6. Zone Cuts (Zonenschnitte)

Der DNS-Baum ist in „Zonen" unterteilt, die Sammlungen von Domänen sind, die für bestimmte Verwaltungszwecke als Einheit behandelt werden. Zonen werden durch „Zonenschnitte" (zone cuts) abgegrenzt. Jeder Zonenschnitt trennt eine „Kind"-Zone (unterhalb des Schnitts) von einer „Eltern"-Zone (oberhalb des Schnitts). Der Domänenname, der an der Spitze einer Zone erscheint (direkt unterhalb des Schnitts, der die Zone von ihrem Elternteil trennt), wird als „Ursprung" (origin) der Zone bezeichnet. Der Name der Zone ist derselbe wie der Name der Domäne am Ursprung der Zone. Jede Zone umfasst die Teilmenge des DNS-Baums, die am oder unterhalb des Ursprungs der Zone liegt und oberhalb der Schnitte liegt, die die Zone von ihren Kindern (falls vorhanden) trennen. Die Existenz eines Zonenschnitts wird in der Elternzone durch die Existenz von NS-Einträgen angezeigt, die den Ursprung der Kindzone spezifizieren. Eine Kindzone enthält keinen expliziten Verweis auf ihr Elternteil.

6.1. Zone authority (Zonenautorität)

Die autoritativen Server für eine Zone sind in den NS-Einträgen für den Ursprung der Zone aufgezählt, die zusammen mit einem Start of Authority (SOA)-Eintrag die obligatorischen Einträge in jeder Zone sind. Ein solcher Server ist autoritativ für alle Ressourceneinträge in einer Zone, die sich nicht in einer anderen Zone befinden. Die NS-Einträge, die einen Zonenschnitt anzeigen, sind Eigentum der erstellten Kindzone, ebenso wie alle anderen Einträge für den Ursprung dieser Kindzone oder irgendwelche Subdomänen davon. Ein Server für eine Zone sollte keine autoritativen Antworten für Anfragen zu Namen in einer anderen Zone zurückgeben, was die NS- und möglicherweise A-Einträge an einem Zonenschnitt einschließt, es sei denn, er ist zufällig auch ein Server für die andere Zone.

Mit Ausnahme der unmittelbar unten erwähnten DNSSEC-Fälle sollten Server Daten außer NS-Einträgen und den notwendigen A-Einträgen zur Lokalisierung der in den NS-Einträgen aufgeführten Server ignorieren, die möglicherweise in einer Zone an einem Zonenschnitt konfiguriert sind.

6.2. DNSSEC issues (DNSSEC-Probleme)

Die DNS-Sicherheitsmechanismen [RFC2065] komplizieren dies etwas, da einige der hinzugefügten neuen Ressourceneintragstypen im Vergleich zu anderen DNS-RRs sehr ungewöhnlich sind. Insbesondere der NXT („next")-RR-Typ enthält Informationen darüber, welche Namen in einer Zone existieren und somit welche nicht existieren, und muss daher notwendigerweise mit der Zone zusammenhängen, in der er existiert. Derselbe Domänenname kann in der Elternzone und der Kindzone unterschiedliche NXT-Einträge haben, und beide sind gültig und bilden kein RRSet. Siehe auch Abschnitt 5.3.2.

Da NXT-Einträge automatisch generiert werden sollen, anstatt von DNS-Betreibern konfiguriert zu werden, können Server (müssen aber nicht) alle unterschiedlichen NXT-Einträge, die sie erhalten, unabhängig von den Regeln in Abschnitt 5.4 beibehalten.

Damit eine sichere Elternzone sicher anzeigen kann, dass eine Subzone unsicher ist, verlangt DNSSEC, dass ein KEY RR, der anzeigt, dass die Subzone unsicher ist, und die authentifizierenden SIG RR(s) der Elternzone in der Elternzone vorhanden sind, da sie per Definition nicht in der Subzone sein können. Wenn eine Subzone sicher ist, werden die KEY- und SIG-Einträge vorhanden und in dieser Zone autoritativ sein, sollten aber auch immer in der Elternzone vorhanden sein (falls sicher).

Beachten Sie, dass in keinem dieser Fälle ein Server für die Elternzone, der nicht auch ein Server für die Subzone ist, das AA-Bit in irgendeiner Antwort für ein Label an einem Zonenschnitt setzen sollte.

---