Unterabschnitte

Der Nameserver BIND 9

Allgemeines

Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des DNS in IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig mehrere Domänen - auch als Zonen bezeichnet - im Master- oder Slavemodus verwalten. Über Forward- und Root-Einträge werden nicht beantwortbare Namensanfragen weitergeleitet.

In der Vergangenheit wurden immer wieder Sicherheitsprobleme in den älteren BIND-Versionen aufgedeckt. Deshalb liegen die Arbeitsverzeichnisse vorbeugend in einem Bereich, der BIND eine eigene Umgebung bietet.
BIND9 unterstützt in der vorliegenden Version auch SMP-Systeme und kann mit dem DHCPD Paket zusammen, Hostnamen dynamisch registrieren und auflösen.

Installation

Das Installationsscript erkennt automatisch, ob bereits ein DNS oder BIND9 Server installiert ist. Vorhandene DNS Einstellungen werden also komplett übernommen. Dennoch sollte die Konfiguration auf eventuelle Fehler überprüft werden.
Bei einem Update vom DNS-Paket werden alle Daten in einer primäre Zone abgelegt. Besonders die Hostnamen-Einträge sollte man sich ansehen. Sie dürfen keine Bestandteile der Domänenbezeichnung enthalten, da diese von BIND bei der Namensabfrage automatisch angefügt wird.
Eine Ausnahme bildet der NS-Eintrag, der durchaus auf eine fremde Domäne verweisen kann und deshalb aus Hostname und der kompletten Domänenkennung bestehen muss.

Allgemeine Konfiguration

Die Konfiguration kann über den Menüpunkt ''Edit Configuration'' geändert werden. Nach Beendigung des Editors wird die Konfiguration automatisch auf Fehler überprüft. Werden Fehler festgestellt, so sollten die entsprechenden Einträge in jedem Fall korrigiert werden.

START_BIND9

Legt fest, ob der BIND Server automatisch gestartet wird.

Gültige Werte: yes,no

BIND9_ALLOW_QUERY

Legt fest, welche Clients Informationen über diese Zone anfordern dürfen.

Gültige Werte:
any = alle Anfragen zulässig
localnets = Anfragen aus allen auf dem Server definierten Netzen
localhost = nur interne Abfragen sind zulässig

BIND9_FORWARDER_N

Anzahl externer Nameserver welche alle Namensanfragen beantworten, die nicht in den eigenen Zonen definiert sind. Hier sollten nach Möglichkeit immer mindestens zwei Einträge vorhanden sein.

Beispiel: 2

BIND9_FORWARDER_x_IP

Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit schon öfter Adressen von DNS-Server verändert wurden. Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch noch über Möglichkeit zur Namensauflösung über die sogenannten Root-Server. Das erhöht die Wartezeit für eine Antwort allerdings sehr.

Beispiel: 141.1.1.1

BIND9_FORWARDER_x_EDNS

Optionaler Parameter
Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC- Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden, wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt.

Standard: yes

BIND9_N

Bind verfügt über die Möglichkeit, mehrere unterschiedliche Namensbereiche (Zonen) zu verwalten. Die Gesamtanzahl wird hier eingetragen.

Beispiel: 2

BIND9_x_NAME

Hier steht der Name der zu verwaltenden Zone. Bei internen Namen sollte man zur Sicherheit keine existierenden Internet Kennungen verwenden. Also am besten statt einer '.de' Endung verwendet man eine '.local' Endung.

Beispiel: foo.local

BIND9_x_MASTER

Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone)

Gültige Werte: yes,no

BIND9_x_NETWORK

Netzwerk-Adresse der aktuellen Zone.

Beispiel: 192.168.6.0

BIND9_x_NETMASK

Netzwerk-Maske der aktuellen Zone.

Beispiel: 255.255.255.0

BIND9_x_MASTER_IP

IP-Adresse des Masters, welche die Autorisierungsrechte der Zone besitzt. Wenn BIND9_ZONE_1_MASTER='no' dann steht hier die IP-Adresse des DNS-Masters von dem die Daten geladen werden.

Beispiel: 192.168.6.1

Zonen Konfiguration

Folgende Einträge sind nur für Master-Zonen BIND9_x_MASTER='yes' definierbar:

BIND9_x_NS_N

Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten.

Beispiel: 1

BIND9_x_NS_x_NAME

Komplette Bezeichnung des Slave-Nameserver, inklusiv Domäne.

Beispiel: dns2.foo.local

BIND9_x_NS_x_IP

IP Adresse des Slave-Nameserver.
Wird nur benötigt, wenn die Option BIND9_x_ALLOW_TRANSFER=''nslist'' gesetzt ist

Beispiel: 192.168.6.11

BIND9_x_MX_N

Anzahl der zur Zone gehörenden E-Mail Server.

Beispiel: 1

BIND9_x_MX_x_NAME

Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail Server außerhalb der Domäne sein.

Beispiel: mail.foo.local

BIND9_x_MX_x_PRIORITY

Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten Wert wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird der Server mit der nächst größeren Zahl verwendet.

Beispiel: 10

BIND9_x_ALLOW_TRANSFER

Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d <zone> eingeschränkt.

Folgende Werte sind möglich:
any - Jeder beliebige Server kann Slave werden
localnets - Nur Server im gleichen Netz können Slave werden
nslist - Nur ein unter BIND9_x_NS_x_IP eingetragener Server kann Slave werden
none - Kein Zonen Transfer zugelassen

BIND9_x_HOST_N

Anzahl der for diese Zone eingetragenen Hosts.

Beispiel: 8

BIND9_x_HOST_x_NAME

Hostname, der zur Namensauflösung der IP-Adresse verwendet wird. Hier kann auch ein Platzhalter ''*'' verwendet werden. Alle DNS Anfragen nach beliebigen Hostnamen, werden dann mit der zugehörigen BIND9_x_HOST_x_IP beantwortet.
Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also ohne Angabe eines Hostnamens.

Beispiel: mail

BIND9_x_HOST_x_IP

IP-Adresse für den Host.

Beispiel: 192.168.6.10

BIND9_x_HOST_x_ALIAS

Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse. BIND erweitert die Namen bei Abfragen automatisch, mit dem unter BIND9_x_NAME eingetragenem Wert.

Beispiel: 'www ftp'

Spezielle Konfiguration

Die folgenden Parameter sollten nur bei Bedarf verändert werden.

BIND9_BIND_IP_ADDRESS

Sind mehrere Netzwerkkarten im BIND Server eingebaut, so kann hiermit die Funktionalität auf eine oder mehrere bestimmte Karten reduziert werden.

Beispiel: '127.0.0.1 192.168.6.1'

BIND9_PORT_53_ONLY

Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert wird, so wird hiermit die gesamte Kommunikation auf den Port 53 beschränkt. Dieser Port muss dann aber auch in der Firewall freigeschaltet werden.

Gültige Werte: yes,no

BIND9_DEBUG_LOGFILE

Erweitert die Logdateiausgabe um Debug-Informationen. Diese werden im Verzeichnis /var/lib/named/var/log abgelegt.

Gültige Werte: yes,no

Die Menüs des BIND9 Servers

Das BIND9 Hauptmenü

Das BIND9 Hauptmenü ist über den Menüpunkt ''Service administration'' im zentralen Setup-Programm zu erreichen. Es ist wie folgt aufgebaut:

eis 2017-05-03