Citrix ADC

Konfigurieren von DNSSEC für eine Zone, für die Citrix ADC ein DNS-Proxyserver ist

Das Verfahren zum Signieren einer Zone, für die Citrix ADC als DNS-Proxyserver konfiguriert ist, hängt davon ab, ob der ADC eine Teilmenge der Zoneninformationen besitzt, die den Backend-Nameservern gehört. Wenn dies der Fall ist, wird die Konfiguration als Teilzoneneigentumskonfigurationbetrachtet. Wenn der ADC keine Teilmenge der Zoneninformationen besitzt, wird die Citrix ADC Konfiguration zur Verwaltung der Backend-Server als zonenfreie DNS-Proxyserver-Konfigurationbetrachtet. Die grundlegenden DNSSEC-Konfigurationsaufgaben für beide Citrix ADC Konfigurationen sind identisch. Das Signieren der Teilzone auf dem Citrix ADC erfordert jedoch einige zusätzliche Konfigurationsschritte.

Hinweis: Die Begriffe zonenlose Proxyserver-Konfiguration und Teilzone werden nur im Kontext der Citrix ADC Appliance verwendet.

Wichtig: Wenn der ADC im Proxy-Modus konfiguriert ist, führt der ADC keine Signaturüberprüfung für DNSSEC-Antworten durch, bevor er den Cache aktualisiert.

Wenn Sie den ADC als DNS-Proxy für den Lastenausgleich DNSSEC-fähiger Resolver (Server) konfigurieren, müssen Sie bei der Konfiguration des virtuellen DNS-Servers die Option Rekursion verfügbar festlegen. Wenn eine DNSSEC-Abfrage mit aktiviertem (CD) -Bit eintrifft, wird die Abfrage an den Server weitergegeben, wobei das CD-Bit beibehalten wird, und die Antwort vom Server wird nicht zwischengespeichert. In Versionen vor 10.5.e Build xx.x hat der ADC das CD-Bit aufgehoben, bevor er an den Server weitergibt, und auch die Serverantwort zwischengespeichert.

Konfigurieren von DNSSEC für eine zonenfreie DNS-Proxyserver-Konfiguration

Für eine zonenfreie DNS-Proxyserver-Konfiguration muss die Zonensignierung auf den Backend-Namensservern durchgeführt werden. Auf dem Citrix ADC konfigurieren Sie den ADC als DNS-Proxyserver für die Zone. Erstellen Sie einen virtuellen Lastausgleichsserver des Protokolltyps DNS, konfigurieren Sie Dienste auf dem ADC, um die Nameserver darzustellen, und binden Sie dann die Dienste an den virtuellen Lastausgleichsserver. Weitere Hinweise zu diesen Konfigurationsaufgaben finden Sie unterNetScaler als DNS-Proxyserver konfigurieren.

Wenn ein Client dem ADC eine DNS-Anforderung mit dem DNSSEC OK (DO) -Bit sendet, überprüft der ADC seinen Cache auf die angeforderten Informationen. Wenn die Ressourceneinträge im Cache nicht verfügbar sind, leitet der ADC die Anforderung an einen der DNS-Namensserver weiter und leitet dann die Antwort vom Namenserver an den Client weiter. Darüber hinaus speichert der ADC die RRSIG-Ressourceneinträge zusammen mit der Antwort vom Nameserver. Nachfolgende Anforderungen von DNSSEC-fähigen Clients werden vom Cache (einschließlich der RRSIG-Ressourceneinträge) bedient, abhängig vom Time-to-Live (TTL) -Parameter. Wenn ein Client eine DNS-Anforderung sendet, ohne das DO-Bit festzulegen, antwortet der ADC nur mit den angeforderten Ressourceneinträgen und enthält keine RRSIG-Ressourceneinträge, die spezifisch für DNSSEC sind.

Konfigurieren von DNSSEC für eine Teilzoneneigentumskonfiguration

In einigen Citrix ADC-Konfigurationen kann eine Teilmenge der Ressourceneinträge, die zur Zone gehören, auf dem Citrix ADC konfiguriert werden, obwohl die Berechtigung für eine Zone bei den Backend-Namensservern liegt. Der ADC besitzt (oder ist autorisierend für) nur diese Teilmenge von Datensätzen. Eine solche Teilmenge von Datensätzen kann als Teilzone auf dem ADC angesehen werden. Der ADC ist Eigentümer der Teilzone. Alle anderen Datensätze sind Eigentum der Backend-Nameserver.

Eine typische Teilzonenkonfiguration auf dem Citrix ADC wird angezeigt, wenn globale Server Load Balancing (GSLB) Domänen auf dem ADC konfiguriert sind und die GSLB-Domänen Teil einer Zone sind, für die die Backend-Nameserver autorisierend sind.

Das Signieren einer Zone, die nur eine Teilzone auf dem ADC enthält, beinhaltet das Einschließen der Teilzonendateien in die Backend-Namensserver-Zonendateien, das Signieren der Zone auf den Backend-Nameservern und das Signieren der Teilzone auf dem ADC. Der gleiche Schlüsselsatz muss verwendet werden, um die Zone auf den Nameservern und die Teilzone auf dem ADC zu signieren.

Signieren Sie die Zone auf den Backend-Nameservern

  1. Fügen Sie die in der Teilzone enthaltenen Ressourceneinträge in die Zonendateien der Nameserver ein.
  2. Erstellen Sie Schlüssel und verwenden Sie die Schlüssel, um die Zone auf den Backend-Nameservern zu signieren.

Signieren der Teilzone auf dem Citrix ADC

  1. Erstellen Sie eine Zone mit dem Namen der Zone, die den Backend-Nameservern gehört. Wenn Sie die Teilzone konfigurieren, setzen Sie den ProxyMode-Parameter auf YES. Diese Zone ist die Teilzone, die die Ressourceneinträge des ADC enthält.

    Wenn beispielsweise der Name der Zone, die auf den Backend-Nameservern konfiguriert ist, example.com ist, müssen Sie eine Zone mit dem Namen example.com auf dem ADC erstellen, wobei der ProxyMode-Parameter auf YES festgelegt ist. Weitere Hinweise zum Hinzufügen einer Zone finden Sie unterKonfigurieren einer DNS-Zone.

    Hinweis:

    Fügen Sie keine SOA- und NS-Datensätze für die Zone hinzu. Diese Datensätze sollten nicht auf dem ADC für eine Zone vorhanden sein, für die der ADC nicht autorisierend ist.

  2. Importieren Sie die Schlüssel (von einem der Backend-Nameserver) in den ADC und fügen Sie sie dann dem Verzeichnis /nsconfig/dns/ hinzu. Weitere Informationen zum Importieren und Hinzufügen eines Schlüssels zum ADC finden Sie unterVeröffentlichen eines DNS-Schlüssels in einer Zone.
  3. Signieren Sie die Teilzone mit den importierten Schlüsseln. Wenn Sie die Teilzone mit den Schlüsseln signieren, generiert der ADC RRSIG- und NSEC-Datensätze für die Ressourceneintragsgruppen bzw. einzelne Ressourceneinträge in der Teilzone. Weitere Hinweise zum Signieren einer Zone finden Sie unterSignieren und Aufheben einer DNS-Zone.

Konfigurieren von DNSSEC für eine Zone, für die Citrix ADC ein DNS-Proxyserver ist