Dynamic Domain Name System of DDNS

zowat iedereen een wijziging kunnen doorsturen, met alle gevolgen vandien als hackers allerlei domeinen beginnen te kapen.

Die encryptiesleutels mogen overigens verschillend zijn binnen eenzelfde DNS-configuratie, zodat je een verschillende sleutel voor iedere zone zou kunnen toepassen. Dit beperkt de potentiële schade aanzienlijk die een door een hacker gekraakte sleutel tot gevolg zou kunnen hebben.

Wel even opletten, want Unix-systemen (en Unix-achtigen zoals Linux en Solaris) slaan zowat alle configuraties op als gewone tekstbestanden. Dat is ook zo voor BIND, die dus de encryptiesleutels in gewone tekstbestanden opslaat. Iedereen die aan die tekstconfiguratiebestanden kan, kan dus ook aan de sleutels. Het spreekt dus vanzelf, dat het van cruciaal belang is ervoor te zorgen, dat alleen bevoegde systeem- en netwerkbeheerders aan die configuratiebestanden kan.

Active Directory

Een bijzondere variant van een DNS-systeem met ondersteuning voor DDNS is Active Directory van Microsoft. Nu is de oplossing van Microsoft wel verregaand compatibel met de DNS- en DDNS-standaarden zoals die neergelegd zijn in de RFC’s, maar er zijn toch een paar dingen waar je moet op letten. Een Active Directory systeem kan zelf DNS-server spelen en verwerkt dan ook DDNS, maar dat kan ook uitgebreid worden naar een externe DNS-server zoals BIND. In dat laatste geval gaat elk Windows systeem vanaf Windows 2000 er zonder