Domain Name System/Server/Autoritative: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (21 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''{{BASEPAGENAME}}''' - | '''{{BASEPAGENAME}}''' - Autoritativer Server | ||
== Beschreibung == | == Beschreibung == | ||
'''Die Hauptaufgabe eines autoritativen Servers''': Speicherung und Veröffentlichung autoritativer Daten | |||
* Speichert eine oder mehrere DNS-Zonen. Quelle der autoritativen Daten für diese Zonen | |||
* | ;Abgrenzung zum Rekursiven Server | ||
* Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet NXDOMAIN oder NODATA. | * Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen. | ||
* Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet ''NXDOMAIN'' oder ''NODATA''. | |||
* Der ausgehende Datenverkehr ist auf den Dienstverkehr beschränkt: ''AXFR/IXFR'' zum Master, ''NOTIFY'' zu den Slaves. | |||
* Führt keine Rekursion durch. | |||
:* ''RD'' in der Anfrage wird ignoriert. | |||
:* ''RA'' in der Antwort = 0. | |||
== Funktionen == | |||
=== Rollen === | === Rollen === | ||
==== Primary (Master) ==== | ==== Primary (Master) ==== | ||
Einzige Quelle für Zonenänderungen. Verwaltet den beschreibbaren Speicher/das Repository. Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden. | * Einzige Quelle für Zonenänderungen. | ||
* Verwaltet den beschreibbaren Speicher/das Repository. | |||
* Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden. | |||
* Erhöht die SOA-Serial bei jeder Änderung. Hält Journale für IXFR. Fällt bei Bedarf auf AXFR zurück. | |||
* Versendet NOTIFY an Secondaries. Pflegt die Empfängerliste. | |||
* Kein Rekursivmodus. | |||
* In [[BIND]] kann derselbe Server zwar auch rekursiv agieren, jedoch gilt dies als getrennte Funktionsebene | |||
; Hidden Primary | |||
* Der primäre Server ist innerhalb der Infrastruktur versteckt, z. B. hinter einer Firewall. | |||
* Der Secondary-DNS-Server bedient alle DNS-Anfragen wie der Primary-Server und erhält weiterhin alle DNS-Eintrag-Updates vom primären DNS-Server. | |||
* Diese Konfiguration wird ausschließlich zur Erhöhung der Sicherheit verwendet. | |||
==== Secondary (Slave) ==== | ==== Secondary (Slave) ==== | ||
| Zeile 16: | Zeile 36: | ||
* Authentifizierung über TSIG. | * Authentifizierung über TSIG. | ||
; Multi-Primary | |||
Mehrere Primäre für hohe Verfügbarkeit. Synchronisierung von Serien und Schlüsseln erforderlich. | * Mehrere Primäre für hohe Verfügbarkeit. | ||
* Synchronisierung von Serien und Schlüsseln erforderlich. | |||
; Nur autoritativ | |||
Server, bei dem die Rekursion deaktiviert ist. | Server, bei dem die Rekursion deaktiviert ist. | ||
=== Speicherung von DNS-Einträgen === | |||
=== Verarbeitung von DNS-Anfragen === | |||
==== Flags ==== | |||
'''Flags''' – Bits im DNS-Header, beschreiben die Art der Anfrageverarbeitung | |||
{| class="wikitable options gnu big" | |||
! Bedeutung | |||
! Beschreibung | |||
! Anmerkungen | |||
|- | |||
! colspan="3" | QR — Query/Response | |||
|- | |||
| 0 || Query || — | |||
|- | |||
| 1 || Response || — | |||
|- | |||
! colspan="3" | AA — Authoritative Answer | |||
|- | |||
| 0 || Die Antwort ist für den Namen nicht maßgeblich || Auf einem autoritativen Server außerhalb seiner Zonen | |||
|- | |||
| 1 || Die Antwort ist für den Namen maßgeblich || Auf dem autoritativen Server für seine Zone | |||
|- | |||
! colspan="3" | TC — Truncated | |||
|- | |||
| 0 || Die Antwort ist nicht abgeschnitten. || — | |||
|- | |||
| 1 || Antwort abgeschnitten (fragmentiert), Antwort über TCP wiederholen || Der Client wechselt zu TCP 53 | |||
|- | |||
! colspan="3" | RD — Recursion Desired | |||
|- | |||
| 0 || Der Client fordert keine Rekursion an || Standardmäßig für direkte Anfragen an den autoritativen Server | |||
|- | |||
| 1 || Der Kunde fordert eine Rekursion an. || Ein autoritativer Server führt keine Rekursion durch. In seiner Antwort ist RA=0, auch wenn RD=1 in der Anfrage stand | |||
|- | |||
! colspan="3" | RA — Recursion Available | |||
|- | |||
| 0 || Rekursion ist auf diesem Server nicht verfügbar || Standardmäßig für autoritative-only | |||
|- | |||
| 1 || Der Server unterstützt Rekursion || Standardmäßig bei rekursiven Resolvern | |||
|- | |||
! colspan="3" | Z — Reserviert | |||
|- | |||
| 0 || Korrekte Bedeutung || — | |||
|- | |||
| 1 || Unzulässig gemäß Norm || Ignoriert. Reserve für zukünftige Protokollerweiterungen | |||
|- | |||
! colspan="3" | AD — Authenticated Data (DNSSEC) | |||
|- | |||
| 0 || Daten sind nicht als DNSSEC validiert gekennzeichnet || Standardmäßig | |||
|- | |||
| 1 || Die Daten wurden durch DNSSEC validiert || Wird nur von einem rekursiven Resolver mit aktiviertem DNSSEC gesetzt | |||
|- | |||
! colspan="3" | CD — Checking Disabled (DNSSEC) | |||
|- | |||
| 0 || Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. || Standardmäßig | |||
|- | |||
| 1 || Der Kunde bittet darum, DNSSEC nicht zu überprüfen. || Einstellbar | |||
|} | |||
; EDNS(0) — DO (DNSSEC OK) — Flag in OPT | |||
* '''0''' - Клиент не запрашивает DNSSEC-данные | |||
* '''1''' - Сервер добавляет соответствующие RRSIG/DNSKEY | |||
==== RCODE ==== | |||
'''Antwortcodes, RCODE''' – Ergebnis der Bearbeitung einer Anfrage | |||
=== Aktualisierung von Informationen === | |||
==== Replikation von Zonen ==== | |||
Abgestimmtes Kopieren (Replikation) der Zone vom Primärserver auf die Sekundärserver. | |||
; SOA serial number | |||
* Eindeutige Versionsnummer der DNS-Zone | |||
* Erhöht sich bei jeder Änderung der DNS-Zone | |||
; AXFR (RFC 5936) | |||
* Vollständige Replikation der Zone | |||
* Funktioniert über TCP | |||
* Wird für die Erstbefüllung verwendet oder wenn IXFR nicht möglich ist | |||
* Enthält alle Ressourcensätze der Zone | |||
; IXFR | |||
; NOTIFY | |||
; Protokollierung | |||
=== DNS-Zone === | |||
==== SOA ==== | |||
==== NS ==== | |||
; Negative Caching (RFC 2308) | |||
=== Transport === | |||
==== UDP ==== | |||
==== TCP ==== | |||
=== DNSSEC === | |||
; KSK,ZSK | |||
; CSK | |||
; NSEC, NSEC3 | |||
=== Negative Antworten === | |||
=== NXDOMAIN === | |||
=== NOERROR === | |||
=== NODATA === | |||
;SOA.MINIMUM | |||
;TTL | |||
<noinclude> | <noinclude> | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
| Zeile 52: | Zeile 209: | ||
[[Kategorie:Domain Name System]] | [[Kategorie:Domain Name System]] | ||
[[Kategorie:Domain Name System/Server]] | |||
</noinclude> | </noinclude> | ||
Aktuelle Version vom 12. November 2025, 18:09 Uhr
Domain Name System/Server/Autoritative - Autoritativer Server
Beschreibung
Die Hauptaufgabe eines autoritativen Servers: Speicherung und Veröffentlichung autoritativer Daten
- Speichert eine oder mehrere DNS-Zonen. Quelle der autoritativen Daten für diese Zonen
- Abgrenzung zum Rekursiven Server
- Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen.
- Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet NXDOMAIN oder NODATA.
- Der ausgehende Datenverkehr ist auf den Dienstverkehr beschränkt: AXFR/IXFR zum Master, NOTIFY zu den Slaves.
- Führt keine Rekursion durch.
- RD in der Anfrage wird ignoriert.
- RA in der Antwort = 0.
Funktionen
Rollen
Primary (Master)
- Einzige Quelle für Zonenänderungen.
- Verwaltet den beschreibbaren Speicher/das Repository.
- Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden.
- Erhöht die SOA-Serial bei jeder Änderung. Hält Journale für IXFR. Fällt bei Bedarf auf AXFR zurück.
- Versendet NOTIFY an Secondaries. Pflegt die Empfängerliste.
- Kein Rekursivmodus.
- In BIND kann derselbe Server zwar auch rekursiv agieren, jedoch gilt dies als getrennte Funktionsebene
- Hidden Primary
- Der primäre Server ist innerhalb der Infrastruktur versteckt, z. B. hinter einer Firewall.
- Der Secondary-DNS-Server bedient alle DNS-Anfragen wie der Primary-Server und erhält weiterhin alle DNS-Eintrag-Updates vom primären DNS-Server.
- Diese Konfiguration wird ausschließlich zur Erhöhung der Sicherheit verwendet.
Secondary (Slave)
- Nur lesbare Replikate.
- Erhalten Änderungen über AXFR/IXFR. Initiierung über NOTIFY.
- Authentifizierung über TSIG.
- Multi-Primary
- Mehrere Primäre für hohe Verfügbarkeit.
- Synchronisierung von Serien und Schlüsseln erforderlich.
- Nur autoritativ
Server, bei dem die Rekursion deaktiviert ist.
Speicherung von DNS-Einträgen
Verarbeitung von DNS-Anfragen
Flags
Flags – Bits im DNS-Header, beschreiben die Art der Anfrageverarbeitung
| Bedeutung | Beschreibung | Anmerkungen |
|---|---|---|
| QR — Query/Response | ||
| 0 | Query | — |
| 1 | Response | — |
| AA — Authoritative Answer | ||
| 0 | Die Antwort ist für den Namen nicht maßgeblich | Auf einem autoritativen Server außerhalb seiner Zonen |
| 1 | Die Antwort ist für den Namen maßgeblich | Auf dem autoritativen Server für seine Zone |
| TC — Truncated | ||
| 0 | Die Antwort ist nicht abgeschnitten. | — |
| 1 | Antwort abgeschnitten (fragmentiert), Antwort über TCP wiederholen | Der Client wechselt zu TCP 53 |
| RD — Recursion Desired | ||
| 0 | Der Client fordert keine Rekursion an | Standardmäßig für direkte Anfragen an den autoritativen Server |
| 1 | Der Kunde fordert eine Rekursion an. | Ein autoritativer Server führt keine Rekursion durch. In seiner Antwort ist RA=0, auch wenn RD=1 in der Anfrage stand |
| RA — Recursion Available | ||
| 0 | Rekursion ist auf diesem Server nicht verfügbar | Standardmäßig für autoritative-only |
| 1 | Der Server unterstützt Rekursion | Standardmäßig bei rekursiven Resolvern |
| Z — Reserviert | ||
| 0 | Korrekte Bedeutung | — |
| 1 | Unzulässig gemäß Norm | Ignoriert. Reserve für zukünftige Protokollerweiterungen |
| AD — Authenticated Data (DNSSEC) | ||
| 0 | Daten sind nicht als DNSSEC validiert gekennzeichnet | Standardmäßig |
| 1 | Die Daten wurden durch DNSSEC validiert | Wird nur von einem rekursiven Resolver mit aktiviertem DNSSEC gesetzt |
| CD — Checking Disabled (DNSSEC) | ||
| 0 | Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. | Standardmäßig |
| 1 | Der Kunde bittet darum, DNSSEC nicht zu überprüfen. | Einstellbar |
- EDNS(0) — DO (DNSSEC OK) — Flag in OPT
- 0 - Клиент не запрашивает DNSSEC-данные
- 1 - Сервер добавляет соответствующие RRSIG/DNSKEY
RCODE
Antwortcodes, RCODE – Ergebnis der Bearbeitung einer Anfrage
Aktualisierung von Informationen
Replikation von Zonen
Abgestimmtes Kopieren (Replikation) der Zone vom Primärserver auf die Sekundärserver.
- SOA serial number
- Eindeutige Versionsnummer der DNS-Zone
- Erhöht sich bei jeder Änderung der DNS-Zone
- AXFR (RFC 5936)
- Vollständige Replikation der Zone
- Funktioniert über TCP
- Wird für die Erstbefüllung verwendet oder wenn IXFR nicht möglich ist
- Enthält alle Ressourcensätze der Zone
- IXFR
- NOTIFY
- Protokollierung
DNS-Zone
SOA
NS
- Negative Caching (RFC 2308)
Transport
UDP
TCP
DNSSEC
- KSK,ZSK
- CSK
- NSEC, NSEC3
Negative Antworten
NXDOMAIN
NOERROR
NODATA
- SOA.MINIMUM
- TTL
Anhang
Siehe auch