www.wikidata.de-de.nina.az

Zonentransfer bezeichnet beim Domain Name System DNS die übertragung von Zonen auf einen anderen Server Dieses Verfahren

Zonentransfer

Zonentransfer bezeichnet beim Domain Name System (DNS) die Übertragung von Zonen auf einen anderen Server. Dieses Verfahren wird AXFR (Asynchronous Full Transfer Zone oder Asynchronous Xfer Full Range) abgekürzt. Da ein DNS-Ausfall für ein Unternehmen meist gravierende Folgen hat, werden die DNS-Daten – also die Zonendateien – fast ausnahmslos identisch auf mehreren Nameservern gehalten. Bei Änderungen muss sichergestellt sein, dass alle Server den gleichen Datenbestand besitzen. Die Synchronisation zwischen den beteiligten Servern wird durch den Zonentransfer realisiert. Der Zonentransfer beinhaltet nicht nur das bloße Übertragen von Dateien oder Sätzen, sondern auch das Erkennen von Abweichungen in den Datenbeständen der beteiligten Server.

Die originären Daten einer Zone liegen auf einem DNS-Server, der als Primary Nameserver (kurz: Primary) für diese Zone bezeichnet wird. Zur Erhöhung der Ausfallsicherheit, Realisierung einer einfachen Lastverteilung oder um den Primary vor Angriffen zu schützen (siehe auch: Hidden Primary) werden in der Praxis in fast allen Fällen ein oder mehrere zusätzliche Server installiert, die als Secondary Nameserver (kurz: Secondary) für diese Zone bezeichnet werden. Bei einigen Top-Level-Domains (z. B. de.) ist es sogar Vorschrift, Zonendateien für die Second Level Domains auf mindestens zwei Servern zugänglich zu machen.

Ein DNS-Server kann nicht pauschal als Primary oder Secondary bezeichnet werden. Diese Funktion ist stets in Bezug auf eine Zone zu betrachten. So kann ein DNS-Server Primary für eine Zone und Secondary für eine andere Zone sein.

Die DNS-Informationen eines Primary und eines Secondary werden als qualitativ gleichwertig angesehen. Sowohl Primary als auch Secondary sind autoritativ für eine Zone, d. h. ihren Daten kann unbedingt vertraut werden (im Gegensatz dazu werden beispielsweise Daten aus DNS-Caches als nicht-autoritativ angesehen, da sie veraltet sein können).

DNS-Einträge werden grundsätzlich nur auf dem Primary erzeugt, geändert oder gelöscht. Das kann durch manuelles Editieren der betreffenden Zonendatei oder automatisch durch dynamisches Update aus einer Datenbank erfolgen. Eine Ausnahme bildet hier der DNS-Server von Microsoft. Bei diesem können in einer Active-Directory-integrierten Zone sowohl in der Primary als auch in der Secondary Zone Daten eingetragen werden.

Ein DNS-Server, der als direkte Quelle für die Synchronisation einer Zonendatei dient, wird als Master bezeichnet. Einen DNS-Server, der die Zonendaten von einem Master bezieht, nennt man Slave. Ein Primary ist stets Master, während ein Secondary sowohl Slave als auch Master sein kann. Er ist Slave, falls er die Zonendaten von einem Master bezieht; er ist Master, falls er selbst als Quelle für weitere sekundäre Server dient. Diese Schachtelung von sekundären Servern wird häufig verwendet, um die Belastung des primären Servers durch den Zonentransfer zu vermindern.

Dieses Verfahren wurde in der ursprünglichen DNS-Spezifikation eingeführt und erstmals mit dem DNS-Server BIND genutzt. Neben AXFR gibt es noch das neuere IXFR (RFC 1995), das lediglich geänderte Records überträgt und nicht die gesamte Zone. Für die Synchronisation zwischen Master und Slave existieren zwei Methoden:

Notify-Verfahren Bearbeiten

Der Master benachrichtigt alle Slaves einer Zone, sobald sich in der Zone etwas geändert hat. Der Slave fordert dann entweder die komplette Zone an oder – besser – per inkrementellen Zonentransfer nur die geänderten Resource-Records. Die Informationen, wer Slave ist, wird indirekt aus den NS Resource Records einer Zone abgeleitet. Der Master ist im SOA Resource Record aufgeführt. Alle anderen in NS-RRs aufgeführten Server gelten automatisch als Slave.

Slave-Hol-Verfahren Bearbeiten

Der Slave holt in bestimmten Abständen (der so genannten Refresh Time, die typischerweise eine Stunde beträgt) den SOA Resource Record der betreffenden Zone vom Master und vergleicht die Seriennummern. Ist die Seriennummer des SOA-RRs des Masters größer als die des Slaves, stimmen die Datenbestände nicht mehr überein. Der Slave fordert dann entweder die komplette Zone an oder – besser – per inkrementellen Zonentransfer nur die geänderten Resource-Records. Die maßgeblichen Parameter (z. B. Seriennummer und Refresh-Timer) befinden sich im SOA-RR. Der Master legt diese Werte fest und zwingt sie den Slaves auf.

Das Notify-Verfahren ist dem Slave-Hol-Verfahren deutlich überlegen, da Änderungen schneller zu den Slaves übermittelt werden. Es ist heute Standard. Zum Zonentransfer wird grundsätzlich TCP verwendet und nicht, wie bei DNS-Requests, UDP.

Sicherheit Bearbeiten

Durch einen geheimen Schlüssel (bei BIND rndc-key genannt) vergewissern sich die Server, dass sie wirklich mit ihrem Master/Slave verkehren.

Weblinks Bearbeiten

  • RFC 1995 – Incremental Zone Transfer in DNS (IXFR). (englisch).
  • RFC 5936 – DNS Zone Transfer Protocol (AXFR). (englisch).

Einzelnachweise Bearbeiten

  1. RFC 1995 – Incremental Zone Transfer in DNS (IXFR). (englisch).
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Zonentransfer bezeichnet beim Domain Name System DNS die Ubertragung von Zonen auf einen anderen Server Dieses Verfahren wird AXFR Asynchronous Full Transfer Zone oder Asynchronous Xfer Full Range abgekurzt Da ein DNS Ausfall fur ein Unternehmen meist gravierende Folgen hat werden die DNS Daten also die Zonendateien fast ausnahmslos identisch auf mehreren Nameservern gehalten Bei Anderungen muss sichergestellt sein dass alle Server den gleichen Datenbestand besitzen Die Synchronisation zwischen den beteiligten Servern wird durch den Zonentransfer realisiert Der Zonentransfer beinhaltet nicht nur das blosse Ubertragen von Dateien oder Satzen sondern auch das Erkennen von Abweichungen in den Datenbestanden der beteiligten Server Die originaren Daten einer Zone liegen auf einem DNS Server der als Primary Nameserver kurz Primary fur diese Zone bezeichnet wird Zur Erhohung der Ausfallsicherheit Realisierung einer einfachen Lastverteilung oder um den Primary vor Angriffen zu schutzen siehe auch Hidden Primary werden in der Praxis in fast allen Fallen ein oder mehrere zusatzliche Server installiert die als Secondary Nameserver kurz Secondary fur diese Zone bezeichnet werden Bei einigen Top Level Domains z B de ist es sogar Vorschrift Zonendateien fur die Second Level Domains auf mindestens zwei Servern zuganglich zu machen Ein DNS Server kann nicht pauschal als Primary oder Secondary bezeichnet werden Diese Funktion ist stets in Bezug auf eine Zone zu betrachten So kann ein DNS Server Primary fur eine Zone und Secondary fur eine andere Zone sein Die DNS Informationen eines Primary und eines Secondary werden als qualitativ gleichwertig angesehen Sowohl Primary als auch Secondary sind autoritativ fur eine Zone d h ihren Daten kann unbedingt vertraut werden im Gegensatz dazu werden beispielsweise Daten aus DNS Caches als nicht autoritativ angesehen da sie veraltet sein konnen DNS Eintrage werden grundsatzlich nur auf dem Primary erzeugt geandert oder geloscht Das kann durch manuelles Editieren der betreffenden Zonendatei oder automatisch durch dynamisches Update aus einer Datenbank erfolgen Eine Ausnahme bildet hier der DNS Server von Microsoft Bei diesem konnen in einer Active Directory integrierten Zone sowohl in der Primary als auch in der Secondary Zone Daten eingetragen werden Ein DNS Server der als direkte Quelle fur die Synchronisation einer Zonendatei dient wird als Master bezeichnet Einen DNS Server der die Zonendaten von einem Master bezieht nennt man Slave Ein Primary ist stets Master wahrend ein Secondary sowohl Slave als auch Master sein kann Er ist Slave falls er die Zonendaten von einem Master bezieht er ist Master falls er selbst als Quelle fur weitere sekundare Server dient Diese Schachtelung von sekundaren Servern wird haufig verwendet um die Belastung des primaren Servers durch den Zonentransfer zu vermindern Dieses Verfahren wurde in der ursprunglichen DNS Spezifikation eingefuhrt und erstmals mit dem DNS Server BIND genutzt Neben AXFR gibt es noch das neuere IXFR RFC 1995 1 das lediglich geanderte Records ubertragt und nicht die gesamte Zone Fur die Synchronisation zwischen Master und Slave existieren zwei Methoden Inhaltsverzeichnis 1 Notify Verfahren 2 Slave Hol Verfahren 3 Sicherheit 4 Weblinks 5 EinzelnachweiseNotify Verfahren BearbeitenDer Master benachrichtigt alle Slaves einer Zone sobald sich in der Zone etwas geandert hat Der Slave fordert dann entweder die komplette Zone an oder besser per inkrementellen Zonentransfer nur die geanderten Resource Records Die Informationen wer Slave ist wird indirekt aus den NS Resource Records einer Zone abgeleitet Der Master ist im SOA Resource Record aufgefuhrt Alle anderen in NS RRs aufgefuhrten Server gelten automatisch als Slave Slave Hol Verfahren BearbeitenDer Slave holt in bestimmten Abstanden der so genannten Refresh Time die typischerweise eine Stunde betragt den SOA Resource Record der betreffenden Zone vom Master und vergleicht die Seriennummern Ist die Seriennummer des SOA RRs des Masters grosser als die des Slaves stimmen die Datenbestande nicht mehr uberein Der Slave fordert dann entweder die komplette Zone an oder besser per inkrementellen Zonentransfer nur die geanderten Resource Records Die massgeblichen Parameter z B Seriennummer und Refresh Timer befinden sich im SOA RR Der Master legt diese Werte fest und zwingt sie den Slaves auf Das Notify Verfahren ist dem Slave Hol Verfahren deutlich uberlegen da Anderungen schneller zu den Slaves ubermittelt werden Es ist heute Standard Zum Zonentransfer wird grundsatzlich TCP verwendet und nicht wie bei DNS Requests UDP Sicherheit BearbeitenDurch einen geheimen Schlussel bei BIND rndc key genannt vergewissern sich die Server dass sie wirklich mit ihrem Master Slave verkehren Weblinks BearbeitenRFC 1995 Incremental Zone Transfer in DNS IXFR englisch RFC 5936 DNS Zone Transfer Protocol AXFR englisch Einzelnachweise Bearbeiten RFC 1995 Incremental Zone Transfer in DNS IXFR englisch Abgerufen von https de wikipedia org w index php title Zonentransfer amp oldid 234785249