ADC
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

DNSSEC-Vorgänge an Citrix ADC auslagern

Für DNS-Zonen, für die Ihre DNS-Server autorisierend sind, können DNSSEC-Vorgänge auf die ADC-Appliance übertragen werden. In einer DNSSEC-Offloading-Bereitstellung sendet ein DNS-Server nicht signierte Antworten. Der ADC signiert die Antwort dynamisch, bevor er sie an den Client weiterleitet. Der ADC speichert auch die signierte Antwort. Neben der Verringerung der Belastung der DNS-Server bietet das Auslagern von DNSSEC-Vorgängen an den ADC folgende Vorteile:

  • Sie können Datensätze signieren, die von den DNS-Servern programmgesteuert generiert werden. Solche Datensätze können nicht durch routinemäßige Zonensignierungsvorgänge signiert werden, die auf den DNS-Servern ausgeführt werden.
  • Sie können signierte Antworten an Clients senden, auch wenn Sie DNSSEC auf Ihren Servern nicht implementiert haben.

Zum Einrichten der DNSSEC-Abladung müssen Sie einen virtuellen DNS-Lastausgleichsserver konfigurieren, Dienste konfigurieren, die die DNS-Server darstellen, und dann die Dienste an den virtuellen Server binden. Informationen zum Konfigurieren eines virtuellen DNS-Lastenausgleichsservers, zum Konfigurieren von Diensten und zum Binden der Dienste an den virtuellen Server finden Sie unter Konfigurieren einer DNS-Zone.

Erstellen Sie eine Zonen-Entity auf dem ADC für jede DNS-Zone, deren DNSSEC-Vorgänge Sie auslagern möchten. Für jede DNS-Zone müssen Sie die Parameter Proxy Mode und DNSSEC Offload aktivieren. Sie können optional die NSEC-Datensatzgenerierung für eine ausgelagerte Zone konfigurieren. Um eine DNS-Zonenentität für DNSSEC-Abladung zu erstellen, folgen Sie den Anweisungen in diesem Thema.

Um die Konfiguration abzuschließen, müssen Sie DNS-Schlüssel für die Zone generieren, die Schlüssel zur Zone hinzufügen und dann die Zone mit den Schlüsseln signieren. Dieser Prozess ist der gleiche wie für normale DNSSEC. Informationen zum Erstellen von Schlüsseln, zum Hinzufügen von Schlüsseln zu einer Zone und zum Signieren der Zone finden Sie unter Sicherheitserweiterungen für Domänennamen.

Nachdem Sie DNS-Abladung konfiguriert haben, müssen Sie den DNS-Cache auf dem Citrix ADC leeren. Durch das Leeren des DNS-Cache wird sichergestellt, dass alle nicht signierten Datensätze im Cache entfernt und dann durch signierte Datensätze ersetzt werden. Informationen zum Löschen des DNS-Caches finden Sie unter Flush DNS-Datensätze.

Aktivieren der DNSSEC-Abladung für eine Zone mit der CLI

Geben Sie in der Befehlszeile die folgenden Befehle ein, um DNSSEC-Verschiebung für eine Zone zu aktivieren und die Konfiguration zu überprüfen:

- add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED ) - show dns zone

Beispiel:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED Done > show dns zone example.com Zone Name : example.com Proxy Mode : YES DNSSEC Offload: ENABLED NSEC: ENABLED Done

Aktivieren der DNSSEC-Abladung für eine Zone mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Zonen.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Klicken Sie auf Hinzufügen, um eine Zone auf dem Citrix ADC zu erstellen.
    • Um DNSSEC-Abladung für eine vorhandene Zone zu konfigurieren, doppelklicken Sie auf die Zone.
  3. Aktivieren Sie im Dialogfeld DNS-Zone erstellen oder DNS-Zone konfigurieren die Kontrollkästchen Proxymodus und DNSSEC-Abladung.
  4. Aktivieren Sie optional das Kontrollkästchen NSEC, wenn Citrix ADC NSEC-Einträge für die Zone generieren soll.
Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
DNSSEC-Vorgänge an Citrix ADC auslagern