Network Services

AERAsec
Network Services

Timings für Nameserver

Dots
 
AERAsec - Network Services - DNS Timings

Nach RfC 1537 sollten sich die Timings für die einzelnen Nameserver in gewissen Grenzen bewegen. Diese werden vom Administrator des Primary Nameservers festgelegt. In der vom Administrator angelegten und gepflegten Ressourcen-Datei für die entsprechende Zone ist in der ersten Zeile der SOA (Start Of Authority) zu finden. In ihm sind neben der Angabe der Maschine und der Mail-Adresse des Administrators die Timings anzugeben.

Die Angaben in der ersten Zeile der Ressourcen-Datei sind beispielsweise bis BIND 8.1:

leu.de. IN SOA server.leu.de. root.server.leu.de. (

1999022501
28800
7200
604800
86400
)

; serial
; refresh
; retry
; expire
; default-TTL

oder ab BIND 8.2:

$TTL 86400 ; default-TTL
leu.de. IN SOA server.leu.de. root.server.leu.de. (

1999022501
28800
7200
604800
3600
)

; serial
; refresh
; retry
; expire
; neg. cache. TTL

Die einzelnen Werte bedeuten folgendes:

  • serial (hier 1999022501):
    Seriennummer des Eintrages. Im Prinzip kann hier mit der Zahl 1 begonnen werden, aber es hat sich inzwischen durchgesetzt, hier das Datum der letzen Änderung einzutragen. Im obigen Beispiel läßt sich also ersehen, daß die letzte Änderung an diesem Resource-Records am 25. Februar 1999 vorgenommen wurde. Da dem Datum noch die Zahl 01 folgt, handelt es sich bei dieser Änderung um die erste an diesem Tag.

  • refresh (hier 28800):
    Die Angabe dieser Zeit ist in Sekunden. Sie gibt an, nach welcher Zeitdauer der Secondary Nameserver beim Primary Nameserver die Seriennummer und ggf. den neuen Datensatz für diese Zone holen soll. Im obigen Beispiel kontrolliert der Secondary Nameserer also alle 8 Stunden, ob die Seriennummer der ihm vorliegenden Zonendaten noch die gleiche ist, die auf dem Primary Nameserver eingetragen ist.

  • retry (hier 7200):
    Die Angabe dieser Zeit ist in Sekunden. Wenn der Secondary Nameserver den Primary Nameserver nicht erreichen konnte, versucht er nach der genannten Zeit erneut einen Verbindungsaufbau.

  • expire (hier 604800):
    Die Angabe dieser Zeit ist in Sekunden. Nachdem die hier genannte Zeit verstrichen ist und der Secondary Nameserver den Primary Nameserver noch immer nicht erreicht hat, gibt er für diese Zone keine authoritativen Antworten mehr.

Ab BIND 8.2 wird entsprechend RFC 2308 das letzte Timing Feld der SOA-Records nicht mehr als default-TTL sondern als "negative caching TTL" verwendet. Die default-TTL wird jetzt mit der Anweisung $TTL gesetzt. Bedeutung dieser Werte:

  • default-TTL (hier 86400):
    Die Angabe dieser Zeit ist in Sekunden. Anfragende Nameserver, die für Resolver Antworten aus dem DNS auflösen, bekommen diese Zeit mit der authoritativen Antwort geliefert. Wenn der anfragende Nameserver erneut diesen Namen auflösen soll, liefert er über die Zeitdauer, die in der TTL angegeben ist, die Antwort aus seinem Zwischenspeicher - fragt also nicht nochmals beim authoritativen Server nach. Dieses senkt einerseits den durch DNS verursachten Datenverkehr, andererseits dauert es die entsprechende Zeit, bis alle Nameserver nach Änderungen wieder richtige Antworten geben.

  • neg. cache. TTL (hier 3600):
    Die Angabe dieser Zeit ist in Sekunden. Hat ein authoritativer Nameserver keinen Datensatz für den aufzulösenden Namen einer Anfrage, so teilt er dies dem fragenden Nameserver mit. Die "negative chaching TTL" gibt an, wielange der fragende Nameserver diese "Nicht"-Antwort speichern soll.

Folgende Zeiten werden im RfC 1537 empfohlen:

 

TLD

andere

Refresh

86400

24 Stunden

28800

8 Stunden

Retry

7200

2 Stunden

7200

2 Stunden

Expire

2592000

30 Tage

604800

7 Tage

TTL

345600

4 Tage

86400

1 Tag

Für die Richtigkeit der Angaben
kann keine Gewähr übernommen werden.


Dots