Zum Inhalt springen

Domain Name System/Server/Autoritative

Aus Foxwiki
Version vom 12. November 2025, 18:09 Uhr von DanielZorin (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Domain Name System/Server/Autoritative - Autoritativer Server

Beschreibung

Die Hauptaufgabe eines autoritativen Servers: Speicherung und Veröffentlichung autoritativer Daten

  • Speichert eine oder mehrere DNS-Zonen. Quelle der autoritativen Daten für diese Zonen
Abgrenzung zum Rekursiven Server
  • Der autoritative Server speichert keine Cache-Daten fremder Domains und greift nicht nach außen.
  • Gibt nur Antworten für seine eigenen Zonen und delegierten Subzonen zurück. Für fremde Namen antwortet NXDOMAIN oder NODATA.
  • Der ausgehende Datenverkehr ist auf den Dienstverkehr beschränkt: AXFR/IXFR zum Master, NOTIFY zu den Slaves.
  • Führt keine Rekursion durch.
  • RD in der Anfrage wird ignoriert.
  • RA in der Antwort = 0.

Funktionen

Rollen

Primary (Master)

  • Einzige Quelle für Zonenänderungen.
  • Verwaltet den beschreibbaren Speicher/das Repository.
  • Kann „versteckt” (hidden primary) sein und nicht im NS veröffentlicht werden.
  • Erhöht die SOA-Serial bei jeder Änderung. Hält Journale für IXFR. Fällt bei Bedarf auf AXFR zurück.
  • Versendet NOTIFY an Secondaries. Pflegt die Empfängerliste.
  • Kein Rekursivmodus.
  • In BIND kann derselbe Server zwar auch rekursiv agieren, jedoch gilt dies als getrennte Funktionsebene
Hidden Primary
  • Der primäre Server ist innerhalb der Infrastruktur versteckt, z. B. hinter einer Firewall.
  • Der Secondary-DNS-Server bedient alle DNS-Anfragen wie der Primary-Server und erhält weiterhin alle DNS-Eintrag-Updates vom primären DNS-Server.
  • Diese Konfiguration wird ausschließlich zur Erhöhung der Sicherheit verwendet.

Secondary (Slave)

  • Nur lesbare Replikate.
  • Erhalten Änderungen über AXFR/IXFR. Initiierung über NOTIFY.
  • Authentifizierung über TSIG.
Multi-Primary
  • Mehrere Primäre für hohe Verfügbarkeit.
  • Synchronisierung von Serien und Schlüsseln erforderlich.
Nur autoritativ

Server, bei dem die Rekursion deaktiviert ist.

Speicherung von DNS-Einträgen

Verarbeitung von DNS-Anfragen

Flags

Flags – Bits im DNS-Header, beschreiben die Art der Anfrageverarbeitung


Bedeutung Beschreibung Anmerkungen
QR — Query/Response
0 Query
1 Response
AA — Authoritative Answer
0 Die Antwort ist für den Namen nicht maßgeblich Auf einem autoritativen Server außerhalb seiner Zonen
1 Die Antwort ist für den Namen maßgeblich Auf dem autoritativen Server für seine Zone
TC — Truncated
0 Die Antwort ist nicht abgeschnitten.
1 Antwort abgeschnitten (fragmentiert), Antwort über TCP wiederholen Der Client wechselt zu TCP 53
RD — Recursion Desired
0 Der Client fordert keine Rekursion an Standardmäßig für direkte Anfragen an den autoritativen Server
1 Der Kunde fordert eine Rekursion an. Ein autoritativer Server führt keine Rekursion durch. In seiner Antwort ist RA=0, auch wenn RD=1 in der Anfrage stand
RA — Recursion Available
0 Rekursion ist auf diesem Server nicht verfügbar Standardmäßig für autoritative-only
1 Der Server unterstützt Rekursion Standardmäßig bei rekursiven Resolvern
Z — Reserviert
0 Korrekte Bedeutung
1 Unzulässig gemäß Norm Ignoriert. Reserve für zukünftige Protokollerweiterungen
AD — Authenticated Data (DNSSEC)
0 Daten sind nicht als DNSSEC validiert gekennzeichnet Standardmäßig
1 Die Daten wurden durch DNSSEC validiert Wird nur von einem rekursiven Resolver mit aktiviertem DNSSEC gesetzt
CD — Checking Disabled (DNSSEC)
0 Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. Standardmäßig
1 Der Kunde bittet darum, DNSSEC nicht zu überprüfen. Einstellbar


EDNS(0) — DO (DNSSEC OK) — Flag in OPT
  • 0 - Клиент не запрашивает DNSSEC-данные
  • 1 - Сервер добавляет соответствующие RRSIG/DNSKEY

RCODE

Antwortcodes, RCODE – Ergebnis der Bearbeitung einer Anfrage


Aktualisierung von Informationen

Replikation von Zonen

Abgestimmtes Kopieren (Replikation) der Zone vom Primärserver auf die Sekundärserver.

SOA serial number
  • Eindeutige Versionsnummer der DNS-Zone
  • Erhöht sich bei jeder Änderung der DNS-Zone
AXFR (RFC 5936)
  • Vollständige Replikation der Zone
  • Funktioniert über TCP
  • Wird für die Erstbefüllung verwendet oder wenn IXFR nicht möglich ist
  • Enthält alle Ressourcensätze der Zone
IXFR


NOTIFY
Protokollierung



DNS-Zone

SOA

NS

Negative Caching (RFC 2308)

Transport

UDP

TCP

DNSSEC

KSK,ZSK
CSK
NSEC, NSEC3

Negative Antworten

NXDOMAIN

NOERROR

NODATA

SOA.MINIMUM
TTL


Anhang

Siehe auch


Dokumentation

Links

Projekt

Weblinks

Abgerufen von „https://wiki.foxtom.de/index.php?title=Domain_Name_System/Server/Autoritative&oldid=157623