Name Server Operations Guide for BIND

6. ”айлы

„лЯ загрузки своей базы данных ‘ервер €мен использует несколько файлов. ‚ этой секции описываютсЯ эти файлы и их формат, который требует named.

6.1. ”айл ‡агрузки

ќтот файл считываетсЯ первым при запуске named. Ћн сообщает серверу его тип, за какие зоны он отвечает и где взЯть свои начальные данные. Џо умолчанию этот файл находитсЯ в /etc/named.boot. Ћднако это может быть изменено установкой переменной BOOTFILE при компилЯции named или указанием места его расположениЯ в командной строке при запуске named.

6.1.1. „омен

„омен по умолчанию длЯ сервера имен может быть определен используЯ строку типа:

domain       Berkeley.Edu

Ѓолее старые сервера имен используют эту информацию когда они получают запрос на имЯ без ". ", которое не известно. Ѓолее новые понимают, что библиотека определителЯ добавит его собственное понимание "домена по умолчанию (default domain) " к любому неопределенному имени. Ќа самом деле сервер имен может быть скомпилирован с поддержкой директивы domain в файле загрузки, по умолчанию пропускаЯ ее, и мы очень рекомендуем не использовать ее. …сли вы все же используете это, клиенты находЯщиесЯ вне вашего локального домена будут посылать к вам запросы об неопределенных именах и будет происходить столкновениЯ определениЯ вашего домена с их. Ќаиболее подходЯщее место длЯ использованиЯ этой функции - это клиент, в его файле /etc/resolv.conf (или равнозначном). €спользование директивы domain в вашем загрузочном файле сбивает всех с толку.

6.1.2. Љаталог

„иректива directory определЯет каталог, в котором должен работать сервер имен и разрешает использование длЯ остальных имен файлов в загрузочном файле относительных путей. Њожет быть использована только одна директива directory и она должна быть дана до всех остальных директив, определЯющих имена файлов.


       directory        /var/named

…сли у вас больше чем пара файлов, с которыми должен работать named, вы можете поместить эти файлы в каталог типа /var/named и применить соответствующую команду directory. ѓлавнаЯ цель этой команды - удостоверитьсЯ, что named находитсЯ в соответствующем каталоге, когда пытаетсЯ включить файлы с относительным путем в $INCLUDE, а также позволить named работать в том месте, где он может отбросить корку (dump core) если ему вдруг станет плохо.

6.1.3. Џервичный ‘ервис

‘трока в загрузочном файле, назначающаЯ сервер первичным главным сервером длЯ зоны выглЯдит следующим образом:

primary        Berkeley.Edu   ucbhosts

Џервое поле говорит нам, что сервер ЯвлЯетсЯ первичным длЯ зоны, описанной во втором поле. ’ретье поле ЯвлЯетсЯ именем файла, из которого нужно читать данные.

‚ышесказанное подразумевает, что зона, которую вы определЯете есть зона класса IN. …сли вы хотите определить другой класс, вы можете добавить /class к первому полю, где class - это целое число или стандартное символьное представление класса. Ќапример, строка длЯ первичного сервера зоны класса hesiod выглЯдит так:

primary/HS         Berkeley.Edu    hesiod.data

Ќеобходимо заметить, что поддержка классов зон, отличающихсЯ от класса IN включаетсЯ во времЯ компилЯции и может быть отключена вашим поставщиком при построении вашей операционной системы.

6.1.4. ‚торичный ‘ервис

‘трока длЯ вторично сервера аналогична первичному за исключением того, что она перечислЯет адреса других серверов (обычно первичных), от которых будут получены данные о зоне.

secondary     Berkeley.Edu   128.32.0.10  128.32.0.4  ucbhosts.bak

Џервое поле говорит о том, что это вторичный сервер длЯ зоны описанной во втором поле. „ва сетевых адреса определЯют сервера имен, на которых имеютсЯ данные длЯ этой зоны. Ќужно отметить, что как минимум один из них будет первичным, и, пока вы используете какой-либо другой протокол вместо IP/DNS длЯ механизма передачи зоны, остальные будут другими вторичными серверами. ‚ытЯгивание данных с других вторичных серверов на ваш вторичный сервер обычно не очень хорошо, так как происходит задержка в распространении изменений в зоне. Њожно целенаправленно использовать много адресов в описании secondary, когда первичный сервер имеет много сетевых интерфейсов и, соответственно, много адресов. ‚торичный сервер получает свои данные через сеть от одного из перечисленных серверов. Ђдреса серверов пробуютсЯ в порЯдке перечислениЯ. Џосле списка первичных серверов прописано имЯ файла, данные о зоне будут записаны в этот файл. Љогда сервер запускаетсЯ в первый раз, данные загружаютсЯ, если это возможно, из этого файла, а первичный сервер опрашиваетсЯ по поводу того, не устарели ли эти данные. Ќужно отметить, что перечисление вашего сервера как вторичного не необходимо -- родительскаЯ зона должна делегировать полномочиЯ вашему серверу, как первичному, как и длЯ остальных вторичных, или вы будете перекачивать всю зону; ни один другой сервер не будет иметь причины опрашивать ваш по поводу зоны пока в родительской зоне он не будет перечислен как сервер длЯ зоны.

Љак и в случае первичного длЯ класса, отличного от IN, вы должны определЯть вторичный сервер добавлением /class к ключевому слову secondary, например secondary/HS.

6.1.5. Џоддельный ‘ервис

‘трока длЯ поддельного сервера аналогична вторичному. (ќта возможность поЯвилась как экспериментальнаЯ в версии 4.9.3.)

    stub   Berkeley.Edu       128.32.0.10  128.32.0.4  ucbhosts.bak

Џервое поле говорит о том, что сервер ЯвлЯетсЯ поддельным сервером длЯ зоны описанной во втором поле.

Џоддельные зоны нужны длЯ того, чтобы быть уверенными в том, что первичный сервер длЯ зоны всегда имеет корректные записи типа NS длЯ всех порожденных зон. …сли первичный сервер не ЯвлЯетсЯ вторичным длЯ порожденной зоны, то он должен быть сконфигурирован с поддельными зонами длЯ всех своих "детей". Џоддельные зоны обеспечивают механизм дозволЯющий записи типа NS длЯ зон, описанных только в одном месте.

  

    primary        CSIRO.AU       csiro.dat
    stub           dms.CSIRO.AU   130.155.16.1  dms.stub 
    stub           dap.CSIRO.AU   130.155.98.1  dap.stub

6.1.6. €нициализациЯ кэша

‚се сервера, включаЯ "только кэширующие " сервера, длЯ инициализации кэша сервера имен должны иметь в загрузочном файле строку типа:

  

    cache       .             root.cache

‚ ваших файлах кэша не пишите ничего кроме информации о корневом сервере.

‚се описанные кэш-файлы будут прочитаны во времЯ загрузки named и все дествительные значениЯ будут восстановлены в кэше. €нформациЯ о корневом сервере имен в кэш-файлах будет использоватьсЯ до тех пор, пока на запрос о корне не будет получен ответ от одного из серверов имен, описаных в кэш-файле, после чего этот ответ будет использоватьсЯ вместо кэш-файла пока времЯ действиЯ ответа не истечет.

‚месте с первичным и вторичным, вы можете указать вторичный сервер длЯ класса отличного от IN добавлением к ключевому слову cache слова /class, например class/HS.

6.1.7. Џересыльщики

‹юбой сервер иожет использовать пересыльщиков. Џересылка - это еще одна возможность сервера при обработке рекурсивных запросов от имени других систем. Љоманда forwarders указывает пересыльщика по его адресу в internet:

  

    forwarders       128.32.0.10   128.32.0.4

€меютсЯ две большие причины, чтобы так делать.

ЏерваЯ, некоторые системы могут не иметь полный доступ к сети и могут быть закрыты от посылки каких-либо IP пакетов в остальную часть Internet, и таким образом должны положитьсЯ на пересыльщика имеющего полный доступ ко всей сети. ‚торЯ причина - это то, что пересыльщик видит все запросы проходЯщие через его сервер в совокупности и таким образом выстраивает очень богатый кэш данных по сравнению с кэшем сервера имен типичной рабочей станции. ‚ результате, пересыльщик становитсЯ метакэшем, которым могут воспользоватьсЯ все хосты, уменьшаЯ в результате общее число запросов из данного места в остальную часть сети.

ђабота "пересыльщиков " состоит в том, чтобы соотнести некоторые фиксированные адреса со списком серверов имен, которые нужно пробовать при каждом запросе. Ћбычно этот список состоит только из серверов с более высокой властью, обнаруженных через NS записи длЯ соответствующего домена. …сли пересыльщики не отвечают, то пока директива slave не была дана, будут опрошены непосредственно соответствующие сервера длЯ областей.

6.1.8. Џодчиненные сервера

Џодчиненный режим используетсЯ, если использование пересыльщиков - единственный возможный способ разрешить запросы из-за отсутствиЯ полного доступа к сети или если вы желаете оградить сервер имен от использованиЯ каких-либо других пересыльщиков, кроме перечисленных. Џодчиненный режим активизируетсЯ указанием в загрузочном файле простой команды

  

     options forward-only

…сли используетсЯ эта опциЯ, то вы должны определить пересыльщиков. ‚ подчиненном режиме, сервер будет пересылать каждый запрос к каждому из пересыльщиков, до тех пор, пока не будет найден ответ, или исчерпан список пересыльщиков. ‘ервер не будет пробовать входить в контакт с любым удаленным сервером имен, кроме перечисленных списке пересыльщиков.

’ак, в то времЯ как forwardres использует адреса из "списка серверов" длЯ каждого запроса, options forward-only заставлЯет "список серверов" содержать только те адреса, которые перечислены в объЯвлении forwarders. Ќебрежное использование директивы options forward-only может вызывать действительно ужасные циклы пересылки, так как вы могли бы закончить запросы пересылки к некоторому набору хостов, которые также ЯвлЯютсЯ подчиненными, а один или несколько из них могли бы пересылать запросы обратно к вам.

€спользование директивы options forward-only должно быть очень осторожным. Ћбратите внимание, что то же самое поведение может быть достигнуто использованием директивы slave.

6.1.9. Ќерекурсивные сервера

ђазделение данных BIND на авторитативные (зоны) и неавторитативные (кэша) всегда было несколько слабо, и, как известно возможно загрЯзнение вышеупомЯнутых через последние. Ћдин из способов предотвратить это, также как и сохранить памЯть на серверах поддерживающих множество авторитативных данных (например корневых серверах) состоит в том, чтобы делать такие сервера " нерекурсивными". ќто может быть достигнуто использованием в загрузочном файле директивы

  

     options      no-recursion

‘ервер, на котором включена эта опциЯ не будет пытатьсЯ выбирать данные, чтобы помочь ответить на запросы - если вы спрашиваете его о данных которые он не имеет, то он будет посылать вам сылки на более авторитативные сервера или, если он сам авторитативен за запрашиваемую зону, то он пришлет вам отрицательный ответ.

Ќерекурсивный сервер может быть проименован в NS RR, но не может быть указан в файле resolv.conf.

6.1.10. Џротоколирование ‡апросов

…сли файловаЯ система, содержащаЯ ваш файл syslog имеет достаточно много места, то вы можете рассмотреть использование в вашем загрузочном файле директивы

  

           options        query-log

ќто заставит ваш сервер имен протоколировать все получаемые запросы, а использование комбинации скриптов на Perl или AWK при последующей обработке файла протокола, может стать полезным средством управлениЯ.

6.1.11. Џсевдоподдержка Ћбратных ‡апросов

BIND по умолчанию не поддерживает обратные запросы, и это, как известно, может вызывать проблемы длЯ некоторых операционных систем микроќ‚Њ и длЯ более старых версий инструмента nslookup. ‚ы можете решить, что намного лучше, если вместо ответа "operation not implemented", named должен обнаруживать наиболее общие обратные запросы и отвечать на них поддельной информацией; конечно же лучше произвести обновление ваших клиентов, чтобы прекратить зависимость от обратных запросов, но если это не возможно, вы должны использовать эту директиву в вашем загрузочном файле

  
    
         options    fake-iquery

ЋЃђЂ’€’… ‚Ќ€ЊЂЌ€…: ответы фактически поддельны, они содержат квадратные скобки ISO8859 ([ и ]), так что ваши клиенты не будут способны сделать что-нибудь полезное с этими ответами. Ќаблюдалось, что ни один клиент никогда не делал что-нибудь полезное даже с реальными ответами на обратные запросы.

6.1.12. “становка Ћграничений ‘ервера €мен

Ќекоторые операции сервера имен могут использовать достаточно большое количество ресурсов, и длЯ того, чтобы соответственно настроить вашу систему иногда необходимо изменить внутренние квоты BIND. ќто достигаетсЯ посредством следующих директив в загрузочном файле:

  
    
        limit   <name>   <value>

ЋграничениЯ и их значениЯ по умолчанию выглЯдЯт так:

  

        limit  transfers-in  10

Џри этом число означает количество одновременных процессов named-xfer которые BIND может запустить. …сли ваш вторичный сервер имеет сотни или тысЯчи поддерживаемых зон, то более высокие числа могут привести к более быстрой сходимости к первичным серверам,но установка слишком высокого значениЯ может привести к очень высокой загрузке сервера и пожиранию ресурсов, таких как ширина пропусканиЯ сети или свопингового пространства. ЋЃђЂ’€’… ‚Ќ€ЊЂЌ€…: это ограничение может быть выражено пдирективой max-fetch NN.

  

       limit   transfers-per-ns  2

ќто число означает количество процессов named-xfer, которые может инициировать BIND к любому заданному серверу имен. ‚ большинстве случаев вы не должны изменЯть это число. …сли ваш вторичный сервер тащит сотни или тысЯчи зон с одного первичного сервера, увеличение transfers-per-ns можеть ускорить сходимость. ќто число нужно держать как можно меньшим, во избежание большой загрузки и пожираниЯ ресурсов на первичном сервере.

limit datasize <system-dependent>

Ѓольшинство систем имеют квоты, ограничивающие размер так называемого "сегмента данных", где BIND держит все авторитативные данные и кэш. BIND будет поступать субоптимально (возможно даже при завершении работы) если он работает при этой квоте. …сли ваша система поддерживает системный вызов, изменЯющий эту квоту длЯ определенного процесса, вы можете попросить BIND использовать этот системный вызов посредством директивы limit datasize NN. ‡начение заданное здесь может быть задано добавлением k длЯ 1024X, m длЯ (1024^2)X, и g длЯ (1024^3)X. ‚ 1995г., все корневые сервера использовали limit datasize 64m.

6.1.13. ЋграничениЯ в передаче зон

ќто может быть случай, который ваша организациЯ не желает выдавать полные списки ваших хостов кому угодно в Inernet, кто может достичь ваших серверов имен. •отЯ пока это все еще возможно длЯ людей "итерировать" через ваш диапазон адресов, ища записи PTR и формируЯ список ваших хостов "медленным " " способом, поэтому все еще выглЯдит резонным ограничить ваш экспорт зон через протокол передачи зон. —тобы ограничить список соседей могущих брать зоны с вашего сервера, используйте директиву xfrnets.

ќта директива имеет такой же синтаксис, что и forwarders, за исключением того, сто вы можете перечислить сетевые адреса в добавление к адресам хостов. Ќапример, если вы хотите разрешить доступ к передаче зон с вашего сервера только хостам сети класса A с номером 16, вы можете использовать директиву

xfrnets 16.0.0.0

ќто не достаточно детально, и будущаЯ версиЯ BIND будет разрешать определЯть такой контроль доступа на похостовой основе, вместо текущего на посетевой основе. Ћбратите внимание, что, в то времЯ как в этой директиве адреса без Явных масок принимаютсЯ за сети, вы можете определить маску, котораЯ будет настолько детальна, как вы захотите, возможно, включаЯ все биты адреса так, что только один единственный хост получит разрешение на передачу. Ќапример, рассмотрим

xfrnets 16.1.0.2&255.255.255.255

что разрешит только хосту 16.1.0.2 передавать зоны от вас. ‡аметьте, что не должно быть ни одного пробела вокруг знака "& ", представлЯющего собой сетевую маску.

„иректива xfrnets длЯ совместимости с промежуточными выпусками BIND 4.9. также может быть задана как tcplist.

6.1.14. ‘ортировка адресов

…сли имеетсЯ множество адреса, доступных длЯ сервера имен, с которыми захочет контактировать BIND, BIND сначала будет пробовать те, которые он считает "самыми близкими". "Ѓлизость" определЯетсЯ в терминах похожести по адресу; то-есть если один из адресов находитсЯ в той же самой подсети что и некоторый интерфейс хоста, то первым будет опробован этот адрес. …сли это не получитсЯ, то затембудет попробован адрес, находЯщийсЯ в той же сети. …сли и это провалитсЯ, и если в файле named.boot не была задана директива sortlist, то адреса будут опробованы в более или менее произвольном порЯдке. „иректива sortlist имеет синтаксис, подобный forwarders, xfrnets, и bogusns - вы задаете ему список сетей в виде xxx.xxx.xxx.xxx, и он использует их при "предпочтении" одних серверов имен перед другими. …сли никакаЯ ЯвнаЯ маска не обеспечиваетсЯ каждым элементом sortlist , то будет сделан вывод основанный на битах адреса старшего разрЯда.

…сли вы находитесь в сети класса C, имеющей сеть класса B вами и остальным Internet, вы могли бы попробовать увеличить удачу сервера имен в получении ответов, перечислив сеть класса B в директиве sortlist. ќто должно иметь эффект при опробовании "ближайших" серверов перед более "удаленными". Ћбратите внимание, что это поведение ЯвлЯетсЯ новым, и поЯвилось начинаЯ с, BIND 4.9.

„ругой и более старый эффект директивы sortlist должен заставить, BIND сортировать записи типа A в любом генерируемом ответе, чтобы поместить те, которые имеютсЯ в sortlist перед остальными. ќто не настолько полезно, как вы могли бы подумать, так как многие клиенты будут пересортировывать записи типа A в произвольном порЯдке или используЯ "магазинный порЯдок" (LIFO); также учтите то, что сервер будет способен догадатьсЯ о топологии сети клиента, и таким образом не будет способен точно упорЯдочить "близость" ко всем возможным клиентам. ‚ыполнение упорЯдочениЯ в разрешителе Ясно выше.

‚ реальной практике, эта директива используетсЯ очень редко, так как это жестко привЯзывает быстро менЯющуюсЯ информацию; сеть, котораЯ "близка" сегоднЯ, может быть "отдалена" уже в следующем месЯце. ’ак как BIND создает кэш времен ответа удаленных серверов имен, то он будет быстро сходитьсЯ на "приемлемом" поведении, которое не означает "оптимальное", но почти то же самое. Ѓудущие направлениЯ развитиЯ BIND, включают выбор адресов, основываЯсь на метриках локальных интерфейсов (хостах, имеющих больше чем один интерфейс) и, возможно, на информации из таблицы маршрутизации. Њы не собираемсЯ решать обобщенную проблему "multihomed" хостов, но мы должны быть способны сделать что-то получше чем то,что мы имеем сейчас. Ђналогично, мы надеемсЯ увидеть библиотеку разрешителЯ на более высоком уровне, сортирующую ответы на основе информации о топологии, существующей только на клиентском хосте.

6.1.15. Џоддельные ‘ервера €мен

€ногда случаетсЯ, что некоторый удаленный сервер имен становитсЯ "плохим". ‚ы можете указать вашему серверу имен отказатьсЯ слушать или задавать вопросы к конкретным серверам имен, перечислив их в директиве bogusns в вашем файле named.boot. ќта директива имеет тот же синтаксис что и forwarders, xfrnets, и sortlist -вам нужно только задать ему список адресов Internet в виде xxx.xxx.xxx.xxx. Ћбратите внимание, что зоны, делегируемые на такие сервера не будут доступны длЯ клиентов ваших серверов; таким образом вы должны использовать эту директиву умеренно или вообще не использовать.

6.1.16. ‘егментированные загрузочные файлы

…сли ваш сервер ЯвлЯетсЯ вторичным длЯ множества зон, вы можете найти удобным расчленить ваш файл named.boot на статическую часть, котораЯ врЯдли когда-либо изменитсЯ (в нее могли бы войти директивы типа directory, sortlist, xfrnets и cache), и динамические части, которые изменЯютсЯ достаточно часто (все ваши директивы primary могли войти в один файл, а все директивы secondary - в другой файл - и любой из них, или оба эти файла могли быть вытащены автоматически от некоторого соседа так, чтобы они могли изменить ваш список вторичных зон без вашего активного вмешательства). ‚ы можете выполнЯть это посредством директивы include, котораЯ берет в качестве параметра только одно имЯ файла. Ќе нужны никакие кавычки вокруг имени файла. €мЯ файла будет оценено после того, как сервер имен изменит рабочий каталог на тот, что определен директивой directory, поэтому вы можете использовать относительные имена, если ваша система их поддерживает.

6.2. ЉонфигурациЯ ђазрешителЯ

”айл конфигурации называетсЯ /etc/resolv.conf. ќтот файл обозначает сервера имен в сети, к которым нужно послать запросы. ђазрешитель будет пробовать установить контакт с сервером имен на localhost, если он не сможет найти файл конфигурации. ‚ любом случае вы должны установить файл конфигурации на каждом хосте, так как это - единственный рекомендуемый способ определить домен по умолчанию на системном уровне, и вы можете записать в него адрес локального хоста, если на нем работает сервер имен. Ѓудет вполне резонно создать этот файл в случае если у вас работает локальный сервер, так как его содержимое будет кэшироватьсЯ каждым клиентом разрешителЯ, когда клиент делает первый вызов программы разрешителЯ.

”айл resolv.conf содержит директивы, по одной в каждой строчке, в следующей форме:


; комментарий
# другой комментарий
domain local-domain 
search search-list 
nameserver server-address 
sortlist sort-list 
options option-list

•отЯ бы одна из директив domain или search должна быть дана, хотЯ бы один раз. …сли дана директива search, то первый элемент в заданном списке поиска (search-list) перевесит любой ранее определенный local-domain. „иректива nameserver может быть дана до трех раз; все дополнительные директивы nameserver будут игнорированы. …сли строка будет начинатьсЯ с ";" или "#", то эта строка будет считатьсЯ комментарием; нужно отметить, что комментарии не были позволены в ранних версиЯх разрешителЯ (тех что были включены в BIND версий младше 4.9) - так что если версиЯ разрешителЯ вашего продавца поддерживает комментарии, то он в самом деле очень расторопен.

Local-domain будет добавлен к любому запросу, не содержащему ".". local-domain может быть обойден на уровне процессов установкой переменной окружениЯ LOCALDOMAIN. Ќужно отметить, что обработка local-domain может быть отключена установкой опции в разрешителе.

Search-list - это список доменов, которые пробуютсЯ, по порЯдку, длЯ имен, не содержащих ".". Ћбработка search-list может быть отключена установкой опции в разрешителе. ’акже отметьте, что переменнаЯ окружениЯ "LOCALDOMAIN" может подавить search-list на уровне процессов.

Ђдреса серверов (server-address) собираютсЯ вместе и затем используютсЯ как назначение по умолчанию запросов, генерируемых через разрешитель. „ругими словами, таким образом вы можете сказать разрешителю, какие сервера имен он должен использовать. „лЯ определенных клиентских приложений существует возможность обойти этот список, и она обычно осуществлЯетсЯ внутри сервера имен (который в то же самое времЯ и есть клиент разрешителЯ) и в тестовых программах типа nslookup. Ќужно отметить, что если вы хотите перечислить локальный хост в файле конфигурации разрешителЯ, вы лучше всего должны использовать его первичный адрес в Internet, чем псевдоимЯ локального хоста типа 127.0.0.1 или 0.0.0.0. ќто необходимо из-за ошибки в сетевом коде некоторых версий BSD при обработке соединенных сокетов SOCK_DGRAM. …сли вы должны использовать псевдоадрес, то лучше всего вместо 127.0.0.1 использовать 0.0.0.0 (или просто "0"), впрочем, вы предупреждены, что в зависимости от типа вашего сетевого кода BSD, оба из них способны на ошибку, какждый по-своему. …сли реализациЯ IP на вашем хосте не создает короткозамкнутый маршрут между интерфейсом по умолчанию и петлевым (loopback) интерфейсом, то вы можете добавить статический маршрут (например в /etc/rc.local) это делаетсЯ так:


route add myhost.domain.name localhost 1

Sort-list - это список пар IP адресов и сетевых масок. Ђдреса возвращаемые процедурой gethostbyname сортируютсЯ в порЯдке определенном этим списком. ‹юбые адреса, которые не соответствуют парам адресов и сетевых масок будут возвращены после всего. ‘етеваЯ маска опциональна, и если она не определена, будет использована натуральнаЯ сетеваЯ маска.

Option-list - это список опций, каждаЯ из которых подавлЯет какую-либо из внутренних переменных разрешителЯ. ‚ настоЯщее времЯ поддерживаютсЯ следующие опции:

 
debug

выставлЯет бит RES_DEBUG в _res.options.

 
ndots:n

выставлЯет более низкий порог (измерЯемый в "количестве точек") в именах заданных res query(), так что имена с как минимум этим количеством точек будут опробованы как абсолютные имена, прежде чем будет произведена обработка local-domain или search-list. Џо умолчанию эта внутреннЯЯ переменнаЯ равна "1".

6.3. €нициализациЯ ”айла Љэша

6.3.1. root.cache

‘ервер имен должен знать сервера, которые ЯвлЯютсЯ авторитарными серверами имен длЯ корневого домена сети. —тобы это сделать, мы должны заполнить кэш сервера имен адресами этих авторитарных серверов имен. ђасположение этого файла определено в файле начальной загрузки. ќтот файл использует ‘тандартный ”ормат ‡аписи ђесурса (иначе называемого Masterfile Format) описываемого далее в этом документе.

6.4. ”айлы „анных „омена

€меетсЯ два стандартных файла длЯ описаниЯ данных длЯ домена. ќто hosts и host.rev. ќти файлы используют ‘тандартный ”ормат ‡аписи ђесурса, описываемый далее в этом документе. Ќужно отметить, что имена файлов выбраны произвольно; многие сетевые администратопы предпочитают называть свои файлы зон по именам содержащихсЯ в них доменов, особенно в усредненном случае, когда данный сервер ЯвлЯетсЯ первичным и/или вторичным длЯ множества различных зон.

6.4.1. hosts

ќтот файл содержит все данные о машинах в этой зоне. Њестонахождение этого файла определено в файле начальной загрузки.

6.4.2. hosts.rev

ќтот файл определЯет домен IN-ADDR.ARPA. ќто специальный домен длЯ того, что бы можно было преобразовывать адреса в имена. ’ак как адреса хостов в Internet не входЯт в границы домена, этот специальный домен был сформирован длЯ того, чтобы можно было производить обратное преобразование. „омен IN-ADDR.ARPA имеет четыре метки, упреждающие его. ќти метки соответствуют четырем октетам адресов Internet. ‚се четыре октета должны быть описаны, даже если октет содержит только нули. Ђдрес Internet 128.32.0.4 находитсЯ в домене 4.0.32.128.IN-ADDR.ARPA. ќта перестановка адреса очень неудобна длЯ чтениЯ, но позволЯет естественное группирование хостов в сети.

6.4.3. named.local

ќтот файл определЯет запись PTR длЯ локального петлевого интерфейса (loopback interface), более известного как local-host, чей сетевой адрес 127.0.0.1. Њестонахождение этого файла определЯетсЯ в файле начальной загрузки. „лЯ правильной работы каждого сервера имен жизненно важно, чтобы адрес 127.0.0.1 имел запись PTR указывающую обратно на имЯ "localhost.". €мЯ этой записи PTR всегда "1.0.0.127.IN-ADDR.ARPA". ќто просто необходимо, если вы хотите, чтобы пользователи могли использовать опознавание имени хоста по имени "localhost" (в hosts.equiv или ~/.rhosts). Љак свЯзаннаЯ с этой записью PTR, в каждом домене, содержащем хосты должна существовать запись "localhost.my.dom.ain" A (с адресом 127.0.0.1). "localhost." потерЯет последнюю точку, котораЯ требутсЯ длЯ 1.0.0.127.in-addr.arpa; тогда опции разрешителЯ DEFNAMES и/или DNSRCH заставЯт оценить "localhost" как имЯ хоста в локальном домене.

6.5. ‘тандартный ”ормат ‡аписи ђесурса
‡аписи в файлах данных сервера имен называютсЯ записЯми ресурсов. ‘тандартный ”ормат ‡аписи ђесурса (The Standard Resource Record Format (RR)) определен в RFC1035. ‚от общее описание этих записей:

 

{name};  {ttl}   addr-class   Record-Type   Record-Specific-data

‡аписи ресурсов имеют стандартный формат, показанный выше. Џервым полем всегда ЯвлЯетсЯ имЯ доменной записи и оно всегда должно начинатьсЯ в первой колонке. „лЯ всех RR не ЯвлЯющихсЯ от первого в файле, имЯ может быть оставлено пустым; в этом случае она возьмет имЯ предыдущей RR. ‚торое поле - это опциональное поле времени жизни (ttl). Ћно описывает сколько времени эти данные будут хранитьсЯ в базе данных. …сли это поле оставлено пустым, то времЯ жизни по умолчанию определЯетсЯ в записи ресурса Ќачала Џолномочий (Start Of Authority)(смотри ниже). ’ретье поле - это класс адреса; ‚ настоЯщее времЯ поддерживаетсЯ только один класс: IN длЯ адресов internet и и другой информации. ‚ключена дополнительнаЯ поддержка длЯ класса HS, необходимого длЯ информации MIT/Athena "Hesiod". —етвертое поле устанавливает тип записи ресурса. Џоследующие полЯ зависЯт от типа записи ресурса. ђегистр букв сохранЯетсЯ во времЯ загрузки данных в сервер имен. ‚се сравнениЯ и поиски в базе данных сервера имен не зависЯт от регистра.

‘ледующие символы имеют специальные значениЯ:

"."

Ћтдельно стоЯщаЯ точка в поле имени означает корневой домен.

"@"

Ћтдельно стоЯщее @ в поле имени обозначает текущий источник.

 
"\X"

ѓде X - любой символ кроме цифр (0-9), квотирует этот символ, та что его специальное значение не применЯетсЯ. Ќапример, "\." может быть использовано, чтобы поместить знак точки в метку.

 
"\DDD"

ѓде каждаЯ D - цифра, означает октет соответствующий десЯтичному числу, описанному DDD. Џолученный октет считаетсЯ текстом и не проверЯетсЯ на специальное значение.

 
"( )"

Љруглые скобки используютсЯ длЯ группировки данных. ‚ результате, окончаниЯ строк не опознаютсЯ внутри круглых скобок. (‚ настоЯщее времЯ, это обозначение работает только длЯ записей ресурсов SOA и не ЯвлЯетсЯ произвольным.)

";"

’очка с запЯтой начинает комментарий; оставшаЯсЯ часть строки игнорируетсЯ. ‡аметьте, что полностью пустаЯ строчка также считаетсЯ комментарием и игнорируетсЯ.

"*"

‡вездочка обозначает любой символ. ‡аметьте, что это всего лишь еще один символ данных, чье специальное значение работает только во времЯ внутренних операций сервера имен при поиске. Џодстановка любого символа имеет значение толко длЯ некоторых типов записей ресурсов (особенно длЯ MX), и только в поле имени, а не в поле данных.

‚езде где встречаетсЯ имЯ - в поле имени или в каких-либо полЯх содержащих имена - если имЯ не заканчиваетсЯ на ".", то будет добавлен текущий источник (@). ќто полезно длЯ добавлениЯ текущего имени домена к данным, таким как имена машин, но может создать проблемы, если вы не хотите, чтобы это происходило. •ороший практический метод: если имЯ не находитсЯ в домене, длЯ которого вы создаете файл данных, заканчивайте такое имЯ ".".

6.5.1. $INCLUDE

‘трочка включений начинаетсЯ с $INCLUDE, начинаЯ с первой колонки, и продолжаетсЯ именем файла, и, необЯзательно, новым временным $ORIGIN используемым пока этот файл считываетсЯ. ќта особенность, в частности, полезна длЯ разделениЯ различных типов данных на несколько файлов. Ќапример:

    
$INCLUDE /usr/local/adm/named/data/mail-exchanges

ќта строчка может быть интерпретирована как запрос на считывание файла /usr/local/adm/named/data/mail-exchanges. Љомманда $INCLUDE не заставлЯет считывать данные в различные зоны или деревьЯ. Ћна предоставлЯет простую возможность организовать данные данного первичного домена в отдельных файлах. Ћдна лишь особенность "временного $ORIGIN" описаннаЯ выше не достаточна длЯ того чтобы разделить ваши данные на некоторые другие зоны - границы зон могут быть введены только в файле начальной загрузки.

”айл $INCLUDE в своей первой записи ресурса должен иметь имЯ. ќто означает, что первый символ первой не закомментированной строки не должен быть пробелом. ’екущее имЯ по умолчанию в родительском файле не приводит к файлу $INCLUDE.

6.5.2. $ORIGIN

€сточник (origin) - способ изменениЯ источника в файле данных. ‘трока начинаетсЯ с первой колонки и продолжаетсЯ доменным источником. ЉажетсЯ, что это может быть полезно длЯ содержаниЯ более чем одной зоны в файле данных, но это работает совсем не так. ‘ервер имен по существу дела требует, чтобы даннаЯ зона полностью отображалась в некотором определенном файле. ’аким образом, вы должны быть очень осторожны и использовать $ORIGIN только один раз в начале файла или внутри файла длЯ перехода к "более низкому" домену в зоне - но никогда к совершенно иной зоне.

6.5.3. SOA - Ќачало Џолномочий


{name}  {ttl}  addr-class   SOA     Origin               Person in charge
@              IN           SOA     ucbvax.Berkeley.Edu.
kjd.ucbvax.Berkeley.Edu. (
                                    1995122103   ; Serial
                                    10800        ; Refresh
                                    1800         ; Retry
                                    3600000      ; Expire
                                    259200 )     ; Minimum

Ќачало Џолномочий. ‡апись SOA, обозначает начало зоны. €мЯ - это имЯ зоны и часто задаетсЯ как "@", так как это всегда текущий $ORIGIN и запись ресурса SOA обычно перваЯ запись в файле первичной зоны. Origin - это имЯ хоста на котором находитсЯ этот файл данных (говорЯ иначе, первичный главный (primary master)сервер длЯ этой зоны). Ћтветственное лицо (Person in charge) - это адрес электронной почты человека ответственного за сервер имен, с "@" замененной на ".". ‘ерийный номер (serial number) - это номер версии этого файла данных, который должен быть положительным целым числом. ќтот номер должен увеличиватьсЯ каждый раз, когда в данные вносЯтсЯ изменениЯ. ‘тарые сервера разрешали использовать фантомную "." в этом и других числах в файле данных; n.m считалось как "n000m", а не как более интуитивное "n*1000+m" (так что 1.234 переводилось в 1000234 а не в 1234). ќта особенность сильно осуждалась из-за ее непонЯтности, непредсказуемости, и вообще она была абсолютно ненужной. Ќужно отметить, что используЯ запись "YYYYMMDDNN" вы можете делать до 100 изменений в день вплоть до 4294 года. Ђ вообще вы можете использовать такой тип записи, который длЯ вас более удобен. …сли вы хорошо программируете на perl вы даже можете использовать номера версий RCS длЯ генерации серийного номера. Џоле Refresh показывает как часто (в секундах)вторичные сервера имен должны проверЯть первичный сервер имен, чтобы узнать, не нужно ли обновить зону? Џоле Retry показывает как долго (в секундах) вторичный сервер должен ждать перед тем как повторить проваленную передачу зоны. Џоле Expire указывает верхнее ограничение, в секундах, в течение которого вторичный сервер может использовать данные до того как они потерЯют силу из-за отсутствиЯ обновлениЯ. Џоле Minimum - это количество секунд, используемое по умолчанию длЯ времени жизни (ttl) в записЯх ресурсов. Ћно также ЯвлЯетсЯ вынужденным минимумом длЯ ‚ремени †изни, если оно определено в какой-либо записи ресурса (RR) в зоне. „лЯ каждой зоны должна быть только одна запись SOA.

6.5.4. NS -‘ервер €мен

 
{name}   {ttl}   addr-class   NS   Name-servers-name
  
                 IN           NS   ucbarpa.Berkeley.Edu.

‡апись ‘ервер €мен, NS, описывает сервер имен ответственный за данный домен, создаваЯ точку делегированиЯ и подзону. Џервое поле имени описывает зону обслуживаемую сервером имен во втором имени. „лЯ каждой зоны необходимо по крайней мере два сервера имен.

6.5.5. A - Ђдрес

 
{name}   {ttl}   addr-class   A    address
  
ucbarpa          IN           A    128.32.0.4
                 IN           A    10.0.0.78

‡апись Ђдрес, A, описывает адрес указанной машины. Џоле имени описывает имЯ машины, а поле адреса - сетевой адрес.„лЯ каждого адреса машины должна быть одна запись A.

6.5.6. HINFO - €нформациЯ о •осте

 
{name}   {ttl}    addr-class  HINFO   Hardware    OS

                  IN          HINFO   VAX-11/780  UNIX

‡апись €нформациЯ о •осте, HINFO, предназначена длЯ специфических данных о хосте. Ћна предназначена длЯ описаниЯ This lists the аппаратуры и операционной системы, работающей на описанном хосте. …сли вы хотите включить пробел в имЯ машины, то бы должны заключить имЯ в кавычки (используЯ символы ""). Ќа каждый хост может существовать одна запись HINFO, хотЯ из-за соображений безопасности большинство доменов вообще не содержат ни одной записи HINFO. Ќи одна программа от нее не зависит.

6.5.7. WKS - €звестные ‘ервисы (Well Known Services)

 
{name}   {ttl}    addr-class  WKS   address     protocol   list-of-services

                  IN          WKS   128.32.0.10 UDP        who route timed domain
                  IN          WKS  128.32.0.10 TCP       ( echo telnet discard
sunrpc sftp uucp-path systat daytime netstat qotd nntp link chargen ftp auth
time whois mtp pop rje finger smtp supdup hostnames domain nameserver )

‡апись €звестные ‘ервисы, WKS, описывает известные сервисы, поддерживаемые определенным протоколом по указанному адресу. ‘писок сервисов и номеров портов беретсЯ из списка сервисов описанных в /etc/services. Ќа каждый протокол на каждый адрес должна быть только одна запись WKS. ‚от что говорит RFC1123 о записЯх WKS:

2.2 €спользование ‘ервиса „оменных €мен

...

Џриложение Ќ… „Ћ‹†ЌЋ надеЯтьсЯ на возможность обнаружить запись WKS содержащую точное перечисление всех сервисов по конкретному адресу хоста, так как запись ресурса WKS не слишком часто используетсЯ в Internet. —тобы удостоверитьсЯ, что сервис присутствует, просто попытайтесь его использовать.

...

5.2.12 €спользование WKS при обработке MX: RFC-974, стр. 5

RFC-974 [SMTP:3] рекомендуетсЯ опрашивать доменную систему по поводу записи WKS ("€звестные ‘ервисы"), чтобы удостоверитьсЯ, что каждаЯ предполагаемаЯ почтоваЯ цель поддерживает SMTP. Ћпыт показывает, что WKS не имеет широкой поддержки, поэтому шаг поиска WKS при обработке MX Ќ… Ќ“†ЌЋ использовать.

...

6.1.3.6 Status of RR Types

...

’ипы записей ресурсов TXT и WKS не имеют широкого использованиЯ в Internet; в результате, приложениЯ не могут положитьсЯ на существование записей ресурсов типа TXT или WKS в большинстве доменов.

6.5.8. CNAME - Љаноническое имЯ

 
alias     {ttl}     addr-class   CNAME   Canonical-name
 
ucbmonet            IN           CNAME   monet

‡апись ресурса Љаноническое €мЯ (Canonical Name), CNAME, указывает псевдоимЯ или псевдоним длЯ официального, или канонического, имени хоста. ’олько одна эта запись должна ассоциироватьсЯ с псевдонимом. ‚се остальные записи должны ассоциироватьсЯ с каноническим именем, а не псевдоименем. ‹юбаЯ запись ресурса, включающаЯ доменное имЯ как свое значение (например, NS или MX) должна содержать каноническое имЯ, а не псевдоимЯ. Ђналогично, при поиске записей ресурсов типа A будут следовать CNAME, а при других записЯх, типа MX или NS и большинстве других - нет. Љанонические имена (CNAME) могут указывать на другие CNAME, но это выглЯдит очень небрежно.

Џсевдонимы полезны, когда хорошо известный хост менЯет свое имЯ. ‚ этом случае, хорошо бы иметь запись CNAME, чтобы люди, все еще использующие старое имЯ могли попасть в нужное место.

6.5.9. PTR - “казатель на „оменное €мЯ

 
name      {ttl}     addr-class   PTR     real-name

7.0                 IN           PTR     monet.Berkeley. Edu.

‡апись “казатель на „оменное €мЯ (Domain Name Pointer), PTR, позволЯет специальным именам указывать в какое-либо иное местонахождение в домене. Џредыдущий пример записи PTR используетсЯ при установке обратного указателЯ длЯ специального домена IN-ADDR.ARPA. ќта строка взЯта из примера файла hosts.rev. ‡аписи PTR необходимы длЯ функции gethostbyaddr. Ќужно отметить последнюю "." котораЯ защищает от добавлениЯ BIND текущего $ORIGIN к этому доменному имени.

6.5.10. MX - Џочтовый Љоммутатор (Mail Exchange)

 
name      {ttl}     addr-class   MX      preference value    mail exchange 

Munnari.OZ.AU.      IN           MX      0                  Seismo.CSS.GOV.
*.IL.               IN           MX      0                  RELAY.CS.NET.

‡аписи Mail eXchange, MX, используютсЯ длЯ обозначениЯ списка хостов, которые сконфигурированы длЯ приема почты посланной на это доменное имЯ. Љаждое имЯ, получающее почту должно иметь MX, потому что если кто-то не найден во времЯ доставки почты, MX будет "введен" со стоимостью 0 и сам будет ЯвлЯтьсЯ адресатом информации длЯ хоста. …сли вы хотите, чтобы хост сам получал свою почту, вы должны создать запись MX длЯ имени вашего хоста, указывающую на имЯ хоста. ‹учше, чтобы это было Явно указано, чем позволить ввести это удаленным почтовым отправителЯм. ‚ первом примере выше, Seismo.CSS.GOV. - это почтовый шлюз, знающий как доставить почту в Munnari.OZ.AU.. ќти две машины могут иметь свои собственные подключениЯ или использовать различные способы передачи данных. "preference value" - это указание отправителю повторЯть передачу, если имеетсЯ более одного пути длЯ доставки почты на определенную машину. ‡аметьте, что более низкие числа показывают более высокий приоритет, а отправители должны использовать в произвольном порЯдке хосты MX с одинаковым приоритетом длЯ равномерного распределениЯ нагрузки если стоимость одинакова. „лЯ более подробной информации смотри RFC974.

€мена заданные с использованием символа "*" (вместо любых символов) могут быть использованы длЯ почтовой маршрутизации с записЯми MX. ‚ероЯтно, в сети имеютсЯ сервера, которые просто считают, что любаЯ почта длЯ домена должна быть маршрутизирована через транслЯтор (relay). ‚торой пример выше: всЯ почта длЯ хостов в домене IL маршрутизируетсЯ через RELAY.CS.NET. ќто задано с помощью созданиЯ записи ресурса с использованием "wildcard", который указывает, что *.IL имеют MX на RELAY.CS.NET. ‡аписи MX с "wildcard" на практике не очень-то и полезны, ведь даже если почтовое сообщение поступает на шлюз длЯ заданного домена, оно все еще должно быть маршрутизировано внутри этого домена, и в настоЯщее времЯ невозможно иметь Явно разный набор записей MX внутри и снаружи домена. …сли вам не понадобЯтсЯ какие-либо Џочтовые Љоммутаторывнутри вашего домена, ну что же, тогда вперед, смело используйте "wildcard". …сли вы хотите использовать записи MX с использованием "wildcard" как длЯ записей "верхнего уровнЯ" так и длЯ специфических "внутренних" записей, то заметьте, что каждаЯ специфическаЯ запись должна будет "заканчиватьсЯ" полным перечислением данных, содержащихсЯ в записи длЯ "верхнего уровнЯ". ќто необходимо из-за того, что специфические записи MX возьмут верх над записЯми "верхнего уровнЯ" с использованием "wildcard", и будут выполнЯть функции "верхнего уровнЯ", если данный внутренний домен может принимать почту снаружи через шлюз. ‡аписи MX с "wildcard" - очень тонкое дело, поэтому вы должны быть очень осторожны с ними.

6.5.11. TXT - ’екст

 
name   {ttl}   addr-class   TXT   string
Munnari.OZ.AU. IN           TXT   "foo"

‡апись TXT содержит текстовые данные любого вида. ‘интаксис текста зависит от домена, где он был найден; многие системы используют записи TXT длЯ кодированиЯ локальных данных в стилизованном формате. MIT Hesiod - одна из таких систем.

6.5.12. RP - ЋтветственнаЯ Џерсона

 
owner   {ttl}  addr-class   RP    mbox-domain-name   TXT-domain-name

franklin       IN           RP    ben.franklin.berkeley.edu. sysadmins.berkeley.edu.

‡апись "ЋтветственнаЯ Џерсона", RP, определЯет имЯ или группу имен ответственных за хост. Ћбычно желательно, чтобы было возможно определить существо, ответственное за определенный хост. Љогда этот хост находитсЯ в выключенном состоЯнии или работает неправильно, вы можете захотеть познакомитьсЯ слюдьми, кто может быть ответственнен за восстановление хоста.

Џервое поле, mbox-domain-name - это доменное имЯ, определЯющее почтовый Ящик ответственного человека. …го формат в файле зон использует соглашение DNS по кодированию почтовых Ящиков, идентичное тому, что использовалось в записи SOA в поле почтового Ящика длЯ Ћтветственной Џерсоны (Person-in-charge). ‚ вышеприведенном примере, mbox-domain-name показывает зашифрованное "<ben@franklin.berkeley.edu>". Њожет быть определен корневой домен (просто "."), что будет указывать на то, что почтового Ящика нет.

‚торое поле, TXT-domain-name - это имЯ домена длЯ которого существует запись TXT. Њожет быть осуществлен последующий запрос длЯ получениЯ соответствующей записи ресурса TXT длЯ TXT-domain-name. ќто обеспечивает уровень косвенной адресации, так что на человека можно делать ссылки из различных мест в DNS. „лЯ TXT-domain-name может быть определен корневой домен (просто ".") что будет показывать, что не существует соответствующих ‡аписей ђесурса типа TXT. ‚ вышеприведенном примере "sysadmins.berkeley.edu." - это имЯ записи TXT, котораЯ может содержать некоторый текст с именамии телефонными номерами.

”ормат записи RP не чувствителен к классу. Ќа одно имЯ в базе данных может быть множество записей RP, но они должны имет одинаковое TTL.

‡апись RP все еще экспериментальна; не все сервера имен поддерживают или распознают ее.

6.5.13. AFSDB - ‘ервер DCE или AFS

 
name     {ttl}    addr-class  AFSDB   subtype   server-host-name
toaster.com.      IN          AFSDB   1         jack.toaster.com.
toaster.com.      IN          AFSDB   1         jill.toaster.com.
toaster.com.      IN          AFSDB   2         tracker.toaster.com.

‡апись AFSDB используетсЯ длЯ обозначениЯ хостов, обеспечивающих некоторый тип распределенного сервиса, рекламируемого в этом доменном имени. ‡начение subtype (аналогично значению "preference" в записи MX) показывает, какой тип распределенного сервиса обеспечивает данное имЯ. Subtype 1 показывает, что названный хост ЯвлЯетсЯ сервером баз данных AFS (R) длЯ элемента AFS в данном доменном имени. Subtype 2 показывает, что названный хост обеспечивает сервис имен внутри элемента длЯ элемента DCE (R) названного данным доменным именем. ‚ вышеприведенном примере, jack.toaster.com и jill.toaster.com объЯвлЯютсЯ как сервера баз данных длЯ элемента AFS toaster.com, так что клиенты AFS которым нужен сервис от toaster.com направлЯютсЯ на эти два хоста за дальнейшей информацией. ’ретьЯ запись объЯвлЯет что tracker.toaster.com содержит сервер директорий длЯ корнЯ Ячейки DCE toaster.com, так что клиенты DCE, желающие обратитьсЯ к сервису DCE должны проконсультироватьсЯ с хостом tracker.toaster.com по поводу дальнейшей информации. Џодтип записи DCE обычно сопровождаетсЯ записью TXT описывающей все остальные детали, используемые при доступе к элементу DCE. RFC1183 содержит более подробную информацию об этом типе записи.

‡апись AFSDB все еще экспериментальна; не все сервера имен поддерживают или распознают ее.

6.5.14. PX - “казатель преобразование информации X.400/RFC822

 
name    {ttl}   addr-class   PX   prefer    822-dom    X.400-dom

*.ADMD-garr.X42D.it.   IN    PX   50        it.        ADMD-garr.C-it.
*.infn.it.             IN    PX   50        infn.it.   O.PRMD-infn.ADMD-garr.C-it.
*.it.                  IN    PX   50        it.        O-gate.PRMD-garr.ADMD-garr.C-it.

‡аписи PX (“казатель на преобразование информации X.400/RFC822) используютсЯ длЯ указаниЯ правил преобразованиЯ адресов между адресами X.400 O/R и почтовыми адресами типа RFC822 (доменного типа). „лЯ более детального описаниЯ процесса преобразованиЯ смотри RFC1327.

€меетсЯ 3 различных типа правил преобразованиЯ:

1) преобразование из X.400 в RFC822 (определЯетсЯ как "table 1 rules" в RFC1327)

2) преобразование из RFC822 в X.400 (определЯетсЯ как "table 2 rules" в RFC1327)

3) кодирование RFC822 в X.400 (определЯетсЯ как "gate table" в RFC1327)

‚се три типа правил преобразованич определены использованием ‡аписи ђесурса типа PX в DNS, несмотрЯ на то, что значение name различны: длЯ случаЯ 1, значение name - это домен X.400 в синтаксисе DNS, тогда как длЯ случаев 2 и 3 значение name ЯвлЯетсЯ доменом RFC822. —тобы узнать, как описать домен X.400 в синтаксисе DNS и использовать в нем ключевое слово X42D, смотри RFC-1664. €меетсЯ определенный инструментарий длЯ преобразованиЯ таблиц из формата RFC1327 в формат файлов в синтаксисе DNS. Preference аналогично параметру Preference в ‡аписи ђесурса MX: в настоЯщее времЯ длЯ него советуетсЯ использовать фиксированное значение 50. 822-dom задает правило преобразованиЯ длЯ части RFC822, а X.400-dom задает правило преобразованиЯ длЯ части X.400 (в синтаксисе DNS). ‚ настоЯщее времЯ советуетсЯ всегда использовать значениЯ name с символом любого знака (wildcarded),так как спецификации таблиц RFC1327 позволЯют только "wildcard" спецификации. ќто нужно длЯ того, чтобы сохранить совместимость с существующими сервисами, использующими статические таблицы RFC1327 вместо информации DNS PX.

‘пецификации правил преобразованиЯ из X.400 в синтаксис RFC822 требуют созданиЯ соответствующего доменного дерева X.400 в DNS, включаЯ также специфические записи SOA и NS длЯ самого домена. ‘пецификации правил преобразованиЯ из RFC822 в X.400 могут быть встроены прЯмо в нормальное прЯмое дерево name. € опЯть скажем: длЯ более детального описаниЯ организации подобных структур смотрите RFC1664.

€нструментальные программы и библиотеки, основанные на стандартных программах и библиотеках разрешителЯ, могут получить из DNS правила преобразованиЯ в синтаксисе RFC1327 или DNS.

€ снова, смотрите RFC1664, о том как использовать ‡апись ђесурса PX, и будьте осторожны в координировании информации о преобразовании, которую вы можете определить в DNS с подпбной информацией определенной в статичных таблицах RFC1327.

‡апись PX все еще экспериментальна; не все сервера поддерживают или распознают ее.

6.6. Ћбсуждение

€спользование различных полей ‚ремени †изни (Time To Live) в RRset было осуждено и теперь устанавливаетсЯ сервером во времЯ загрузки первичной зоны. ‘мотри раздел "Ѓезопасность", где обсуждаютсЯ разные TTL.

Ќазначение ‚ремени †изни длЯ записей и длЯ зоны посредством полЯ Minimum в записи SOA очень важно. ‚ысокие значениЯ приведут к низкому сетевому траффику BIND и более быстрому времени ответа. Ѓолее низкие значениЯ приведут к генерации большого количества запросов но обеспечат быстрое распространение изменений.

TTL влиЯет только на изменениЯ и удалениЯ из зоны. „обавлениЯ распространЯютсЯ в соответствии со значение Refresh в SOA.

Ћпыт показывает, что значение TTL по умолчанию длЯ зон менЯетсЯ от 0.5 днЯ до 7 дней. ‚ы можете попробовать увеличить TTL по умолчанию, которое показываетсЯ в прошлых версиЯх этого руководства от одного днЯ (86400 секунд) до трех дней (259200 секунд).

ќто очень сильно уменьшит количество запросов к вашим серверам имен.

…сли вам нужно быстрое распространение изменений и удалений, мудрым решением может стать уменьшение значениЯ полЯ Minimum за несколько дней до изменений, затем сделать нужные изменениЯ и восстановить TTL в его прежнем значении.

…сли ваши зоны достаточно стабильны (вы в основном добавлЯете новые записи без изменений и удалений старых) то вы даже можете попробовать установить значение TTL больше чем три днЯ.

‡аметьте, что в любом случае, не имеет смысла иметь записи с TTL ниже чем значение задержки SOA Refresh, так как ‡адержка - это времЯ требуемое длЯ вторичных серверов длЯ получениЯ копии заново модифицированной зоны.

6.7. Ћ "безопасных зонах"

Ѓезопасные зоны реализуют безопасность на основе "зона за зоной". ќто разработано длЯ использованиЯ списков доступа сетей или хостов, которые могут получать определенную информацию из зоны.

„лЯ того, чтобы использовать безопасность зоны, named должен быть скомпиллирован с выставленным SECURE_ZONES и вы должны иметь по крайней мере одну ‡апись ђесурса secure_zone TXT. Џока длЯ данной зоны не существует запись secure_zone, не может быть предпринЯто никаких ограничений к данным в этой зоне. ”ормат ‡аписи ђесурса secure_zone TXT следующий:

 
secure_zone     addr-class     TXT     string

‡десь addr-class может быть или HS или IN. ‘интаксис длЯ строчки TXT или "network address:netmask" или "host IP address:H".

"network address:netmask" позволЯет делать запросы из всей сети. …сли сетеваЯ маска опущена, длЯ указанного сетевого адреса named будет использовать сетевую маску по умолчанию.

"host IP address:H" позволЯет делать запросы с хоста. "H" после ":" требуетсЯ длЯ отделениЯ адреса хоста от адреса сети. ‚ одном файле зоны может существовать множество ‡аписей ђесурсов secure_zone TXT.

Ќапример, вы можете установить так, что зона будет отвечать только на запросы Hesiod из сети класса B 130.215.0.0 и с хоста 128.23.10.56, если вы добавите следующие две записи ресурса типа TXT:


secure_zone     HS     TXT     "130.215.0.0:255.255.0.0" 
secure_zone     HS     TXT     "128.23.10.56:H"

ќта особенность может быть использована длЯ ограничениЯ доступа к карте паролей Hesiod или длЯ раздельного разрешениЯ внутренних и внешних адресов internet на фаервольной (firewall) машине без необходимости запуска отдельного named длЯ внутреннего и внешнего разрешениЯ адресов.

‡аметьте, что вам нужно будет включить ваш кольцевой (loopback) интерфейс (127.0.0.1) в вашу запись secure_zone, или ваши локальные клиенты не смогут разрешить имена.

6.8. Ћ Hesiod, и ‡аписи ђесурса HS-class

Hesiod, разработанный MIT Project Athena - это информационный сервис, построенный на BIND. …го цель аналогична Sun'овскому NIS: длЯ доставки информации о пользователЯх, группах, доступных по сети файловых системах, принтерах, и почтовых сервисах по всем инсталлЯциЯм. Љроме того, что эта штука использует BIND вместо отдельного серверного кода, еще одним важным различием между Hesiod и NIS ЯвлЯетсЯ то, что Hesiod не собираетсЯ иметь дело с паролЯми и идентификацией, а только с данными, не требующими повышенной безопасности. ‘ервера Hesiod могут быть организованы добавлением записей ресурсов в сервера BIND; или как отдельные сервера с отдельным администрированием.

—тобы побольше узнать и раздобыть Hesiod зайдите по anonymous FTP на хост ATHENA-DIST.MIT.EDU и вытащите компрессированный tar файл /pub/ATHENA/hesiod.tar.Z. ‚ам не понадобЯтсЯ новые библиотеки named и разрешителЯ так как их функциональные возможности уже были интегрированы в BIND начинаЯ с версии 4.9. —тобы узнать как Hesiod функционирует в виде части вычислительной среды Athena вытащите документ /pub/ATHENA/usenix/athena-changes.PS с того же FTP сервера. ’ам еще есть tar файл с примерами файлов ресурсов Hesiod.

в то времЯ как использование класса Hesiod все еще открытый вопрос, те же самые сервисы возможно могут быть обеспечены использованием записей класса IN, типа TXT и типа CNAME. ‚ любом случае, код и документациЯ длЯ Hesiod помогут узнать как установить и использовать этот сервис.

‡аметьте, что в то времЯ как BIND включает поддержку длЯ запросов класса HS, логика передачи зон длЯ зон, отличных от класса INвсе еще находитсЯ на стадии эксперимента.

6.9. Џримерные ”айлы

ќта секциЯ содержит примерные файлы длЯ сервера имен. ‡десь имеютсЯ примеры длЯ файлов начальной загрузки длЯ различных типов серверов и примеры длЯ доменных файлов баз данных.

6.9.1. ‡агрузочные ”айлы
6.9.1.1. Џервичный ‘ервер


; 
; Boot file for Primary Name Server
; 
            ;type         domain                  source file or host
;
             directory    /usr/local/adm/named
             primary      Berkeley.Edu            ucbhosts
             primary      32.128.in-addr.arpa     ucbhosts.rev
             primary      0.0.127.in-addr.arpa    named.local
             cache;       .                       root.cache

6.9.1.2. ‚торичный ‘ервер


;
; Boot file for Secondary Name Server
;
            ;type         domain                  source file or host
;
             directory    /usr/local/adm/named
             secondary    Berkeley.Edu            128.32.0.4 128.32.0.10 ucbhosts.bak
             secondary    32.128.in-addr.arpa     128.32.0.4 128.32.0.10 ucbhosts.rev.bak
             primary      0.0.127.in-addr.arpa    named.local
             cache        .                       root.cache

6.9.1.3.‡агрузочный файл длЯ Љэширующего ‘ервера €мен


;
; Boot file for Caching Only Name Server
;
            ;type         domain                  source file or host
;
            directory     /usr/local/adm/named
            cache         .                       root.cache
            primary       0.0.127.in-addr.arpa    named.local

6.9.2.“даленный ‘ервер / Љлиент DNS

6.9.2.1. /etc/resolv.conf


domain Berkeley.Edu
nameserver 128.32.0.4
nameserver 128.32.0.10
sortlist   130.155.160.0/255.255.240.0 130.155.0.0

6.9.3. root.cache


;
;     This file holds the information on root name servers needed to
;     initialize cache of Internet domain name servers
;     (e.g. reference this file in the "cache  .  <file>"
;     configuration file of BIND domain name servers).
;
;     This file is made available by InterNIC registration services
;     under anonymous FTP as
;            file          /domain/named.root
;            on server     FTP.RS.INTERNIC.NET
;   -OR- under Gopher at   RS.INTERNIC.NET
;        under menu        InterNIC Registration Services (NSI)
;        submenu           InterNIC Registration Archives
;            file          named.root
;
;   last update:     Oct 5, 1994
;   related version of root zone:   1994100500
;
.                 604800     IN    NS    NS.INTERNIC.NET.
NS.INTERNIC.NET.  604800     IN    A     198.41.0.4
.                 604800     IN    NS    NS1.ISI.EDU.
NS1.ISI.EDU.      604800     IN    A     128.9.0.107
.                 604800     IN    NS    C.PSI.NET.
C.PSI.NET.        604800     IN    A     192.33.4.12
.                 604800     IN    NS    TERP.UMD.EDU.
TERP.UMD.EDU.     604800     IN    A     128.8.10.90
.                 604800     IN    NS    NS.NASA.GOV.
NS.NASA.GOV.      604800     IN    A     128.102.16.10
                  604800     IN    A     192.52.195.10
.                 604800     IN    NS    NS.ISC.ORG.
NS.ISC.ORG.       604800     IN    A     192.5.5.241
.                 604800     IN    NS    NS.NIC.DDN.MIL.
NS.NIC.DDN.MIL.   604800     IN    A     192.112.36.4
.                 604800     IN    NS    AOS.ARL.ARMY.MIL.
AOS.ARL.ARMY.MIL. 604800     IN    A     128.63.4.82
                  604800     IN    A     192.5.25.82
.                 604800     IN    NS    NIC.NORDU.NET.
NIC.NORDU.NET.    604800     IN    A     192.36.148.17
; End of File

6.9.4. named.local


@   IN   SOA   ucbvax.Berkeley.Edu. kjd.ucbvax.Berkeley.Edu. (
               1994072100           ; Serial
               10800                ; Refresh
               1800                 ; Retry
               3600000              ; Expire
               259200 )             ; Minimum
    IN   NS    ucbvax.Berkeley.Edu. ; pedantic
1   IN   PTR   localhost.

6.9.5. host.rev


; 
;  @(#)ucb-hosts.rev    1.1    (Berkeley)    86/02/05
;
@      IN   SOA   ucbvax.Berkeley.Edu. kjd.monet.Berkeley.Edu. (
                  1986020501           ; Serial
                  10800                ; Refresh
                  1800                 ; Retry
                  3600000              ; Expire
                  259200 )             ; Minimum
       IN   NS    ucbarpa.Berkeley.Edu.
       IN   NS    ucbvax.Berkeley.Edu.
0.0    IN   PTR   Berkeley-net.Berkeley.EDU.
       IN   A     255.255.255.0
0.130  IN   PTR   csdiv-net.Berkeley.EDU.
4.0    IN   PTR   ucbarpa.Berkeley.Edu.
6.0    IN   PTR   ernie.Berkeley.Edu.
7.0    IN   PTR   monet.Berkeley.Edu.
10.0   IN   PTR   ucbvax.Berkeley.Edu.
6.130  IN   PTR   monet.Berkeley.Edu.

6.9.6. Hosts


;
;    @(#)ucb-hosts    1.2    (berkeley)    88/02/05
;
@            IN   SOA    ucbvax.Berkeley.Edu.   kjd.monet.Berkeley.Edu. (
                         1988020501             ; Serial
                         10800                  ; Refresh 
                         1800                   ; Retry 
                         3600000                ; Expire 
                         259200 )               ; Minimum
             IN   NS     ucbarpa.Berkeley.Edu.
             IN   NS     ucbvax.Berkeley.Edu.
localhost    IN   A      127.1
             ; note that 127.1 is the same as 127.0.0.1; see inet(3n) 
ucbarpa      IN   A      128.32.4
             IN   A      10.0.0.78
             IN   HINFO  VAX-11/780  UNIX
arpa         IN   CNAME  ucbarpa
ernie        IN   A      128.32.6
             IN   HINFO  VAX-11/780  UNIX
Ucbernie     IN   CNAME  ernie
monet        IN   A      128.32.7
             IN   A      128.32.130.6
             IN   HINFO  VAX-11/750  UNIX
Ucbmonet     IN   CNAME  monet
ucbvax       IN   A      10.2.0.78
             ; 128.32.10 means 128.32.0.10; see inet(3n) 
             IN   A      128.32.10
             ; HINFO and WKS are widely unused, 
             ; but we'll show them as examples. 
             IN   HINFO  VAX-11/750  UNIX
             IN   WKS    128.32.0.10 TCP ( echo telnet discard sunrpc sftp 
uucp-path systat daytime netstat qotd nntp link chargen ftp auth time whois 
mtp pop rje finger smtp supdup hostnames domain nameserver )
vax          IN   CNAME  ucbvax
toybox       IN   A      128.32.131.119
             IN   HINFO  Pro350      RT11
toybox       IN   MX     0  monet.Berkeley.Edu.
csrg         IN   MX     0  Ralph.CS
             IN   MX     0  Zhou.CS
             IN   MX     0  Painter.CS
             IN   MX     0  Riggle.CS
             IN   MX     0  Terry.CS
             IN   MX     0  Kevin.CS

Џеревод A.S.Plotnikov, 1998