix ADC

  1. Erstellen Sie eine Zone mit dem Namen der Zone, die den Back-End-Nameservern gehört. Wenn Sie die Teilzone konfigurieren, setzen Sie den ProxyMode-Parameter auf YES. Diese Zone ist die Teilzone, die die Ressourceneinträge des ADC enthält.

    Wenn der Name der Zone, die auf den Back-End-Nameservern konfiguriert ist, beispielsweise example.com lautet, müssen Sie eine Zone mit dem Namen example.com auf dem ADC erstellen. Setzen Sie den ProxyMode-Parameter auf YES. Weitere Informationen zum Hinzufügen einer Zone finden Sie unter Konfigurieren einer DNS-Zone.

    Hinweis:

    Fügen Sie keine SOA- und NS-Datensätze für die Zone hinzu. Diese Aufzeichnungen müssen auf dem ADC für eine Zone existieren, für die der ADC maßgeblich ist.

  2. Importieren Sie die Schlüssel (von einem der Back-End-Nameserver) in den ADC und fügen Sie sie dann dem /nsconfig/dns/ -Verzeichnis hinzu. Weitere Informationen darüber, wie Sie einen Schlüssel importieren und zum ADC hinzufügen können, finden Sie unter Veröffentlichen eines DNS-Schlüssels in einer Zone.
  3. Signieren Sie die Teilzone mit den importierten Schlüsseln. Wenn Sie die Teilzone mit den Schlüsseln signieren, generiert der ADC RRSIG- und NSEC-Datensätze für die Ressourceneintragsgruppen bzw. einzelne Ressourceneinträge in der Teilzone. Weitere Informationen zum Signieren einer Zone finden Sie unter Signieren und Aufheben einer DNS-Zone.
Konfigurieren von DNSSEC für eine Zone, für die Citrix ADC ein DNS-Proxyserver ist