- Dynamisches Update
-
Durch dynamische Updates können Zonendateien (siehe: Zone) per DNS-Request modifiziert werden. Das ist schneller und weniger aufwändig als ein manuelles Editieren und ermöglicht automatisierte Abläufe. Mit dynamischem Update können grundsätzlich nur Zonendateien geändert werden, die auf einem Master-Server liegen.
Ein Master, der einen Dynamic Update Request empfängt, speichert diesen zunächst ab, bevor er die Zonendatei modifiziert. Dadurch werden zum einen Inkonsistenzen beim Absturz des Servers vermieden, zum anderen können so Updates zunächst gesammelt werden, wodurch sich ein Performance-Gewinn ergibt. Beim BIND-Nameserver wird dazu pro Zonendatei ein sogenanntes Journal-File angelegt. Die Sammelphase kann mehrere Minuten dauern, so dass dynamische Updates oft nicht sofort an eventuell vorhandene Slaves (per Notify und inkrementellen Zonentransfer) weitergegeben werden.
Das dynamische Update Verfahren gilt als Sicherheitsrisiko. Werden keine entsprechenden Vorkehrungen getroffen, kann jeder DNS-Teilnehmer nach Belieben Einträge auf dem Master verändern. Ein (unzureichender) Minimalschutz besteht in der Einrichtung von Access-Listen, die genau definieren, von welcher IP-Adresse aus Änderungen vorgenommen werden dürfen. Da IP-Adressen von UDP-Messages leicht gefälscht werden können, sollte eine Authentifizierung wie z.B. TSIG verwendet werden. Ein Firewall bietet nur dann Schutz, wenn der Master vollständig von der Außenwelt abgeschirmt ist und nur mit seinen Slaves kommuniziert.
Das dynamische Update Verfahren wird durch den RFC 2136 beschrieben.
Wikimedia Foundation.