Management von IP-Adressen

Verwaltung von DNS und DHCP

6. März 2015, 7:00 Uhr | Thomas Bär und Frank-Michael Schlede/jos

Die Übersicht bei DNS und DHCP zu behalten und Server einfacher zu verwalten - dies sind die Aufgabengebiete einer Spezialsoftware aus Island. Die "Men & Mice Suite" in der aktuellen Version 6.7 musste im Test zeigen, was sie leisten kann.

DNS (Domain Name System) und DHCP (Dynamic Host Configuration Protocol) sind wahrlich nichts Neues mehr - eigentlich schon eher dienstälteste Protokolle aus den Frühtagen des Internets. Der erste Standard für den Name-Service wurde bereits im Jahr 1987 durch die RFC 1034 und RFC 1035 definiert, DHCP etwas später im Jahr 1993 durch RFC 1531 und RFC 1531, aufbauend auf dem 1985 entstandenen BOOTP. Obwohl schon uralt und in jedem Internet-Router gewissermaßen per Standardeinstellung zu haben: Jeder Administrator weiß, dass ohne ein ordentlich eingerichtetes DNS kein Active Directory funktioniert, von den immer mehr zunehmenden Gefahren durch bewusst gefälschte Namensauflösung ganz zu schweigen.
Verzeichnisdienste, also auch Microsoft Active Directory, haben eine hohe Abhängigkeit von der Namensauflösung, und sie reagieren äußerst empfindlich, sobald dabei etwas nicht so klappt, wie es soll. Eine funktionierende Namensauflösung einzurichten ist dank der recht guten Assistenten unter Microsoft Windows im Grunde kein Hexenwerk mehr. Sobald die Anzahl von Maschinen wächst und möglicherweise neben Windows-Servern auch noch andere Betriebssysteme zum Einsatz kommen, stoßen die Betriebssystem-Bordmittel jedoch schnell an ihre Leistungsgrenzen.
Die Software von Men & Mice, einer Firma mit Sitz im isländischen Reykjavik, ist ein spezielles Programm der Kategorie "IP-Address-Management" (IPAM). Die Suite besteht aus verschiedenen Programmen, die sich verteilt auf unterschiedlichen Servern vom Administrator über TCP-Port 1231 über eine zentrale Software ansprechen lassen. Drei primäre Arbeitsoberflächen stehen ihm zur Verfügung: die Men & Mice Management Console als primäres Interface, die Kommandozeilenprogramme (M&M Command Line Interface, CLI) und eine Web-Oberfläche. Abhängig von der Plattform nutzt die Software als Web-Server den Microsoft IIS oder eine aktuelle Apache-Version. Bei den DNS-Servern selbst kann es sich um Microsoft-Server-2003-Varianten oder neuer sowie um BIND 9.3 und höher handeln. Bei den DHCP-Servern arbeitet die Software mit Microsoft DHCP, ISC DHCP 3.0.6 oder neuer und Ciscos IOS 12.3 bis 15.1 mit DHCP-Support zusammen. Für die Installation der Men-&-Mice-Management-Konsole ist in jedem Fall mindestens ein Windows Server 2003 ab 1 GHz CPU-Taktfrequenz, 1 GByte RAM und 250 MByte Festplattenspeicher erforderlich.
Auf jeden zu steuernden Server mit DNS- und DHCP-Dienst ist die passende Server-Controller-Agent-Software zu installieren. Die Installationspakete, die sogenannten "Controllers", sind für Windows nicht einmal 5 MByte groß und innerhalb weniger Augenblicke eingerichtet. Die Agent-Software kommuniziert mit dem entsprechenden Management-Server über die Ports 1337/TCP für DNS und 4151/TCP für DHCP. Alle verwendeten Ports aus der Suite sind bei der IANA gemeldet und auf der Liste der "Well Known Ports" vermerkt.
Grundsätzlich erlaubt die Software auch einen Zugriff ohne die "Controller"-Agent-Komponente unter Microsoft Office. Im Test gelang uns jedoch kein Zugriff im "Agentfree Mode" auf Windows Server 2008 R2 und Windows Server 2012 R2 - nicht einmal beim "localhost".
 
Zügige Installation
Men & Mice bietet seine Software als Testversion mit einer Laufzeit von 21 Tagen auf seiner Website an. Ob es sich bei der Konfiguration um eine Testinstallation oder Vollinstallation handelt, ist einzig durch die verwendeten Lizenzschlüssel bestimmt. Der Download aller Komponenten inklusive der jeweiligen PDF-Anleitungen umfasst lediglich rund 30 MByte. Die Installation der Software selbst dauert nur einige Minuten. Die notwendigen Angaben beschränken sich auf Annahme der Lizenzbedingung und die Auswahl des Zielpfades.
In einer schnellen Testinstallation nutzt der Administrator schlicht Single Sign-on (SSO) über die Domänenberechtigung. In größeren Umgebungen, die eine feinere Zuweisung von Bereichen und Aufgaben für verschiedene Personen benötigen, empfiehlt sich der Einsatz einer Rechtesteuerung. Grundsätzlich gilt jedoch, dass die Bordmittel der beteiligten Betriebssysteme wie gewohnt weiterarbeiten. Die Suite arbeitet "nicht invasiv" und erweitert lediglich die Funktionalität und Übersicht in den softwareeigenen Konsolen.
Die Programmoberfläche der Suite ist klar gegliedert: Sie enthält den sogenannten "Object Browser" mit Zugriff auf die verwalteten DNS-Zonen, IP/DHCP-Bereiche und die dahinterstehenden Server. Bevor jedoch eine einzige Aktion aus der Konsole möglich ist, muss der Administrator die notwendige Agent-Software auf die DNS- und DHCP-Server verteilen. Dies geschieht entweder manuell oder über eine Softwareverteilungslösung.
 
Namensauflösungen
Das Programmfenster der Suite listet in einer Tabellenansicht alle DNS-Einträge auf, die der Administrator von dort aus per Klick und Eingabe modifiziert. Filter- und Suchfunktionen helfen bei der Suche nach Einträgen. Detailinformationen wie die aktuelle Seriennummer eines DNS-Eintrags für den "SOA Resource Record", Refresh- und Retry- oder Expire-Einstellungen gibt die Software für jede Zone aus. Auch diese Einträge kann der Administrator editieren. Bis er die Anpassungen durch ein Klick auf die "Speichern"-Schaltfläche bestätigt, passiert zunächst nichts. Praktischerweise fasst die Software alle Änderungen noch einmal zusammen und erlaubt die Vergabe von Kommentaren.
Diese Kommentare speichert die Suite in der Historie der Änderungen zusätzlich zum Zeitstempel, Benutzernamen und der Änderung selbst. Dies erleichtert die Dokumentation. Wie von Windows her bekannt, unterstützt die Software den Administrator auch bei der Erstellung von DNS-Einträgen mithilfe eines Wizards. Er leitet den Benutzer Schritt für Schritt durch die Erstellung neuer Einträge, das Anlegen von Alias-Namen (CNAMEs), die Neuanlage von Name-Servern oder die Eingabe von neuen Routen für Mail-Server. Der Wizard ist ohne Frage praktisch, jedoch verfügt er über keine kontextsensitive Hilfe. Lediglich kurze Kommentare zeigt das Programm an - beispielsweise, dass ein Name aktuell nicht auflösbar ist, was bei Anlage eines sich darauf beziehenden CNAMEs zu Schwierigkeiten führen würde. Wir hätten von einem "Wizard" in diesem Punkt mehr erwartet.
Etwas besser sieht es bei der Analyse aus - die Schaltfläche findet der Administrator in der Menüleiste. Zu einer exemplarisch vorgenommenen Anpassung des SOA-Refresh-Werts - er steuert, in welchem Sekundenintervall die DNS-Slave-Server anfragen, ob eine Änderung vorliegt - gibt die Software den Hinweis "The refresh value in the SOA record is too close to the retry value" aus.
Der Refresh-Wert soll gemäß der Software mindestens dreimal größer gewählt werden als der dazugehörige Retry-Eintrag. Interessanterweise gibt die Software jedoch keinen Hinweis darauf, dass laut RIPE-203 die empfohlene Refresh-Einstellung der Zonenübertragung 86.400 und der Retry-Wert 7.200 Sekunden betragen. Viele Fehler, wie beispielsweise unklare Einträge in der Namensauflösung, beanstandet die Software korrekt. Die Behebung der Fehler muss der Administrator über die Oberfläche jedoch selbst durchführen. Zwar fanden wir im Kontextmenü den Befehl "Fix?", dieser war jedoch stets ausgegraut.
DNS-Zonen per "Copy and Paste" zu kopieren ist mit der Suite jedoch kein Problem. Sie erlaubt es auch, die Zonenübersichten auszudrucken, jedoch kann der Benutzer die Spalteneinstellungen in der Ansicht nicht frei anpassen. Die Spalten sind so breit, wie sie sind - fertig. Glücklicherweise erlaubt das Programm die Sortierung gemäß der Spalte, was dem zuständigen DNS-Administrator das Löschen nicht mehr benötigter Einträge erleichtert.
 
Verwaltung von IP-Bereichen und DHCP Scopes
Für die sicher in absehbarer Zukunft in vielen Unternehmen anstehende Umstellung von IPv4 auf IPv6 ist die Men-&-Mice-Suite 6.7 gut gerüstet und verwaltet beide IP-Versionen problemlos parallel. Wird die Baumstruktur des Menüs erstmalig geöffnet, so ist der IP/DHCP-Bereich erwartungsgemäß leer. Die DHCP-Bereiche füllen sich von allein, nachdem die Software Kontakt zu den DHCP-Servern aufgenommen und die Daten ausgelesen hat. Wie auch beim DNS ist die Suite dabei nicht an Domänen- oder Systemgrenzen gebunden und verwaltet die unterschiedlichen Strukturen. Verkleinerungen oder Vergrößerungen von DHCP-Bereichen steuert der Administrator über Befehle im Kontextmenü der Software. Für den besseren Überblick bietet es sich an, verschiedene Ordner anzulegen, die frei benannt verschiedene IP-Bereiche umfassen können. Kleine Helfer wie beispielsweise den Ping-Echo-Request-Befehl haben die Entwickler im Kontextmenü eingebaut.
In das Kontextmenü ist das Ping-Kommando integriert, was bei einer Prüfung das Öffnen eines zusätzlichen Kommandozeilenfensters erspart. Leider blockiert eine nicht antwortende Adresse das komplette Interface für mehrere Sekunden. Selbst andere Programmfenster, auf die sich ansonsten ganz MDI-gerecht gleichzeitig zugreifen lässt, entziehen sich weiterer Ein- und Ausgaben.
Die Anlage von Lease-Reservierungen aus dem Programm heraus ist praktisch gelöst. Hat sich das gewünschte System bereits eine DHCP-Adresse gezogen, dann trägt die Software die MAC-Adresse ein, die der Administrator direkt in die Zwischenablage kopieren kann. Soll die aktuelle Lease zu einer Reservierung werden, so beschränkt sich der Aufwand für den Administrator auf einen Mausklick.
 
Fazit
Bei der Men-&-Mice-Suite handelt es sich um eine sehr einfach einzusetzende Software, um eine einheitliche und standortübergreifende Sicht auf die DNS- und DHCP-Daten zu gewinnen. Anstatt unterschiedliche Benutzeroberflächen auf einzelnen Servern zu verwenden, bietet sie alle Funktionen auf einen Blick und erweitert diese durch Reporting-Funktionen. Interessierte Administratoren sollten durchaus die Möglichkeit nutzen, sich über eine 21 Tage lang lauffähige Testinstallation mit der Lösung vertraut zu machen.

Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede

Info: Men & MiceCIO SolutionsTel.: 030/345066-0 Web: www.menandmice.com

Die Men-&-Mice-Suite bietet einen Zugriff ohne Agent-Software, dieser funktionierte im Test jedoch nicht.

Leider kann der Benutzer in der Suite die Spaltenbreite nicht anpassen.

DNS-, IP- und DHCP-Server-Verwaltung für verschiedene Betriebssysteme mit einer einzigen Software.

Automatische Fehleranalyse für die Namensauflösung inklusive.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+