Unterabschnitte
Version 1.0.5 - Stand 1.12.2006
(c) Jens Vehlhaber <jvehlhaber[at]buchenwald[dot]de>
Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des DNS in
IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig mehrer Domänen -
auch als Zonen bezeichnet - im Master- oder Slavemodus verwalten. Über Forward
und Root Einträge werden nicht beantwortbare Namesanfragen weitergeleitet.
In der Vergangenheit wurden immer wieder Sicherheitsprobleme in den älteren
BIND-Versionen aufgedeckt. Deshalb liegen die Arbeitsverzeichnisse vorbeugend
in einem Bereich, der BIND eine eigene Umgebung bietet.
BIND9 unterstützt in der vorliegenden Version auch SMP-Systeme und kann mit
dem DHCPD Paket zusammen, Hostnamen dynamisch registrieren und auflösen.
Das Installationsscript erkennt automatisch, ob bereits ein DNS oder BIND9
Server installiert ist. Vorhandene DNS Einstellungen werden also komplett
übernommen. Dennoch sollte die Konfiguration auf eventuelle Fehler überprüft
werden.
Bei einem Update vom DNS-Paket werden alle Daten in einer primäre Zone
abgelegt. Besonders die Hostnamen-Einträge sollte man sich ansehen. Sie dürfen
keine Bestandteile der Domänenbezeichnung enthalten, da diese von BIND
bei der Namensabfrage automatisch angefügt wird.
Eine Ausnahme bildet der NS-Eintrag, der durchaus auf eine fremde Domäne
verweisen kann und deshalb aus Hostname und der kompletten Domänenkennung
bestehen muss.
Die Konfiguration kann über den Menüpunkt ''Edit Configuration'' geändert werden.
Nach Beendigung des Editors wird die Konfiguration automatisch auf Fehler
überprüft. Werden Fehler festgestellt, so sollten die entsprechenden Einträge
in jedem Fall korrigiert werden.
-
- START_BIND9
- Legt fest, ob der BIND Server automatisch gestartet wird.
Gültige Werte: yes,no
- BIND9_ALLOW_QUERY
- Legt fest, welche Clients Informationen über diese Zone anfordern dürfen.
Gültige Werte:
any = alle Anfragen zulässig
localnets = Anfragen aus allen auf dem Server definierten Netzen
localhost = nur interne Abfragen sind zulässig
- BIND9_FORWARDER_N
- Anzahl externer Nameserver welche alle Namensanfragen beantworten, die
nicht in den eigenen Zonen definiert sind. Hier sollten nach Möglichkeit
immer mindestens zwei Einträge vorhanden sein.
Beispiel: 2
- BIND9_FORWARDER_x_IP
- Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen
Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit
schon öfter Adressen von DNS-Server verändert wurden.
Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch noch
über Möglichkeit zur Namensauflösung über die sogenannten Root-Server.
Das erhöht die Wartezeit für eine Antwort allerdings sehr.
Beispiel: 141.1.1.1
- BIND9_FORWARDER_x_EDNS
- Optionaler Parameter
Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC-
Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden,
wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt.
Standard: yes
- BIND9_N
- Bind verfügt über die Möglichkeit, mehrere unterschiedliche Namensbereiche
(Zonen) zu verwalten.
Die Gesamtanzahl wird hier eingetragen.
Beispiel: 2
- BIND9_x_NAME
- Hier steht der Name der zu verwaltenden Zone. Bei internen Namen sollte
man zur Sicherheit keine existierenden Internet Kennungen verwenden.
Also am besten statt einer '.de' Endung verwendet man eine '.local' Endung.
Beispiel: foo.local
- BIND9_x_MASTER
- Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone)
Gültige Werte: yes,no
- BIND9_x_NETWORK
- Netzwerk-Adresse der aktuellen Zone.
Beispiel: 192.168.6.0
- BIND9_x_NETMASK
- Netzwerk-Maske der aktuellen Zone.
Beispiel: 255.255.255.0
- BIND9_x_MASTER_IP
- IP-Adresse des Masters, welche die Autorisierungsrechte der Zone besitzt.
Wenn BIND9_ZONE_1_MASTER='no' dann steht hier die IP-Adresse des
DNS-Masters von dem die Daten geladen werden.
Beispiel: 192.168.6.1
Folgende Einträge sind nur für Master-Zonen BIND9_x_MASTER='yes' definierbar:
-
- BIND9_x_NS_N
- Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten.
Beispiel: 1
- BIND9_x_NS_x_NAME
- Komplette Bezeichnung des Slave-Nameserver, inklusiv Domäne.
Beispiel: dns2.foo.local
- BIND9_x_NS_x_IP
- IP Adresse des Slave-Nameserver.
Wird nur benötigt, wenn die Option BIND9_x_ALLOW_TRANSFER=''nslist''
gesetzt ist
Beispiel: 192.168.6.11
- BIND9_x_MX_N
- Anzahl der zur Zone gehörenden E-Mail Server.
Beispiel: 1
- BIND9_x_MX_x_NAME
- Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail Server
außerhalb der Domäne sein.
Beispiel: mail.foo.local
- BIND9_x_MX_x_PRIORITY
- Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten Wert
wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird der
Server mit der nächst größeren Zahl verwendet.
Beispiel: 10
- BIND9_x_ALLOW_TRANSFER
- Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch
das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d <zone>
eingeschränkt.
Folgende Werte sind möglich:
any - Jeder beliebige Server kann Slave werden
localnets - Nur Server im gleichen Netz können Slave werden
nslist - Nur ein unter BIND9_x_NS_x_IP eingetragener Server kann Slave werden
none - Kein Zonen Transfer zugelassen
- BIND9_x_HOST_N
- Anzahl der for diese Zone eingetragenen Hosts.
Beispiel: 8
- BIND9_x_HOST_x_NAME
- Hostname, der zur Namensauflösung der IP-Adresse verwendet wird.
Hier kann auch ein Platzhalter ''*'' verwendet werden. Alle DNS Anfragen
nach beliebigen Hostnamen, werden dann mit der zugehörigen
BIND9_x_HOST_x_IP beantwortet.
Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also
ohne Angabe eines Hostnamens.
Beispiel: mail
- BIND9_x_HOST_x_IP
- IP-Adresse für den Host.
Beispiel: 192.168.6.10
- BIND9_x_HOST_x_ALIAS
- Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse. BIND
erweitert die Namen bei Abfragen automatisch, mit dem unter BIND9_x_NAME
eingetragenem Wert.
Beispiel: 'www ftp'
Die folgenden Parameter sollten nur bei Bedarf verändert werden.
-
- BIND9_BIND_IP_ADDRESS
- Sind mehrere Netzwerkkarten im BIND Server eingebaut, so kann hiermit die
Funktionalität auf eine oder mehrer bestimmte Karten reduziert werden.
Beispiel: '127.0.0.1 192.168.6.1'
- BIND9_PORT_53_ONLY
- Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert wird,
so wird hiermit die gesamte Kommunikation auf den Port 53 beschränkt.
Dieser Port muss dann aber auch in der Firewall freigeschaltet werden.
Gültige Werte: yes,no
- BIND9_DEBUG_LOGFILE
- Erweitert die Logfileausgabe um Debug Informationen.
Diese werden im Verzeichnis /var/lib/named/var/log abgelegt.
Gültige Werte: yes,no
Das BIND9 Hauptmenü ist über den Menüpunkt ''Service administration'' im
zentralen Setup-Programm zu erreichen. Es ist wie folgt aufgebaut:
- View documentation
Zeigt die Dokumentation an.
- Edit configuration
Damit kann die Konfigurationsdatei des BIND9-Packages bearbeitet werden.
- Advanced configuration file handling
Ermöglicht eine Versionsverwaltung der BIND9-Konfigurationsdatei
- Start BIND9
Hier kann der BIND9 Daemon gestartet werden.
- Stop BIND9
Hier wird der BIND9 Daemon angehalten.
- Show status
Zeigt den Status des BIND9 Daemon und listet die Anzahl der verwalteten
Zonen auf.
Jens Vehlhaber
2008-03-25