Domain Name System/Server/Autoritative: Unterschied zwischen den Versionen
Änderung 157604 von DanielZorin (Diskussion) rückgängig gemacht. Markierung: Rückgängigmachung |
Keine Bearbeitungszusammenfassung |
||
| (10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
'''Die Hauptaufgabe eines autoritativen Servers''': Speicherung und Veröffentlichung autoritativer Daten | |||
* Speichert eine oder mehrere DNS-Zonen. Quelle der autoritativen Daten für diese Zonen | |||
;Abgrenzung zum Rekursiven Server | |||
* Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen. | * Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen. | ||
* Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet ''NXDOMAIN'' oder ''NODATA''. | |||
* Der ausgehende Datenverkehr ist auf den Dienstverkehr beschränkt: ''AXFR/IXFR'' zum Master, ''NOTIFY'' zu den Slaves. | |||
* Führt keine Rekursion durch. | |||
:* ''RD'' in der Anfrage wird ignoriert. | |||
:* ''RA'' in der Antwort = 0. | |||
== Funktionen == | == Funktionen == | ||
| Zeile 16: | Zeile 21: | ||
* Verwaltet den beschreibbaren Speicher/das Repository. | * Verwaltet den beschreibbaren Speicher/das Repository. | ||
* Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden. | * Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden. | ||
* Erhöht die SOA-Serial bei jeder Änderung. Hält Journale für IXFR. Fällt bei Bedarf auf AXFR zurück. | |||
* Versendet NOTIFY an Secondaries. Pflegt die Empfängerliste. | |||
* Kein Rekursivmodus. | |||
* In [[BIND]] kann derselbe Server zwar auch rekursiv agieren, jedoch gilt dies als getrennte Funktionsebene | |||
; Hidden Primary | ; Hidden Primary | ||
* Der primäre Server ist innerhalb der Infrastruktur versteckt, z. B. hinter einer Firewall. | |||
* Der Secondary-DNS-Server bedient alle DNS-Anfragen wie der Primary-Server und erhält weiterhin alle DNS-Eintrag-Updates vom primären DNS-Server. | |||
* Diese Konfiguration wird ausschließlich zur Erhöhung der Sicherheit verwendet. | |||
==== Secondary (Slave) ==== | ==== Secondary (Slave) ==== | ||
| Zeile 41: | Zeile 53: | ||
{| class="wikitable options gnu big" | {| class="wikitable options gnu big" | ||
! Bedeutung | ! Bedeutung | ||
! Beschreibung | ! Beschreibung | ||
! Anmerkungen | ! Anmerkungen | ||
|- | |||
! colspan="3" | QR — Query/Response | |||
|- | |- | ||
| 0 || Query || — | | 0 || Query || — | ||
| Zeile 52: | Zeile 64: | ||
|- | |- | ||
! colspan="3" | AA — Authoritative Answer | ! colspan="3" | AA — Authoritative Answer | ||
|- | |- | ||
| 0 || Die Antwort ist für den Namen nicht maßgeblich || Auf einem autoritativen Server außerhalb seiner Zonen | | 0 || Die Antwort ist für den Namen nicht maßgeblich || Auf einem autoritativen Server außerhalb seiner Zonen | ||
| Zeile 62: | Zeile 70: | ||
|- | |- | ||
! colspan="3" | TC — Truncated | ! colspan="3" | TC — Truncated | ||
|- | |- | ||
| 0 || Die Antwort ist nicht abgeschnitten. || — | | 0 || Die Antwort ist nicht abgeschnitten. || — | ||
| Zeile 72: | Zeile 76: | ||
|- | |- | ||
! colspan="3" | RD — Recursion Desired | ! colspan="3" | RD — Recursion Desired | ||
|- | |- | ||
| 0 || Der Client fordert keine Rekursion an || Standardmäßig für direkte Anfragen an den autoritativen Server | | 0 || Der Client fordert keine Rekursion an || Standardmäßig für direkte Anfragen an den autoritativen Server | ||
| Zeile 82: | Zeile 82: | ||
|- | |- | ||
! colspan="3" | RA — Recursion Available | ! colspan="3" | RA — Recursion Available | ||
|- | |- | ||
| 0 || Rekursion ist auf diesem Server nicht verfügbar || Standardmäßig für autoritative-only | | 0 || Rekursion ist auf diesem Server nicht verfügbar || Standardmäßig für autoritative-only | ||
| Zeile 92: | Zeile 88: | ||
|- | |- | ||
! colspan="3" | Z — Reserviert | ! colspan="3" | Z — Reserviert | ||
|- | |- | ||
| 0 || Korrekte Bedeutung || — | | 0 || Korrekte Bedeutung || — | ||
| Zeile 102: | Zeile 94: | ||
|- | |- | ||
! colspan="3" | AD — Authenticated Data (DNSSEC) | ! colspan="3" | AD — Authenticated Data (DNSSEC) | ||
|- | |- | ||
| 0 || Daten sind nicht als DNSSEC validiert gekennzeichnet || Standardmäßig | | 0 || Daten sind nicht als DNSSEC validiert gekennzeichnet || Standardmäßig | ||
| Zeile 112: | Zeile 100: | ||
|- | |- | ||
! colspan="3" | CD — Checking Disabled (DNSSEC) | ! colspan="3" | CD — Checking Disabled (DNSSEC) | ||
|- | |- | ||
| 0 || Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. || Standardmäßig | | 0 || Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. || Standardmäßig | ||
| Zeile 127: | Zeile 111: | ||
* '''0''' - Клиент не запрашивает DNSSEC-данные | * '''0''' - Клиент не запрашивает DNSSEC-данные | ||
* '''1''' - Сервер добавляет соответствующие RRSIG/DNSKEY | * '''1''' - Сервер добавляет соответствующие RRSIG/DNSKEY | ||
==== RCODE ==== | ==== RCODE ==== | ||
| Zeile 137: | Zeile 120: | ||
==== Replikation von Zonen ==== | ==== Replikation von Zonen ==== | ||
; AXFR | |||
Abgestimmtes Kopieren (Replikation) der Zone vom Primärserver auf die Sekundärserver. | |||
; SOA serial number | |||
* Eindeutige Versionsnummer der DNS-Zone | |||
* Erhöht sich bei jeder Änderung der DNS-Zone | |||
; AXFR (RFC 5936) | |||
* Vollständige Replikation der Zone | |||
* Funktioniert über TCP | |||
* Wird für die Erstbefüllung verwendet oder wenn IXFR nicht möglich ist | |||
* Enthält alle Ressourcensätze der Zone | |||
; IXFR | ; IXFR | ||
; NOTIFY | ; NOTIFY | ||
| Zeile 212: | Zeile 209: | ||
[[Kategorie:Domain Name System]] | [[Kategorie:Domain Name System]] | ||
[[Kategorie:Domain Name System/Server]] | |||
</noinclude> | </noinclude> | ||
Aktuelle Version vom 12. November 2025, 18:09 Uhr
Domain Name System/Server/Autoritative - Autoritativer Server
Beschreibung
Die Hauptaufgabe eines autoritativen Servers: Speicherung und Veröffentlichung autoritativer Daten
- Speichert eine oder mehrere DNS-Zonen. Quelle der autoritativen Daten für diese Zonen
- Abgrenzung zum Rekursiven Server
- Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen.
- Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet NXDOMAIN oder NODATA.
- Der ausgehende Datenverkehr ist auf den Dienstverkehr beschränkt: AXFR/IXFR zum Master, NOTIFY zu den Slaves.
- Führt keine Rekursion durch.
- RD in der Anfrage wird ignoriert.
- RA in der Antwort = 0.
Funktionen
Rollen
Primary (Master)
- Einzige Quelle für Zonenänderungen.
- Verwaltet den beschreibbaren Speicher/das Repository.
- Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden.
- Erhöht die SOA-Serial bei jeder Änderung. Hält Journale für IXFR. Fällt bei Bedarf auf AXFR zurück.
- Versendet NOTIFY an Secondaries. Pflegt die Empfängerliste.
- Kein Rekursivmodus.
- In BIND kann derselbe Server zwar auch rekursiv agieren, jedoch gilt dies als getrennte Funktionsebene
- Hidden Primary
- Der primäre Server ist innerhalb der Infrastruktur versteckt, z. B. hinter einer Firewall.
- Der Secondary-DNS-Server bedient alle DNS-Anfragen wie der Primary-Server und erhält weiterhin alle DNS-Eintrag-Updates vom primären DNS-Server.
- Diese Konfiguration wird ausschließlich zur Erhöhung der Sicherheit verwendet.
Secondary (Slave)
- Nur lesbare Replikate.
- Erhalten Änderungen über AXFR/IXFR. Initiierung über NOTIFY.
- Authentifizierung über TSIG.
- Multi-Primary
- Mehrere Primäre für hohe Verfügbarkeit.
- Synchronisierung von Serien und Schlüsseln erforderlich.
- Nur autoritativ
Server, bei dem die Rekursion deaktiviert ist.
Speicherung von DNS-Einträgen
Verarbeitung von DNS-Anfragen
Flags
Flags – Bits im DNS-Header, beschreiben die Art der Anfrageverarbeitung
| Bedeutung | Beschreibung | Anmerkungen |
|---|---|---|
| QR — Query/Response | ||
| 0 | Query | — |
| 1 | Response | — |
| AA — Authoritative Answer | ||
| 0 | Die Antwort ist für den Namen nicht maßgeblich | Auf einem autoritativen Server außerhalb seiner Zonen |
| 1 | Die Antwort ist für den Namen maßgeblich | Auf dem autoritativen Server für seine Zone |
| TC — Truncated | ||
| 0 | Die Antwort ist nicht abgeschnitten. | — |
| 1 | Antwort abgeschnitten (fragmentiert), Antwort über TCP wiederholen | Der Client wechselt zu TCP 53 |
| RD — Recursion Desired | ||
| 0 | Der Client fordert keine Rekursion an | Standardmäßig für direkte Anfragen an den autoritativen Server |
| 1 | Der Kunde fordert eine Rekursion an. | Ein autoritativer Server führt keine Rekursion durch. In seiner Antwort ist RA=0, auch wenn RD=1 in der Anfrage stand |
| RA — Recursion Available | ||
| 0 | Rekursion ist auf diesem Server nicht verfügbar | Standardmäßig für autoritative-only |
| 1 | Der Server unterstützt Rekursion | Standardmäßig bei rekursiven Resolvern |
| Z — Reserviert | ||
| 0 | Korrekte Bedeutung | — |
| 1 | Unzulässig gemäß Norm | Ignoriert. Reserve für zukünftige Protokollerweiterungen |
| AD — Authenticated Data (DNSSEC) | ||
| 0 | Daten sind nicht als DNSSEC validiert gekennzeichnet | Standardmäßig |
| 1 | Die Daten wurden durch DNSSEC validiert | Wird nur von einem rekursiven Resolver mit aktiviertem DNSSEC gesetzt |
| CD — Checking Disabled (DNSSEC) | ||
| 0 | Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. | Standardmäßig |
| 1 | Der Kunde bittet darum, DNSSEC nicht zu überprüfen. | Einstellbar |
- EDNS(0) — DO (DNSSEC OK) — Flag in OPT
- 0 - Клиент не запрашивает DNSSEC-данные
- 1 - Сервер добавляет соответствующие RRSIG/DNSKEY
RCODE
Antwortcodes, RCODE – Ergebnis der Bearbeitung einer Anfrage
Aktualisierung von Informationen
Replikation von Zonen
Abgestimmtes Kopieren (Replikation) der Zone vom Primärserver auf die Sekundärserver.
- SOA serial number
- Eindeutige Versionsnummer der DNS-Zone
- Erhöht sich bei jeder Änderung der DNS-Zone
- AXFR (RFC 5936)
- Vollständige Replikation der Zone
- Funktioniert über TCP
- Wird für die Erstbefüllung verwendet oder wenn IXFR nicht möglich ist
- Enthält alle Ressourcensätze der Zone
- IXFR
- NOTIFY
- Protokollierung
DNS-Zone
SOA
NS
- Negative Caching (RFC 2308)
Transport
UDP
TCP
DNSSEC
- KSK,ZSK
- CSK
- NSEC, NSEC3
Negative Antworten
NXDOMAIN
NOERROR
NODATA
- SOA.MINIMUM
- TTL
Anhang
Siehe auch