Die meisten BIND-Implementierungen verwenden f�r die Dienste zur Aufl�sung von Namen oder als Autorit�t f�r bestimmte Domains oder Sub-Domains nur named. Die Version 9 von BIND verf�gt jedoch auch �ber eine Reihe weiterer Features, die - korrekte Konfigurierung und Verwendung vorausgesetzt - einen sichereren und effizienteren DNS-Dienst gew�hrleisten.
Achtung
Einige dieser Features, wie z.B. DNSSEC, TSIG und IXFR (welche in den folgenden Abschnitten beschrieben werden), sollten nur in Netzwerkumgebungen mit Nameservern verwendet werden, die diese Features unterst�tzen. Wenn Ihre Netzwerkumgebung Nicht-BIND- oder �ltere BIND-Nameserver enth�lt, pr�fen Sie bitte, ob es daf�r verbesserte Features gibt, bevor Sie sie verwenden.
Alle hier vorgestellten Features werden im BIND 9 Administrator Reference Manual detaillierter beschrieben. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.
12.5.1. DNS-Protokoll-Erweiterungen
BIND unterst�tzt Incremental Zone Transfers (IXFR), bei denen Slave-Server nur die aktualisierten Teile einer Zone, die auf einem Master-Name-Server modifiziert wurden, heruntergeladen werden. Der standardm��ige TransferProcess erfordert, dass auch bei der kleinsten �nderung die gesamte Zone an alle Slave-Name-Server �bermittelt wird. F�r sehr popul�re Domains mit sehr gro�z�gigen Zone-Dateien und vielen Slave-Name-Servern macht IXFR den Benachrichtigungs- und Update-Prozess weniger ressourcenintensiv.
Beachten Sie bitte, dass IXFR nur zur Verf�gung steht, wenn Sie f�r �nderungen der Master-Zonen-Records dynamisch updaten verwenden. Wenn Sie Zone-Dateien manuell bearbeiten, um �nderungen durchzuf�hren, verwenden Sie AXFR. Weitere Informationen �ber das dynamische Updaten finden Sie im BIND 9 Administrator Reference Manual. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.
12.5.2. Mehrere Ansichten
Durch Verwendung der view-Anweisung in named.conf, kann BIND verschiedene Informationen bereitstellen, abh�ngig von welchem Netzwerk eine Anforderung gestellt wurde.
Dies ist vor allem dann n�tzlich, wenn Sie nicht m�chten, dass externe Clients einen bestimmten DNS-Dienst ausf�hren oder bestimmte Informationen sehen k�nnen, w�hrend Sie dies auf dem lokalen Netzwerk internen Clients erm�glichen.
Die view-Anweisung verwendet die match-clients-Option, um IP-Adressen oder ganze Netzwerke zu vergleichen und diesen spezielle Optionen und Zone-Daten zu geben.
12.5.3. Sicherheit
BIND unterst�tzt eine Reihe verschiedener Methoden, um das Updaten von Zonen auf Master- oder Slave-Nameservern zu sch�tzen:
DNSSEC — Abk�rzung f�r DNS SECurity. Dieses Feature ist f�r Zonen, die mit einem Zonenschl�ssel kryptographisch signiert werden, bestimmt.
Auf diese Weise kann sichergestellt werden, dass die Informationen �ber eine spezielle Zone von einem Nameserver stammen, der mit einem bestimmten privaten Schl�ssel signiert wurde, und der Empf�nger �ber den �ffentlichen Schl�ssel dieses Nameservers verf�gt.
Version 9 von BIND unterst�tzt auch die SIG(0) �ffentlicher/privater Schl�ssel Methode f�r die Authentifizierung von Nachrichten.
TSIG — Abk�rzung f�r Transaction SIGnatures. Dieses Feature erlaubt die �bertragung von Master zu Slave nur dann, wenn ein gemeinsam verwendeter geheimer Schl�ssel auf beiden Name-Servern existiert.
Dieses Feature unterst�tzt die auf der IP-Adresse basierende Methode der Transfer-Authorisierung. Somit muss ein unerw�nschter Benutzer nicht nur Zugriff auf die IP-Adresse haben, um die Zone zu �bertragen, sondern auch den geheimen Schl�ssel kennen.
Version 9 von BIND unterst�tzt auch TKEY, eine weitere Methode der Autorisierung von Zone-�bertragungen auf der Basis eines gemeinsam verwendeten geheimen Schl�ssels.
12.5.4. IP-Version 6
Die Version 9 von BIND kann mit den A6 Zone-Records Name-Service f�r die IP-Version 6 (IPv6)-Umgebungen zur Verf�gung stellen.
Wenn Ihre Netzwerkumgebung sowohl �ber Ipv4- als auch IPv6-Hosts verf�gt, k�nnen Sie den lwresd Lightweight-Resolver-Daemon in Ihren Netzwerk-Clients verwenden. Dieser Daemon ist ein sehr effektiver Caching-Only-Name-Server, der die neuesten A6- und DNAME-Records versteht, die mit Ipv6 verwendet werden. Auf der lwresd-man-Seite finden Sie weitere Informationen hierzu.