named(1M) named(1M)
NAME
named - Internet-Nameserver
SYNTAX
named [-d level] [-p port] [[-b] bootfile] [-q] [-r]
BESCHREIBUNG
named ist der Nameserver der Internet-Domäne. Er wird von den Hosts im
Internet verwendet, um Zugriff auf die über das Internet zur Verfügung
gestellte verteilte Namensdatenbank zu ermöglichen. Einen BIND Opera-
tions Guide ("BOG") finden Sie in /usr/lib/named. Weitere Informatio-
nen finden Sie in RFC-1034 und RFC-1035.
named bietet negatives Caching. Negatives Caching heißt, daß der Domä-
nennameserver intern alle negativen Antworten speichert, die von ande-
ren Domänennameservern als Ergebnis einer Anfrage empfangen werden.
Auf diese Weise kann sich der Domänennameserver für eine gewisse Zeit
seine eigenen Anfragen beantworten, ohne auf andere Domänennameserver
zugreifen zu müssen.
OPTIONEN
Keine Option angegeben:
named liest aus der Datei /etc/named.boot eventuelle Initialisie-
rungsdaten und ist für Anfragen über einen privilegierten Port
port empfangsbereit.
-d level
level zeigt die Menge der Meldungen für die Ausgabe an. Jede
Stufe enthält alle Meldungen der untergeordneten Stufe; so ent-
hält Stufe 2 beispielsweise alle Meldungen der Stufe 1.
level:
1 Initialisierungsinformationen, Syntaxfehler, DNS-Paketfehler
2 IP-Adressen ferner Server für Suche, Laufzeitwerte, doppelte
und fehlerhafte Antworten, System-/Benutzerabfragen, Zonen-
übertragungen, negatives Caching
3 Detaillierte Informationen: Aktualisierungen von Datenbank-
dateien, doppelte Anfragen, Systemabfragen, Namen von fernen
Servern, die während der Suche verwendet wurden, Anzahl der
Adressen für jeden Server, SOA-Antwort
4 Empfangene Anfrage- und Antwortpakete
5 Interne Fehlermeldungen
6 Zusätzliche Fehlermeldungen
7 Keine weiteren Informationen
Seite 1 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
8 Keine weiteren Informationen
9 Keine weiteren Informationen
10 Von NFS gesendete Anfrage- und Antwortpakete
11 Zusätzliche Fehlermeldungen
-p port
Verwendung nichtstandardmäßiger Portnummern. Als Voreinstellung
wird die Standardanschlußnummer verwendet, die von
getservbyname(3N) für Service "domain" zurückgegeben wird. Das
Argument kann zwei durch einen Schrägstrich ("/") getrennte Port-
nummern angeben, wobei der erste Port für die Verbindung mit fer-
nen Servern verwendet wird, und der zweite der durch das lokale
Exemplar von named gebundene Serviceanschluß ist. Diese Option
wird hauptsächlich zu Testhilfe benutzt.
-b bootfile
Die Datei bootfile wird anstelle von /etc/named.boot für die
Initialisierung verwendet.
-q Alle eintreffenden Anfragen aufzeichnen. HINWEIS: Statt dieser
Option ist die Zeile options query-log der Boot-Datei vorzuzie-
hen.
-r Deaktiviert die Rekursion im Server. Antworten können nur von
lokalen (primären oder sekundären) Zonen kommen. Diese Option
kann auf Root-Servern verwendet werden. HINWEIS: Statt dieser
Option ist die Zeile options no-recursion der Boot-Datei vorzu-
ziehen.
Jedes weitere Argument wird als Name der Boot-Datei intepretiert. Wer-
den mehrere Boot-Dateien angegeben, wird nur die letzte verwendet.
Die Boot-Datei enthält Informationen darüber, woher der Nameserver
seine Ausgangsdaten erhält. Eine Zeile in der Boot-Datei kann nicht
auf weiteren Zeilen fortgesetzt werden. Es folgt ein kurzes Beispiel:
;
; boot file for name server
;
directory /usr/local/adm/named
; type domain source host/file backup file
cache . root.cache
primary Berkeley.EDU berkeley.edu.zone
primary 32.128.IN-ADDR.ARPA ucbhosts.rev
secondary CC.Berkeley.EDU 128.32.137.8 128.32.137.3 cc.zone.bak
secondary 6.32.128.IN-ADDR.ARPA 128.32.137.8 128.32.137.3 cc.rev.bak
primary 0.0.127.IN-ADDR.ARPA localhost.rev
forwarders 10.0.0.78 10.2.0.78
Seite 2 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
limit transfers-in 10
limit datasize 64M
limit transfers-per-ns 2
options forward-only query-log fake-iquery
Durch die Zeile "directory" wechselt der Server vom Arbeitsverzeichnis
in das angegebene Verzeichnis. Dies kann für die korrekte Verarbeitung
von $INCLUDE-Dateien in Dateien der primären Zone von Bedeutung sein.
Die Zeile "cache" gibt an, daß Daten in "root.cache" in den Sicher-
ungs-Cache abgelegt werden sollen. Hier können hauptsächlich Daten wie
beispielsweise die Adressen von Root-Domänenservern angegeben werden.
Dieser Cache wird während des normalen Betriebs nicht verwendet, son-
dern dient lediglich als "Hinweis" für die Suche nach den aktuellen
Root-Servern. Die Datei "root.cache" hat das gleiche Format wie
"berkeley.edu.zone". Es können auch mehrere "Cache"-Dateien angegeben
sein. Die Datei "root.cache" sollte von Zeit zu Zeit vom
FTP.RS.INTERNIC.NET abgerufen werden, da sie eine Liste der Root-
Server enthält, und sich diese Liste gelegentlich ändert.
Die erste Zeile "primary" im Beispiel gibt an, daß die Datei
"berkeley.edu.zone" autorisierte Daten für die Zone "Berkeley.EDU"
enthält. Die Datei "berkeley.edu.zone" enthält Daten im Masterdatei-
format, wie in RFC 883 beschrieben. Alle Domänennamen beziehen sich
auf die Ausgangsdomäne, in diesem Fall auf "Berkeley.EDU" (weiter
unten finden Sie eine ausführlichere Beschreibung). Die zweite Zeile
"primary" gibt an, daß die Datei "ucbhosts.rev" autorisierte Daten für
die Domäne "32.128.IN-ADDR.ARPA" enthält, die zum Umsetzen von Adres-
sen im Netzwerk 128.32 in Hostnamen verwendet werden. Jede Masterdatei
sollte mit einem SOA-Datensatz für die Zone beginnen (siehe unten).
Die erste Zeile "secondary" im Beispiel gibt an, daß alle autorisier-
ten Daten unter "CC.Berkeley.EDU" von dem Nameserver mit Adresse
128.32.137.8 zu holen sind. Wenn die Übertragung fehlschlägt, wird es
bei Adresse 128.32.137.3 versucht und dann bei allen weiteren in die-
ser Zeile angegebenen Adressen (bis maximal 10). Mit dieser Kopie ist
der Rechner auch für die angegebene Domäne autorisiert. Die erste
Adresse ohne Punktschreibweise in dieser Zeile wird als Dateiname ver-
wendet, unter dem die übertragene Zone gesichert wird. Der Nameserver
lädt die Zone aus dieser Sicherungsdatei (wenn diese beim Booten vor-
liegt) und stellt somit eine vollständige Kopie der Zone zur Verfü-
gung, auch wenn die Master-Server nicht erreichbar sind. Sobald eine
neue Kopie der Domäne durch die automatische Zonenübertragung von
einem der Master-Server empfangen wird, wird diese Datei aktualisiert.
Wenn kein Dateiname angegeben ist, wird eine temporäre Datei verwendet
und nach jeder erfolgreichen Zonenübertragung wieder gelöscht. Dies
wird allerdings nicht empfohlen, da hierdurch nutzlos Bandbreite ver-
schwendet wird. Die zweite Zeile "secondary" im Beispiel gibt an, daß
die Dateien zur Abbildung von Adressen auf Hostnamen für das Subnetz
128.32.136 von derselben Liste von Master-Servern wie bei der vorher-
igen Zone geholt werden sollen.
Seite 3 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
Die Zeile "forwarders" gibt die Adressen aller Server am Standort an,
die rekursive Anfragen von anderen Servern annehmen. Wenn die Boot-
Datei einen oder mehrere Forwarder (Weiterleitungsrechner) angibt,
sendet der Server zuerst alle Anfragen nach Daten, die nicht im Cache
enthalten sind, an die Forwarder. Die Forwarder werden nacheinander
befragt, bis eine Antwort zurückgegeben wird, oder die Liste abgear-
beitet ist. Wenn keine Antwort von einem Forwarder erhältlich ist,
setzt der Server die Verarbeitung so fort, als wäre keine Zeile "For-
warder" angegeben, sofern nicht der Modus "forward-only" aktiviert
ist. Die Weiterleitungsfunktion (Forwarding) bietet sich zur Erstel-
lung eines umfangreichen Cache-Puffers für den gesamten Standort auf
einem Master-Server und zur Reduzierung des Datenverkehrs über Verbin-
dungen zu Servern außerhalb des Standorts an. Über diese Funktion kön-
nen außerdem Server betrieben werden, die zwar keinen direkten Zugriff
auf das Internet haben, aber dennoch nach externen Namen suchen wol-
len.
Die Zeile "slave" (nicht empfohlen) ist nur wegen der Rückwärtskompa-
tibilität zugelassen. Sie entspricht der Zeile "options forward-only".
Die Zeile "sortlist" (nicht gezeigt) kann zur Angabe von Netzwerken
verwendet werden, die anderen Netzwerken vorzuziehen sind. Bei Antwor-
ten auf Anfragen nach Hostadressen im selben Netzwerk, in dem sich
auch der Server befindet, sind lokale Netzwerkadressen zuerst aufgeli-
stet, dann folgen Adressen aus der Sortierliste und zum Schluß andere
Adressen.
Die Zeile "xfrnets" (nicht gezeigt) kann zum Einrichten einer einfa-
chen Zugriffssteuerung verwendet werden. Wird diese Zeile angegeben,
beantwortet der Nameserver nur Zonenübertragungsanforderungen von den
Hosts, die sich in den Netzwerken befinden, die in den Zeilen
"xfrnets" aufgelistet werden. Diese Zeile kann aus Kompatibilitäts-
gründen mit älteren Servern auch als "tcplist" angegeben werden.
Die Zeile "include" (nicht gezeigt) kann für die Verarbeitung des
Inhalts einiger anderer Dateien verwendet werden, so als wären diese
anstelle der Zeile "include" angegeben. Dies bietet sich bei einer
Vielzahl von Zonen oder bei logischen Gruppen von Zonen an, die von
verschiedenen Personen verwaltet werden. Für die Zeile "include" ist
ein Argument erforderlich, und zwar der Name der Datei, deren Inhalt
aufgenommen werden soll. Der Dateiname muß nicht in Anführungszeichen
stehen.
Die Zeile "bogusns" (nicht gezeigt) teilt BIND (Berkeley Internet Name
Domain) mit, daß keine Anfragen an die angegebenen Nameserveradressen
(die in Punktschreibweise und nicht als Domänennamen angegeben werden)
gesendet werden sollen. Dies ist nützlich, wenn bekannt ist, daß
einige häufig verwendete Server beschädigte Daten in einer Zone oder
einem Cache haben und eine Fremdeinwirkung während der Behebung des
Problems verhindert werden soll.
Seite 4 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
Die Zeile "limit" kann zum Ändern interner Grenzwerte von BIND verwen-
det werden, von denen einige (zum Beispiel datasize) vom System und
andere (wie transfers-in) von BIND selbst implementiert werden. Der
Zahl nach dem Grenzwert kann eine Maßeinheit durch Anhängen von "k",
"m" oder "g" für Kilobyte, Megabyte bzw. Gigabyte zugeordnet werden.
Das Argument von datasize setzt die vom Kern vorgegebene Prozeßdaten-
größe. Das Argument von transfers-in ist die Anzahl der named-xfer(1M)-
Unterprozesse, die BIND gleichzeitig haben darf. Das Argument von
transfers-per-ns ist die maximale Anzahl von Zonenübertragungen (Vor-
einstellung ist 2), die gleichzeitig durch einen beliebigen fernen
Nameserver eingeleitet werden kann.
Die Zeile "options" führt ein boolsches Kennzeichen ein, das das Ver-
halten von BIND ändert. In einer Zeile können auch mehrere Optionen
angegeben werden. Derzeit sind die folgenden Optionen definiert:
no-recursion - hierdurch antwortet BIND mit einem Verweis anstatt mit
tatsächlichen Daten, wenn eine Anfrage nach einem Namen eingeht, für
den der Nameserver nicht autorisiert ist (diese Option darf nicht auf
einem Server gesetzt werden, der in einer Konfigurationsdatei
resolv.conf(4) eines Hosts aufgelistet ist); no-fetch-glue - hierdurch
wird verhindert, daß BIND beim Aufbau des Abschnitts "additional data"
für eine Antwort unbekannte "Glue"-Daten holt. Dies sind Adreßdaten-
sätze für Nameserver von Subzonen. Diese Option kann zusammen mit
no-recursion verwendet werden, um zu verhindern, daß der BIND-Cache
unaufhörlich anwächst oder beschädigt wird; query-log - hierdurch wer-
den alle Anfragen über syslogd(1M) aufgezeichnet (da es sich hierbei
um eine große Datenmenge handelt, sollte diese Option mit Bedacht
gesetzt werden); forward-only - der Server fragt nur seine Forwarders
ab (diese Option wird normalerweise bei Systemen verwendet, auf denen
ein Server betrieben werden soll, dem aus physischen oder administra-
tiven Gründen jedoch kein Zugriff auf das Internet erteilt werden
kann); fake-iquery - hiermit wird BIND mitgeteilt, auf "inverse Anfra-
gen" eine unbrauchbare oder "bogus"-Antwort anstatt eines Fehlers
zurückzusenden (dies bietet sich an, wenn eine Vielzahl von Mikrocom-
putern und/oder Rechnern mit Sun-Betriebssystem vorhanden sind).
Die Zeile "max-fetch" (nicht gezeigt) ist wegen der Rückwärtskompati-
bilität zugelassen. Sie hat dieselbe Bedeutung wie "limit transfers-
in".
Die Masterdatei besteht aus Steuerinformationen und einer Liste von
Datensätzen für Objekte in der Zone und hat folgendes Format:
$INCLUDE filename optdomain
$ORIGIN domain
domain optttl optclass type resourcerecorddata
Hierbei ist domain ein "." für Root, ein "@" für die aktuelle Aus-
gangsdomäne oder ein Standarddomänenname. Ist domain ein Standarddomä-
nenname, der nicht mit einem "." endet, wird der Name der aktuellen
Ausgangsdomäne an die Domäne angehängt. Domänen, die mit "." enden,
bleiben unverändert. Das Feld optdomain wird zum Definieren einer
Seite 5 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
Ausgangsdomäne für die Daten in einer zugehörigen Datei verwendet. Es
entspricht der Angabe einer Anweisung $ORIGIN vor der ersten Zeile der
zugehörigen Datei. Die Angabe dieses Felds ist optional. Weder das
Feld optdomain noch Anweisungen $ORIGIN in der einbezogenen Datei
ändern die aktuelle Ausgangsdomäne für die äußere Datei. Das Feld
optttl ist eine optionale Zahl für das TTL-Feld (TTL - Time-To-Live,
Lebensdauer). Es nimmt standardmäßig den Wert Null an, wodurch die
Datensätze mit dem Mindestwert "minimum ttl" aus SOA verschickt wer-
den. Das Feld optclass ist der Adreßtyp des Objekts; zur Zeit wird
nur ein Typ, und zwar IN, für Objekte unterstützt, die mit dem DARPA-
Internet verbunden sind. Das Feld type enthält eines der folgenden
Kürzel; das Format der im Feld resourcerecorddata erwarteten Daten
ist in der folgenden Liste in Klammern angegeben:
A Eine Hostadresse (in Punktschreibweise)
NS Ein autorisierter Nameserver (Domäne)
MX Vorgelagerte Mailserver (weiterleitend) (Domäne), der ein
Prioritätswert (0..32767) vorangestellt ist, wobei niedrigere
numerische Werte höhere logische Prioritäten darstellen.
CNAME Der kanonische Name für einen Alias-Namen (Domäne)
SOA Markiert den Anfang einer autorisierten Zone (Domäne des Aus-
gangshosts, Domänenadresse des Verwalters, eine Seriennummer
(serial) und die folgenden Parameter in Sekunden: refresh
(Aktualisierung), retry (Wiederholung), expire (Zeitablauf)
und minimum TTL (Mindestlebensdauer) [siehe RFC 883]).
NULL Ein Nulldatensatz (ohne Format oder Daten)
RP Eine verantwortliche Person für Domänennamen (Mailbox, TXT-
Verweis)
PTR Ein Zeiger auf einen Domänennamen (Domäne)
HINFO Hostinformationen (CPU-Typ, Betriebssystem)
TXT Textdaten im freien Format; Definition von Sicherheitszonen
(siehe unten)
Datensätze enden normalerweise am Ende einer Zeile, können jedoch auch
über mehrere Zeilen fortgesetzt werden, wenn sie in Klammern stehen.
Kommentare werden mit einem Semikolon eingeleitet und gehen bis zum
Zeilenende.
Es können auch andere als die hier beschriebenen Arten von Datensätzen
vorkommen. Eine vollständige Liste finden Sie im BIND Operations Guide
("BOG", in /usr/lib/named). Einige Datensatzarten sind in neueren RFCs
möglicherweise standardisiert, in dieser Version von BIND jedoch noch
nicht implementiert.
Seite 6 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
Jede Masterzonendatei sollte mit einem SOA-Datensatz für die Zone
beginnen. Hier ein Beispiel eines SOA-Datensatzes:
@ IN SOA ucbvax.Berkeley.EDU. rwh.ucbvax.Berkeley.EDU. (
1989020501 ; serial
10800 ; refresh
3600 ; retry
3600000 ; expire
86400 ) ; minimum
Der SOA-Datensatz gibt eine Seriennummer an, die sich bei jeder Ände-
rung der Masterdatei ändern sollte. Die Folgenummer kann zwar durch
Punkte getrennt werden; dies ist jedoch nicht zu empfehlen, da die
Umsetzung in Integer über eine Verknüpfung und nicht über Multiplika-
tion oder Addition erfolgt. Die Größe dieses 32-Bit-Felds ohne Vorzei-
chen reicht aus, um das Jahr, den Monat, den Tag des Monats und die
Versionsnummer 0..99 auszuschreiben. Diese Strategie muß im Jahr 4294
(Gregorianisch) zwar neu überdacht werden, darüber machen wir uns aber
zur Zeit noch keine Gedanken. Sekundäre Server prüfen die Folgenummer
in bestimmten Zeitintervallen, die durch die Aktualisierungszeit
(refresh) (in Sekunden) festgelegt sind. Wenn sich die Seriennummer
ändert, wird eine Zonenübertragung vorgenommen, um die neuen Daten zu
laden. Wenn zum Zeitpunkt einer erforderlichen Aktualisierung keine
Verbindung zu einem Master-Server hergestellt werden kann, gibt die
Wiederholungszeit (retry) das Intervall an, nach dem eine erneute
Aktualisierung versucht werden soll. Kann während des durch die
Ablaufzeit (expire) angegebenen Intervalls keine Verbindung zu einem
Master-Server hergestellt werden, löschen sekundäre Server ihre Daten
dieser Zone. Der Mindestwert (minimum) ist die Lebensdauer (TTL -
Time-to-Live), die von Datensätzen in der Datei ohne expliziten TTL-
Wert verwendet wird.
Sicherheitszonen sind auf der Basis von Zonen realisiert. Das Konzept
ist dergestalt, daß in einer Liste diejenigen Rechner oder Netzwerke
aufgeführt werden, die gewisse Informationen über die Zone abfragen
dürfen.
Um die Zonensicherheit nutzen zu können, muß zumindest ein TXT-Daten-
satz "secure_zone" vorhanden sein. Sofern kein Datensatz "secure_zone"
für eine bestimmte Zone vorliegt, unterliegen die Daten in dieser Zone
keinerlei Einschränkungen. Das Format des TXT-Datensatzes
"secure_zone" lautet wie folgt:
securezone addr-class TXT string
Die Adressenklasse addr-class kann entweder HS oder IN sein. Die Syn-
tax für die Zeichenkette string ist entweder "network address:netmask"
oder "host IP address:H".
"network address:netmask" ermöglicht Anfragen von allen Rechnern eines
Netzwerkes aus. Wenn die Netzmaske nicht angegeben wird, verwendet
named die Standardnetzmaske für die angegebene Netzwerkadresse.
Seite 7 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
"host IP address:H" ermöglicht Anfragen von einem Host aus. Das "H"
nach dem ":" ist erforderlich, um die Hostadresse von einer Netzwerk-
adresse unterscheiden zu können. In einer Zonendatei sind mehrere
TXT-Datensätze "secure_zone" zulässig.
Sie können beispielsweise eine Zone nur für die Beantwortung von
Hesiod-Anforderungen vom maskierten Class B Netzwerk 130.215.0.0 und
vom Host 128.23.10.56 aus einrichten, indem Sie folgende beiden TXT-
Datensätze hinzufügen:
securezone HS TXT "130.215.0.0:255.255.0.0"
securezone HS TXT "128.23.10.56:H"
Diese Funktion kann verwendet werden, um den Zugriff auf eine Hesiod-
Paßwortdatei zu beschränken oder um interne und externe Internet-
Adressenauflösung auf einem Firewall-System zu trennen, ohne daß ein
separater named für interne und externe Adressenauflösung laufen muß.
Beachten Sie hierbei, daß Sie die Loopback-Schnittstelle (127.0.0.1)
in Ihrem Datensatz "secure_zone" aufnehmen müssen, da Ihre lokalen
Clients ansonsten keine Namen auflösen können.
Signalbehandlung
Die folgenden Signale haben die angegebenen Auswirkungen, wenn sie mit
dem Kommando kill(1) an den Serverprozeß gesendet werden.
SIGHUP Der Server liest /etc/named.boot und lädt die Datenbank
erneut. Durch das Signal SIGHUP prüft der Server auch die
Seriennummer aller sekundären Zonen. Normalerweise werden
die Seriennummern nur in den durch SOA angegebenen Inter-
vallen überprüft.
SIGINT Erstellt einen Speicherabzug der aktuellen Datenbank und
des Cache in /var/tmp/nameddump.db.
SIGUSR1 Schaltet den Testhilfemodus ein; durch jedes weitere Signal
SIGUSR1 wird die Stufe und damit der Umfang der Meldungen
erhöht (bis zu Stufe 11).
SIGUSR2 Deaktiviert den Testhilfemodus (Stufe 0).
SIGIOT Erstellt einen Speicherabzug der Statistikdaten in
/var/tmp/named.stats. Statistikdaten werden an die Datei
angehängt.
SIGWINCH Aktiviert bzw. deaktiviert das Protokollieren aller einge-
henden Anfragen über syslogd(1M).
Seite 8 Reliant UNIX 5.44 Gedruckt 11/98
named(1M) named(1M)
DATEIEN
/etc/named.boot
Boot-Datei für die Nameserverkonfiguration
/etc/named.pid
Prozeß-ID
/var/tmp/named.run
Ausgabe der Fehlersuche
/var/tmp/nameddump.db
Speicherabzug der Datenbank der Nameserver
/var/tmp/named.stats
Nameserver-Statistikdaten
/usr/lib/named/bog.ascii
/usr/lib/named/bog.ps
BIND Name Server Operations Guide for BIND ("BOG"); ASCII- und
PostScript-Format
SIEHE AUCH
kill(1), inetd(1M), resolver(3N), resolv.conf(4).
Seite 9 Reliant UNIX 5.44 Gedruckt 11/98