Unterabschnitte


Der Nameserver BIND 9

Allgemeines

Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des DNS in IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig mehrere Domänen - auch als Zonen bezeichnet - im Master- oder Slavemodus verwalten. Über Forward- und Root- Einträge werden nicht beantwortbare Namensanfragen weitergeleitet.

Die Arbeitsverzeichnisse liegen in einem Bereich, der BIND eine eigene Umgebung (chroot) bietet.

BIND9 kann, mit dem DHCPD Paket zusammen, Hostnamen dynamisch registrieren und auflösen.

Installation

Das Installationsskript erkennt automatisch, ob bereits ein DNS oder BIND9 Server installiert ist. Vorhandene DNS Einstellungen werden also komplett übernommen. Dennoch sollte die Konfiguration auf eventuelle Fehler überprüft werden.

Bei einem Update vom DNS-Paket werden alle Daten in einer primäre Zone abgelegt. Besonders die Hostnamen-Einträge sollte man sich ansehen. Sie dürfen keine Bestandteile der Domänenbezeichnung enthalten, da diese von BIND bei der Namensabfrage automatisch angefügt wird.

Eine Ausnahme bildet der NS-Eintrag, der durchaus auf eine fremde Domäne verweisen kann und deshalb aus Hostname und der kompletten Domänenkennung bestehen muss.

Das Menü im Setup-Programm

Das Menü im Setup-Programm ist wie folgt aufgebaut:

  1. Service administration  
  2. Name server BIND 9  
  1. View documentation
  2. Edit configuration
  3. Start BIND9
  4. Stop BIND9
  5. Show status and zones
  6. Advanced configuration file handling
  7. Modules configuration

Änderung der Konfiguration

Die Konfiguration kann über den Menüpunkt 'Edit configuration' geändert werden. Standardmäßig wird der Editor aufgerufen, der in der Environment-Konfiguration über die Variable 'EDITOR' festgelegt wurde.

Die Konfigurationsdatei

In der Konfigurationsdatei, die über das Menü zugänglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter
/etc/config.d/bind9

Die Parameter

START_BIND9

Legt fest, ob der BIND Server automatisch gestartet wird.

Gültige Werte: yes, no

Standardeinstellung: START_BINdD9='no'

BIND9_ALLOW_QUERY

Legt fest, welche Clients Informationen über diese Zone anfordern dürfen.

Gültige Werte:
  any = alle Anfragen sind zulässig
  localnets = alle Anfragen aus allen auf dem Server
      definierten Netzen sind zulässig
  localhost = nur interne Abfragen sind zulässig

Standardeinstellung: BIND9_ALLOW_QUERY='any'

BIND9_FORWARDER_N

Anzahl externer Nameserver welche alle Namensanfragen beantworten, die nicht in den eigenen Zonen definiert sind. Hier sollten nach Möglichkeit immer mindestens zwei Einträge vorhanden sein.

Gültige Werte: Zahl (1, 2, 3)

Standardeinstellung: BIND9_FORWARDER_N='2'

BIND9_FORWARDER_x_NAME

Hier kann ein Name oder eine Bezeichnung für diesen Forwarder eingegeben werden. Er wird nicht ausgewertet.

Gültige Werte: keine Einschränkung

Standardeinstellung: BIND9_FORWARDER_x_NAME=”

BIND9_FORWARDER_x_ACTIVE

Hier kann ein Forwarder deaktiviert werden. Dabei bleiben die Einstellungen für eine eventuelle Reaktivierung erhalten, sie werden aber nicht in die Konfiguration geschrieben.

Gültige Werte: yes, no

Standardeinstellung: BIND9_FORWARDER_x_ACTIVE='no'

BIND9_FORWARDER_x_IP

Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit schon öfter Adressen von DNS-Server verändert wurden.
Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch noch über Möglichkeit zur Namensauflösung über die sogenannten Root-Server. Das erhöht die Wartezeit für eine Antwort allerdings sehr.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_FORWARDER_x_IP='8.8.8.8'

BIND9_FORWARDER_x_EDNS

Optionaler Parameter
Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC- Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden, wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt.

Gültige Werte: yes, no

Standardeinstellung: BIND9_FORWARDER_x_EDNS='yes'

BIND9_N

Bind verfügt über die Möglichkeit, mehrere unterschiedliche Namensbereiche (Zonen) zu verwalten.
Die Gesamtanzahl wird hier eingetragen.

Gültige Werte: Zahl

Standardeinstellung: BIND9_N='2'

BIND9_x_NAME

Hier steht der Name der zu verwaltenden Zone. Bei internen Namen sollte man zur Sicherheit keine existierenden Internet Kennungen verwenden. Also am besten statt einer '.de' Endung verwendet man eine '.local' Endung.

Beispiel: foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_BIND9_x_NAME='foo.local'

BIND9_x_MASTER

Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone)

Gültige Werte: yes, no

Standardeinstellung: BIND9_x_MASTER='yes'

BIND9_x_NETWORK

Netzwerk-Adresse der aktuellen Zone.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_NETWORK='192.168.6.0'

BIND9_x_NETMASK

Netzwerk-Maske der aktuellen Zone.

Beispiel: 255.255.255.0

Gültige Werte: NetzMaske

Standardeinstellung: BIND9_x_NETMASK='255.255.255.0'

BIND9_x_MASTER_IP

IP-Adresse des Masters, welche die Autorisierungsrechte der Zone besitzt. Wenn BIND9_x_MASTER='no' dann steht hier die IP-Adresse des DNS-Masters von dem die Daten geladen werden.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_MASTER_IP='192.168.6.1'

BIND9_x_MASTER_NS

Optional kompletter Name des DNS Servers. So können mehrere DNS-Zonen mit einem Nameserver registriert werden.

Beispiel: mx.domain.local

Gültige Werte: Host Name

Standardeinstellung: BIND9_x_MASTER_NS=”

BIND9_x_ALLOW_TRANSFER

Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d <zone> eingeschränkt.

Gültige Werte:
  any = Jeder beliebige Server kann Slave werden
  localnets = Nur Server im gleichen Netz können Slave werden
  nslist = Nur ein unter BIND9_x_NS_x_IP
      eingetragener Server kann Slave werden
  none = Kein Zonen Transfer zugelassen

Standardeinstellung: BIND9_x_ALLOW_TRANSFER='any'

Zonen Konfiguration

Folgende Einträge sind nur für Master-Zonen BIND9_x_MASTER='yes' definierbar:

BIND9_x_NS_N

Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_NS_N='0'

BIND9_x_NS_x_NAME

Komplette Bezeichnung des Slave-Nameserver, inklusive Domäne.

Beispiel: dns2.foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_x_NS_x_NAME=”

BIND9_x_NS_x_IP

IP Adresse des Slave-Nameserver.
Wird nur benötigt, wenn die Option BIND9_x_ALLOW_TRANSFER='nslist' gesetzt ist

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_NS_x_IP=”

BIND9_x_MX_N

Anzahl der zur Zone gehörenden E-Mail Server.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_MX_N='1'

BIND9_x_MX_x_NAME

Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail Server außerhalb der Domäne sein.

Beispiel: mail.foo.local

Gültige Werte: Domain Name

Standardeinstellung: BIND9_x_MX_x_NAME=”

BIND9_x_MX_x_PRIORITY

Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten Wert wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird der Server mit der nächst größeren Zahl verwendet.

Gültige Werte: Zahl

Standardeinstellung: BIND9_x_MX_x_PRIORITY='10'

BIND9_x_HOST_N

Anzahl der für diese Zone eingetragenen Hosts.

Gültige Werte: Zahl der Hosts

Standardeinstellung: BIND9_x_HOST_N='8'

BIND9_x_HOST_x_NAME

Hostname, der zur Namensauflösung der IP-Adresse verwendet wird. Hier kann auch ein Platzhalter ”*” verwendet werden. Alle DNS Anfragen nach beliebigen Hostnamen, werden dann mit der zugehörigen BIND9_x_HOST_x_IP beantwortet.
Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also ohne Angabe eines Hostnamens.

Gültige Werte: jeder Hostname

Standardeinstellung: BIND9_x_HOST_x_NAME='mail'

BIND9_x_HOST_x_IP

IP-Adresse für den Host.

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_x_HOST_x_IP='192.168.6.10'

BIND9_x_HOST_x_ALIAS

Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse. BIND erweitert die Namen bei Abfragen automatisch, mit dem unter BIND9_x_NAME eingetragenem Wert.

Beispiel: 'www ftp'

Gültige Werte: Hostaliasnamen

Standardeinstellung: BIND9_x_HOST_x_ALIAS=”

Spezielle Konfiguration

Die folgenden Parameter sollten nur bei Bedarf verändert werden.

BIND9_BIND_IP_ADDRESS

Sind mehrere Netzwerkkarten im BIND Server eingebaut, so kann hiermit die Funktionalität auf eine oder mehrere bestimmte Karten reduziert werden.

Beispiel: '127.0.0.1 192.168.6.1'

Gültige Werte: IP Adresse

Standardeinstellung: BIND9_BIND_IP_ADDRESS=”

BIND9_PORT_53_ONLY

Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert wird, so wird hiermit die gesamte Kommunikation auf den Port 53 beschränkt. Dieser Port muss dann aber auch in der Firewall freigeschaltet werden.

Gültige Werte: yes, no

Standardeinstellung: BIND9_PORT_53_ONLY='no'

BIND9_START_OPTION_IPV4

Mit diesem Paramter wird BIND auf IPv4 festgelegt. IPv6 Anfragen werden nicht beachtet.

Gültige Werte: yes, no

Standardeinstellung: BIND9_START_OPTION_IPV4='no'

BIND9_DNSSEC_VALIDATION

Mit diesem Paramter wird das verhalten bei dnssec-validation gesteuert.

Gültige Werte: no, auto, yes

Standardeinstellung: BIND9_DNSSEC_VALIDATION='no'

BIND9_DEBUG_LOGFILE

Erweitert die Logdateiausgabe um Debug-Informationen. Diese werden im Verzeichnis /var/lib/named/var/log abgelegt.

Gültige Werte: yes, no

Standardeinstellung: BIND9_DEBUG_LOGFILE='no'

BIND9_LOGGING_LAME_SERVERS

Mit diesem Parameter wird das loggen von LAME_SERVERS eingestellt. 'no' schaltet das loggen ab.

Gültige Werte: yes, no

Standardeinstellung: BIND9_LOGGING_LAME_SERVERS='yes'