6. Zone Cuts (区域切割)

DNS树被划分为"区域"（zones），这些区域是为了某些管理目的作为一个单元处理的域的集合。区域由"区域切割"（zone cuts）划分。每个区域切割将"子"区域（切割下方）与"父"区域（切割上方）分开。出现在区域顶部（将区域与其父区域分开的切割下方）的域名称为该区域的"起源"（origin）。区域的名称与该区域起源处的域的名称相同。每个区域包括DNS树的那个子集，该子集位于或低于该区域的起源，并且高于将该区域与其子区域（如果有）分开的切割。区域切割的存在由父区域中存在的NS记录指示，这些NS记录指定子区域的起源。子区域不包含对其父区域的任何显式引用。

6.1. Zone authority (区域权威)

区域的权威服务器在区域起源的NS记录中枚举，这些记录与起始授权（SOA）记录一起是每个区域中的强制性记录。这样的服务器对区域中不在另一个区域中的所有资源记录具有权威性。指示区域切割的NS记录是所创建的子区域的属性，子区域起源的任何其他记录或其任何子域也是如此。区域的服务器不应为与另一个区域中的名称相关的查询返回权威答案，这包括区域切割处的NS以及可能的A记录，除非它碰巧也是另一个区域的服务器。

除了下面立即提到的DNSSEC情况外，服务器应忽略除NS记录之外的数据，以及定位NS记录中列出的服务器所需的必要A记录，这些数据可能碰巧在区域切割处的区域中配置。

6.2. DNSSEC issues (DNSSEC问题)

DNS安全机制[RFC2065]使这一点变得有些复杂，因为添加的一些新资源记录类型与其他DNS RR相比非常不寻常。特别是NXT（"next"）RR类型包含有关区域中存在哪些名称的信息，因此哪些名称不存在，因此必然与它所在的区域相关。同一个域名在父区域和子区域中可能有不同的NXT记录，两者都是有效的，并且不是RRSet。另请参见第5.3.2节。

由于NXT记录旨在自动生成，而不是由DNS操作员配置，因此服务器可以（但不是必须）保留它们收到的所有不同NXT记录，而不管第5.4节中的规则如何。

为了使安全的父区域安全地表明子区域是不安全的，DNSSEC要求表明子区域不安全的KEY RR以及父区域的认证SIG RR存在于父区域中，因为根据定义它们不能在子区域中。在子区域是安全的情况下，KEY和SIG记录将存在，并且在该区域中是权威的，但也应始终存在于父区域中（如果是安全的）。

请注意，在这些情况下，父区域的服务器（不同时也是子区域的服务器）不应在区域切割处的标签的任何响应中设置AA位。

---