Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Erweiterte Funktionen von BIND
Red Hat Enterprise Linux 4: Referenzhandbuch
Zur�ckKapitel 12. Berkeley Internet Name Domain (BIND)Nach vorne

12.5. Erweiterte Funktionen von BIND

Die meisten BIND-Implementierungen verwenden f�r die Dienste zur Aufl�sung von Namen oder als Autorit�t f�r bestimmte Domains oder Sub-Domains nur named. Die Version 9 von BIND verf�gt jedoch auch �ber eine Reihe weiterer Features, die - korrekte Konfigurierung und Verwendung vorausgesetzt - einen sichereren und effizienteren DNS-Dienst gew�hrleisten.

AchtungAchtung
 

Einige dieser Features, wie z.B. DNSSEC, TSIG und IXFR (welche in den folgenden Abschnitten beschrieben werden), sollten nur in Netzwerkumgebungen mit Nameservern verwendet werden, die diese Features unterst�tzen. Wenn Ihre Netzwerkumgebung Nicht-BIND- oder �ltere BIND-Nameserver enth�lt, pr�fen Sie bitte, ob es daf�r verbesserte Features gibt, bevor Sie sie verwenden.

Alle hier vorgestellten Features werden im BIND 9 Administrator Reference Manual detaillierter beschrieben. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.

12.5.1. DNS-Protokoll-Erweiterungen

BIND unterst�tzt Incremental Zone Transfers (IXFR), bei denen Slave-Server nur die aktualisierten Teile einer Zone, die auf einem Master-Name-Server modifiziert wurden, heruntergeladen werden. Der standardm��ige TransferProcess erfordert, dass auch bei der kleinsten �nderung die gesamte Zone an alle Slave-Name-Server �bermittelt wird. F�r sehr popul�re Domains mit sehr gro�z�gigen Zone-Dateien und vielen Slave-Name-Servern macht IXFR den Benachrichtigungs- und Update-Prozess weniger ressourcenintensiv.

Beachten Sie bitte, dass IXFR nur zur Verf�gung steht, wenn Sie f�r �nderungen der Master-Zonen-Records dynamisch updaten verwenden. Wenn Sie Zone-Dateien manuell bearbeiten, um �nderungen durchzuf�hren, verwenden Sie AXFR. Weitere Informationen �ber das dynamische Updaten finden Sie im BIND 9 Administrator Reference Manual. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.

12.5.2. Mehrere Ansichten

Durch Verwendung der view-Anweisung in named.conf, kann BIND verschiedene Informationen bereitstellen, abh�ngig von welchem Netzwerk eine Anforderung gestellt wurde.

Dies ist vor allem dann n�tzlich, wenn Sie nicht m�chten, dass externe Clients einen bestimmten DNS-Dienst ausf�hren oder bestimmte Informationen sehen k�nnen, w�hrend Sie dies auf dem lokalen Netzwerk internen Clients erm�glichen.

Die view-Anweisung verwendet die match-clients-Option, um IP-Adressen oder ganze Netzwerke zu vergleichen und diesen spezielle Optionen und Zone-Daten zu geben.

12.5.3. Sicherheit

BIND unterst�tzt eine Reihe verschiedener Methoden, um das Updaten von Zonen auf Master- oder Slave-Nameservern zu sch�tzen:

  • DNSSEC — Abk�rzung f�r DNS SECurity. Dieses Feature ist f�r Zonen, die mit einem Zonenschl�ssel kryptographisch signiert werden, bestimmt.

    Auf diese Weise kann sichergestellt werden, dass die Informationen �ber eine spezielle Zone von einem Nameserver stammen, der mit einem bestimmten privaten Schl�ssel signiert wurde, und der Empf�nger �ber den �ffentlichen Schl�ssel dieses Nameservers verf�gt.

    Version 9 von BIND unterst�tzt auch die SIG(0) �ffentlicher/privater Schl�ssel Methode f�r die Authentifizierung von Nachrichten.

  • TSIG — Abk�rzung f�r Transaction SIGnatures. Dieses Feature erlaubt die �bertragung von Master zu Slave nur dann, wenn ein gemeinsam verwendeter geheimer Schl�ssel auf beiden Name-Servern existiert.

    Dieses Feature unterst�tzt die auf der IP-Adresse basierende Methode der Transfer-Authorisierung. Somit muss ein unerw�nschter Benutzer nicht nur Zugriff auf die IP-Adresse haben, um die Zone zu �bertragen, sondern auch den geheimen Schl�ssel kennen.

    Version 9 von BIND unterst�tzt auch TKEY, eine weitere Methode der Autorisierung von Zone-�bertragungen auf der Basis eines gemeinsam verwendeten geheimen Schl�ssels.

12.5.4. IP-Version 6

Die Version 9 von BIND kann mit den A6 Zone-Records Name-Service f�r die IP-Version 6 (IPv6)-Umgebungen zur Verf�gung stellen.

Wenn Ihre Netzwerkumgebung sowohl �ber Ipv4- als auch IPv6-Hosts verf�gt, k�nnen Sie den lwresd Lightweight-Resolver-Daemon in Ihren Netzwerk-Clients verwenden. Dieser Daemon ist ein sehr effektiver Caching-Only-Name-Server, der die neuesten A6- und DNAME-Records versteht, die mit Ipv6 verwendet werden. Auf der lwresd-man-Seite finden Sie weitere Informationen hierzu.

Zur�ckZum AnfangNach vorne
Die Verwendung von rndcNach obenAllgemein zu vermeidende Fehler

  
 
  Published under the terms of the GNU General Public License Design by Interspire