Sekundärer Nameserver DNSSEC

Question 1

Wie bereits erwähnt handelt es sich bei der zitierten Aussage um den Hinweis eines Dienstanbieters auf eine Einschränkung seines eigenen Dienstes; es handelt sich nicht um eine allgemeingültige Wahrheit.

Damit Ihre Anfrage funktioniert, ist eigentlich nur Folgendes nötig:

Der Slave-Nameserver erhält eine exakte Kopie der vollständigen Zonendaten (einschließlich öffentlicher Schlüssel, Signaturen, allem), wie es bei einer normalen Zonenübertragung ( AXFR/ IXFR) geschieht, und verwendet die empfangenen Zonendaten einfach wortwörtlich, ohne mit den Daten herumzuspielen.
Slave-Nameserver-Softwareunterstützt DNSSEC. D. h., unterstützt EDNS0 und weiß, dass auf die DNSSEC-relevanten Flags in den Header-/EDNS0-Feldern reagiert werden muss (wie z. B. durch Zurückgeben relevanter RRSIG/ NSECin Antworten auf Abfragen, die DNSSEC anfordern).

Warum der in der Frage genannte Dienstanbieter dies nicht kann, müssen Sie ihm direkt fragen, um eine richtige Antwort zu erhalten.
Vielleicht verwendet er eine benutzerdefinierte oder veraltete Nameserver-Software, die die oben genannten Anforderungen nicht erfüllen kann? Vielleicht ist es eine Art politische Entscheidung, die nicht einmal rein technischer Natur ist?

Wenn Sie sich Dienstanbieter ansehen, die sich stärker auf DNS-Hosting konzentrieren, habe ich den Eindruck, dass Anforderungen wie die oben genannten in der Regel kein Problem darstellen (vorausgesetzt, sie verfügen überhaupt über die Option eines Slave-Nameservers).

Answer

Wie bereits erwähnt handelt es sich bei der zitierten Aussage um den Hinweis eines Dienstanbieters auf eine Einschränkung seines eigenen Dienstes; es handelt sich nicht um eine allgemeingültige Wahrheit.

Damit Ihre Anfrage funktioniert, ist eigentlich nur Folgendes nötig:

Der Slave-Nameserver erhält eine exakte Kopie der vollständigen Zonendaten (einschließlich öffentlicher Schlüssel, Signaturen, allem), wie es bei einer normalen Zonenübertragung ( AXFR/ IXFR) geschieht, und verwendet die empfangenen Zonendaten einfach wortwörtlich, ohne mit den Daten herumzuspielen.
Slave-Nameserver-Softwareunterstützt DNSSEC. D. h., unterstützt EDNS0 und weiß, dass auf die DNSSEC-relevanten Flags in den Header-/EDNS0-Feldern reagiert werden muss (wie z. B. durch Zurückgeben relevanter RRSIG/ NSECin Antworten auf Abfragen, die DNSSEC anfordern).

Warum der in der Frage genannte Dienstanbieter dies nicht kann, müssen Sie ihm direkt fragen, um eine richtige Antwort zu erhalten.
Vielleicht verwendet er eine benutzerdefinierte oder veraltete Nameserver-Software, die die oben genannten Anforderungen nicht erfüllen kann? Vielleicht ist es eine Art politische Entscheidung, die nicht einmal rein technischer Natur ist?

Wenn Sie sich Dienstanbieter ansehen, die sich stärker auf DNS-Hosting konzentrieren, habe ich den Eindruck, dass Anforderungen wie die oben genannten in der Regel kein Problem darstellen (vorausgesetzt, sie verfügen überhaupt über die Option eines Slave-Nameservers).

Question 2

Das ist keine allgemeingültige Aussage. Es ist wahrscheinlich entweder ihre eigene Einschränkung oder sie wollen damit ausdrücken, dass der sekundäre Nameserver die Datensätze nicht signieren kann. Wenn DNSSEC aktiviert ist, führt der primäre Nameserver die Signierung durch. Daher ist er auch der einzige autoritative Nameserver, der den privaten Signaturschlüssel besitzen muss. Anschließend sollten alle sekundären Nameserver in der Lage sein, die bereits signierte Zone mithilfe der AXFR-Zonenübertragung zu übertragen.

Answer

Das ist keine allgemeingültige Aussage. Es ist wahrscheinlich entweder ihre eigene Einschränkung oder sie wollen damit ausdrücken, dass der sekundäre Nameserver die Datensätze nicht signieren kann. Wenn DNSSEC aktiviert ist, führt der primäre Nameserver die Signierung durch. Daher ist er auch der einzige autoritative Nameserver, der den privaten Signaturschlüssel besitzen muss. Anschließend sollten alle sekundären Nameserver in der Lage sein, die bereits signierte Zone mithilfe der AXFR-Zonenübertragung zu übertragen.

Question 3

ich benutzeClouDNSals sekundärer DNS für DNSSEC-signierte Zonen und es funktioniert problemlos (für sekundäre DNS benötigen Sie jedoch ein kostenpflichtiges Konto).

freedns.42.plstellt kostenlose DNS-Server (sowohl primäre als auch sekundäre) bereit und soweit ich mich erinnere, unterstützen sekundäre Server DNSSEC problemlos.

Answer

ich benutzeClouDNSals sekundärer DNS für DNSSEC-signierte Zonen und es funktioniert problemlos (für sekundäre DNS benötigen Sie jedoch ein kostenpflichtiges Konto).

freedns.42.plstellt kostenlose DNS-Server (sowohl primäre als auch sekundäre) bereit und soweit ich mich erinnere, unterstützen sekundäre Server DNSSEC problemlos.

Sekundärer Nameserver DNSSEC

Antwort1

Antwort2

Antwort3

verwandte Informationen