Wenn der DNS-Server selbst rekursiv fragen können soll (also in
allen Fällen, außer "forward only;"), muß er natürlich
die ROOT-SERVER kennen. Das sind die Server für die Zone
".". Diese Zone konfiguriert man in der Regel wie
folgt:
/etc/named.conf |
zone "." {
type hint; // ist keine "richtig" Zone
file "root.hint"; // Datei mit den ROOT-SERVERS
};
|
In "root.hint" stehen die "A" (Address)
Records (RRs) der ROOT-SERVER, das sieht z.B. so aus:
/var/named/root.hint |
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
|
Das sollte jetzt verständlich sein: Für "." gibt es in
der Klasse IN einen Nameserver mit sehr langer TTL, der
A.ROOT-SERVERS.NET. heißt, und dessen IP-Adresse.
Da sich die IP-Adressen auch ändern können, muß diese Datei
gepflegt werden. Dazu eignet sich das Dienstprogramm
dig aus der
BIND-Distribution. Hat man
bereits ein System, das funktionierend Namen auflösen kann
(z.B. wenn es einfach einen DNS-Server vom Provider in der
/etc/resolv.conf konfiguriert hat, die "dns" in
/etc/nsswitch.conf hinter "hosts" steht), braucht
man nur ein:
zu machen, und erhält eine aktuelle Liste. Man kann auch
explizit einen DNS-Server angeben, mit:
user@linux $ dig @ns.isp.com . ns
|
Betreibt man einen nur cachenden Server (mindestens ein solcher
gehört eigentlich in jedes Netzwerk, um die Performance zu
erhöhen), ist damit die Konfiguration im Prinzip fertig. Hat man
gute Verbindung zu DNS-Servern mit gutem Cache (also DNS-Server,
die häufig gefragt werden), so kann man diese als Forwarder
konfigurieren. Hat man die besondere Situation eines sich über
Wählleitungen einwählenden Netzes oder auch Hosts, macht es Sinn,
die DNS-Server des Providers als Forwarders zu verwenden (wie man
es auch als Client tun würde - außer natürlich, diese sind
überlastet). Forwarders sind auch nützlich, wenn der DNS-Server
öfter herruntergefahren wird. Verwendet man mehrere verschiedene
Provider, so verwendet man am besten keine Forwarder, um Probleme
mit Zugriffsbeschränkungen zu vermeiden.
|