From 860b57233b0133c5e83359687b2fdf16be835c5d Mon Sep 17 00:00:00 2001
From: Bjoern Heidotting <bhd@FreeBSD.org>
Date: Tue, 29 May 2018 17:32:05 +0000
Subject: [PATCH] Update to r51739: handbook: remove information about BIND for
 FreeBSD 9 and older

There is no supported version of FreeBSD that still includes BIND in
case.
---
 .../handbook/network-servers/chapter.xml      | 1331 +----------------
 1 file changed, 2 insertions(+), 1329 deletions(-)

diff --git a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
index 32cafef2a9..3bb2988a24 100644
--- a/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
+++ b/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
@@ -5,7 +5,7 @@
 
      $FreeBSD$
      $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $
-     basiert auf: r51406
+     basiert auf: r51739
 -->
 <chapter xmlns="http://docbook.org/ns/docbook"
   xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
@@ -3138,23 +3138,6 @@ dhcpd_ifaces="dc0"</programlisting>
       F�r einfache <acronym>DNS</acronym>-Anfragen wird auf dem
       lokalen System kein Nameserver ben�tigt.</para>
 
-    <indexterm><primary>BIND</primary></indexterm>
-
-    <para>In &os;&nbsp;10 wurde Berkeley Internet Name Domain
-      (<acronym>BIND</acronym>) aus dem Basissystem entfernt und
-      durch Unbound ersetzt.  Unbound ist f�r die lokale
-      Namensaufl�sung zust�ndig.  In der Ports-Sammlung ist
-      <acronym>BIND</acronym> immer noch als
-      <package>dns/bind99</package> und
-      <package>dns/bind98</package> verf�gbar und in &os;&nbsp;9 und
-      �lteren Versionen ist <acronym>BIND</acronym> im Basissystem
-      enthalten.  Die Version in &os; bietet erweiterte
-      Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine
-      automatisierte &man.chroot.8; Konfiguration.
-      <acronym>BIND</acronym> wird betreut vom <link
-	xlink:href="https://www.isc.org/">Internet Systems
-	Consortium</link>.</para>
-
     <indexterm><primary>Resolver</primary></indexterm>
     <indexterm>
       <primary>Reverse-<acronym>DNS</acronym></primary>
@@ -3194,13 +3177,6 @@ dhcpd_ifaces="dc0"</programlisting>
 	      Dom�ne.</entry>
 	  </row>
 
-	  <row>
-	    <entry><application>named</application>, BIND</entry>
-
-	    <entry>Gebr�uchliche Namen f�r das unter &os; verwendete
-	      BIND-Nameserverpaket.</entry>
-	  </row>
-
 	  <row>
 	    <entry>Resolver</entry>
 
@@ -3338,15 +3314,7 @@ dhcpd_ifaces="dc0"</programlisting>
     </sect2>
 
     <sect2>
-      <title><acronym>DNS</acronym>-Server Konfiguration in &os; 10.0
-	und neueren Versionen</title>
-
-      <para>In &os; 10.0 wurde <application>BIND</application> durch
-	<application>Unbound</application> ersetzt.
-	<application>Unbound</application> ist lediglich ein
-	validierender und cachender Resolver.  Wenn ein autoritativer
-	Server ben�tigt wird, stehen einige in der Ports-Sammlung zur
-	Verf�gung.</para>
+      <title><acronym>DNS</acronym>-Server Konfiguration</title>
 
       <para><application>Unbound</application> ist im Basissystem von
 	&os; enthalten.  In der Voreinstellung bietet es nur die
@@ -3416,1301 +3384,6 @@ freebsd.org. (A)
                     |---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
 ;; Chase successful</screen>
     </sect2>
-
-    <sect2>
-      <title><acronym>DNS</acronym>-Server Konfiguration in &os;
-	9.<replaceable>X</replaceable></title>
-
-      <important>
-	<para>Dieses Kapitel gilt nur f�r &os; 9 und �ltere Versionen.
-	  <application>BIND9</application> ist seit &os; 10 nicht mehr
-	  Bestandteil des Basissystems, wo es durch
-	  <application>unbound</application> ersetzt wurde.</para>
-      </important>
-
-      <para>Unter &os; wird der BIND-Daemon als
-	<application>named</application> bezeichnet.</para>
-
-      <informaltable frame="none" pgwide="1">
-	<tgroup cols="2">
-	  <thead>
-	    <row>
-	      <entry>Datei</entry>
-
-	      <entry>Beschreibung</entry>
-	    </row>
-	  </thead>
-
-	  <tbody>
-	    <row>
-	      <entry><application>named</application></entry>
-
-	      <entry>Der BIND-Daemon.</entry>
-	    </row>
-
-	    <row>
-	      <entry>&man.rndc.8;</entry>
-
-	      <entry>Das Steuerprogramm f�r
-		<application>named</application>.</entry>
-	    </row>
-
-	    <row>
-	      <entry><filename>/etc/namedb</filename></entry>
-
-	      <entry>Das Verzeichnis, in dem sich die
-		Zoneninformationen f�r BIND befinden.</entry>
-	    </row>
-
-	    <row>
-	      <entry><filename>/etc/namedb/named.conf</filename></entry>
-
-	      <entry>Die Konfigurationsdatei f�r
-		<application>named</application>.</entry>
-	    </row>
-	  </tbody>
-	</tgroup>
-      </informaltable>
-
-      <para>Je nachdem, wie eine Zone auf dem Server konfiguriert
-	wurde, finden sich die zur Zone geh�rendenden Dateien in den
-	Unterverzeichnissen <filename>master</filename>,
-	<filename>slave</filename>, oder <filename>dynamic</filename>
-	des Verzeichnisses <filename>/etc/namedb</filename>.  Diese
-	Dateien enthalten die <acronym>DNS</acronym>-Informationen,
-	die der Nameserver f�r die Beantwortung von Anfragen
-	ben�tigt.</para>
-
-      <sect3>
-	<title>BIND starten</title>
-
-	<indexterm>
-	  <primary>BIND</primary>
-	  <secondary>Start</secondary>
-	</indexterm>
-
-	<para>Da BIND automatisch installiert wird, ist die
-	  Konfiguration relativ einfach.</para>
-
-	<para>In der Voreinstellung wird ein in einer
-	  &man.chroot.8;-Umgebung betriebener
-	  <application>named</application>-Server zur einfachen
-	  Namensaufl�sung eingerichtet, der nur im lokalen
-	  IPv4-Loopback-Adressbereich (127.0.0.1) lauscht.  Um den
-	  Server manuell zu starten, verwenden Sie den folgenden
-	  Befehl:</para>
-
-	<screen>&prompt.root; <userinput>service named onestart</userinput></screen>
-
-	<para>Um den <application>named</application>-Daemon beim
-	  Systemstart automatisch zu starten, f�gen Sie folgende
-	  Zeile in <filename>/etc/rc.conf</filename> ein:</para>
-
-	<programlisting>named_enable="YES"</programlisting>
-
-	<para><filename>/etc/namedb/named.conf</filename> bietet
-	  zahlreiche Konfigurationsoptionen, die in diesem Dokument
-	  nicht alle beschrieben werden k�nnen.  Weitere Startoptionen
-	  von <application>named</application> unter &os; finden Sie
-	  in den
-	  <literal>named_<replaceable>*</replaceable></literal>-Flags
-	  in <filename>/etc/defaults/rc.conf</filename> sowie in
-	  &man.rc.conf.5;.  Zus�tzliche Informationen finden Sie im
-	  <xref linkend="configtuning-rcd"/>.</para>
-      </sect3>
-
-      <sect3>
-	<title>Konfigurationsdateien</title>
-
-	<indexterm>
-	  <primary>BIND</primary>
-	  <secondary>Konfigurationsdateien</secondary>
-	</indexterm>
-
-	<para>Die Konfigurationsdateien von
-	  <application>named</application> finden sich unter
-	  <filename>/etc/namedb</filename> und m�ssen
-	  in der Regel an Ihre Bed�rfnisse angepasst werden.  Es sei
-	  denn, Sie ben�tigen nur einen einfachen Resolver.  Ein
-	  Gro�teil der Konfigurationsarbeiten erfolgt dabei in
-	  diesem Verzeichnis.</para>
-
-	<sect4>
-	  <title><filename>/etc/namedb/named.conf</filename></title>
-
-	  <programlisting>// <phrase its:translate="no">&dollar;FreeBSD&dollar;</phrase>
-//
-// Refer to the named.conf(5) and named(8) man pages, and the documentation
-// in /usr/share/doc/bind9 for more details.
-//
-// If you are going to set up an authoritative server, make sure you
-// understand the hairy details of how DNS works.  Even with
-// simple mistakes, you can break connectivity for affected parties,
-// or cause huge amounts of useless Internet traffic.
-
-options {
-// All file and path names are relative to the chroot directory,
-// if any, and should be fully qualified.
-    directory	"/etc/namedb/working";
-	pid-file	"/var/run/named/pid";
-	dump-file	"/var/dump/named_dump.db";
-	statistics-file	"/var/stats/named.stats";
-
-// If named is being used only as a local resolver, this is a safe default.
-// For named to be accessible to the network, comment this option, specify
-// the proper IP address, or delete this option.
-	listen-on	{ 127.0.0.1; };
-
-// If you have IPv6 enabled on this system, uncomment this option for
-// use as a local resolver.  To give access to the network, specify
-// an IPv6 address, or the keyword "any".
-//	listen-on-v6	{ ::1; };
-
-// These zones are already covered by the empty zones listed below.
-// If you remove the related empty zones below, comment these lines out.
-	disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
-	disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
-	disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
-
-// If you've got a DNS server around at your upstream provider, enter
-// its IP address here, and enable the line below.  This will make you
-// benefit from its cache, thus reduce overall DNS traffic in the Internet.
-/*
-	forwarders {
-		127.0.0.1;
-	};
-*/
-
-// If the 'forwarders' clause is not empty the default is to 'forward first'
-// which will fall back to sending a query from your local server if the name
-// servers in 'forwarders' do not have the answer.  Alternatively you can
-// force your name server to never initiate queries of its own by enabling the
-// following line:
-//	forward only;
-
-// If you wish to have forwarding configured automatically based on
-// the entries in /etc/resolv.conf, uncomment the following line and
-// set named_auto_forward=yes in /etc/rc.conf.  You can also enable
-// named_auto_forward_only (the effect of which is described above).
-//	include "/etc/namedb/auto_forward.conf";</programlisting>
-
-	  <para>Um vom Cache Ihres Internetproviders zu profitieren,
-	    k�nnen hier <literal>forwarders</literal> aktiviert
-	    werden.  Normalerweise sucht ein Nameserver das Internet
-	    rekursiv ab, bis er die gesuchte Antwort findet.  Durch
-	    diese Option wird stets der Nameserver des
-	    Internetproviders zuerst abgefragt, um von dessen
-	    Cache zu profitieren.  Wenn es sich um einen schnellen,
-	    viel benutzten Nameserver handelt, kann dies zu einer
-	    Geschwindigkeitssteigerung f�hren.</para>
-
-	  <warning>
-	    <para><systemitem class="ipaddress">127.0.0.1</systemitem>
-	      funktioniert hier <emphasis>nicht</emphasis>.  �ndern
-	      Sie diese Adresse in einen Nameserver des
-	      Einwahlproviders.</para>
-	  </warning>
-
-	  <programlisting>	/*
-	   Modern versions of BIND use a random UDP port for each outgoing
-	   query by default in order to dramatically reduce the possibility
-	   of cache poisoning.  All users are strongly encouraged to utilize
-	   this feature, and to configure their firewalls to accommodate it.
-
-	   AS A LAST RESORT in order to get around a restrictive firewall
-	   policy you can try enabling the option below.  Use of this option
-	   will significantly reduce your ability to withstand cache poisoning
-	   attacks, and should be avoided if at all possible.
-
-	   Replace NNNNN in the example with a number between 49160 and 65530.
-	*/
-	// query-source address * port NNNNN;
-};
-
-// If you enable a local name server, don't forget to enter 127.0.0.1
-// first in your /etc/resolv.conf so this server will be queried.
-// Also, make sure to enable it in /etc/rc.conf.
-
-// The traditional root hints mechanism. Use this, OR the slave zones below.
-zone "." { type hint; file "/etc/namedb/named.root"; };
-
-/*	Slaving the following zones from the root name servers has some
-	significant advantages:
-	1. Faster local resolution for your users
-	2. No spurious traffic will be sent from your network to the roots
-	3. Greater resilience to any potential root server failure/DDoS
-
-	On the other hand, this method requires more monitoring than the
-	hints file to be sure that an unexpected failure mode has not
-	incapacitated your server.  Name servers that are serving a lot
-	of clients will benefit more from this approach than individual
-	hosts.  Use with caution.
-
-	To use this mechanism, uncomment the entries below, and comment
-	the hint zone above.
-
-	As documented at http://dns.icann.org/services/axfr/ these zones:
-	"." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
-	are availble for AXFR from these servers on IPv4 and IPv6:
-	xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org
-*/
-/*
-zone "." {
-	type slave;
-	file "/etc/namedb/slave/root.slave";
-	masters {
-		192.5.5.241;	// F.ROOT-SERVERS.NET.
-	};
-	notify no;
-};
-zone "arpa" {
-	type slave;
-	file "/etc/namedb/slave/arpa.slave";
-	masters {
-		192.5.5.241;	// F.ROOT-SERVERS.NET.
-	};
-	notify no;
-};
-*/
-
-/*	Serving the following zones locally will prevent any queries
-	for these zones leaving your network and going to the root
-	name servers.  This has two significant advantages:
-	1. Faster local resolution for your users
-	2. No spurious traffic will be sent from your network to the roots
-*/
-// RFCs 1912 and 5735 (and BCP 32 for localhost)
-zone "localhost"        { type master; file "/etc/namedb/master/localhost-forward.db"; };
-zone "127.in-addr.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; };
-zone "255.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// RFC 1912-style zone for IPv6 localhost address
-zone "0.ip6.arpa"       { type master; file "/etc/namedb/master/localhost-reverse.db"; };
-
-// "This" Network (RFCs 1912 and 5735)
-zone "0.in-addr.arpa"   { type master; file "/etc/namedb/master/empty.db"; };
-
-// Private Use Networks (RFCs 1918 and 5735)
-zone "10.in-addr.arpa"     { type master; file "/etc/namedb/master/empty.db"; };
-zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "29.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "30.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "31.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "168.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// Link-local/APIPA (RFCs 3927 and 5735)
-zone "254.169.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IETF protocol assignments (RFCs 5735 and 5736)
-zone "0.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// TEST-NET-[1-3] for Documentation (RFCs 5735 and 5737)
-zone "2.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "100.51.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "113.0.203.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Range for Documentation (RFC 3849)
-zone "8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-
-// Domain Names for Documentation and Testing (BCP 32)
-zone "test" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example" { type master; file "/etc/namedb/master/empty.db"; };
-zone "invalid" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.com" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.net" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.org" { type master; file "/etc/namedb/master/empty.db"; };
-
-
-// Router Benchmark Testing (RFCs 2544 and 5735)
-zone "18.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "19.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IANA Reserved - Old Class E Space (RFC 5735)
-zone "240.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "241.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "242.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "243.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "244.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "245.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "246.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "247.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "248.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "249.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "250.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "251.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "252.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "253.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "254.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Unassigned Addresses (RFC 4291)
-zone "1.ip6.arpa"       { type master; file "/etc/namedb/master/empty.db"; };
-zone "3.ip6.arpa"       { type master; file "/etc/namedb/master/empty.db"; };
-zone "4.ip6.arpa"       { type master; file "/etc/namedb/master/empty.db"; };
-zone "5.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "6.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "7.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "8.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "9.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "a.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "b.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "c.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "d.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "e.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "0.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "1.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "2.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "3.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "4.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "5.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "6.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "7.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "8.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "9.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "a.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "b.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "0.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "1.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "2.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "3.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "4.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "5.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "6.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "7.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 ULA (RFC 4193)
-zone "c.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "d.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Link Local (RFC 4291)
-zone "8.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "9.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "a.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "b.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Deprecated Site-Local Addresses (RFC 3879)
-zone "c.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "d.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "e.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-zone "f.e.f.ip6.arpa"		{ type master; file "/etc/namedb/master/empty.db"; };
-
-// IP6.INT is Deprecated (RFC 4159)
-zone "ip6.int"			{ type master; file "/etc/namedb/master/empty.db"; };
-
-// NB: Do not use the IP addresses below, they are faked, and only
-// serve demonstration/documentation purposes!
-//
-// Example slave zone config entries.  It can be convenient to become
-// a slave at least for the zone your own domain is in.  Ask
-// your network administrator for the IP address of the responsible
-// master name server.
-//
-// Do not forget to include the reverse lookup zone!
-// This is named after the first bytes of the IP address, in reverse
-// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6.
-//
-// Before starting to set up a master zone, make sure you fully
-// understand how DNS and BIND work.  There are sometimes
-// non-obvious pitfalls.  Setting up a slave zone is usually simpler.
-//
-// NB: Don't blindly enable the examples below. :-)  Use actual names
-// and addresses instead.
-
-/* An example dynamic zone
-key "exampleorgkey" {
-	algorithm hmac-md5;
-	secret "sf87HJqjkqh8ac87a02lla==";
-};
-zone "example.org" {
-	type master;
-	allow-update {
-		key "exampleorgkey";
-	};
-	file "/etc/named/dynamic/example.org";
-};
-*/
-
-/* Example of a slave reverse zone
-zone "1.168.192.in-addr.arpa" {
-	type slave;
-	file "/etc/namedb/slave/1.168.192.in-addr.arpa";
-	masters {
-		192.168.1.1;
-	};
-};
-*/</programlisting>
-
-	  <para>Hierbei handelt es sich um Slave-Eintr�ge f�r
-	    eine Reverse- und Forward-DNS-Zone, die in der Datei
-	    <filename>named.conf</filename> definiert sind.</para>
-
-	  <para>F�r jede neue Zone muss ein zus�tzlicher Eintrag
-	    in <filename>named.conf</filename> erstellt werden.</para>
-
-	  <para>Ein einfacher Eintrag f�r eine Zone <systemitem
-	      class="fqdomainname">example.org</systemitem> k�nnte
-	    beispielsweise so aussehen:</para>
-
-	  <programlisting>zone "example.org" {
-        type master;
-        file "master/example.org";
-};</programlisting>
-
-	  <para>Die Option <option>type</option> legt fest, dass es
-	    sich um eine Master-Zone handelt, deren Zoneninformationen
-	    sich in der Datei
-	    <filename>/etc/namedb/master/example.org</filename>
-	    befinden.  Diese Datei wird durch die Option
-	    <option>file</option> festgelegt.</para>
-
-	  <programlisting>zone "example.org" {
-        type slave;
-        file "slave/example.org";
-};</programlisting>
-
-	  <para>Hier handelt es sich um einen Slaveserver, der seine
-	    Informationen vom Masterserver der betreffenden Zone
-	    bezieht und diese in der angegebenen Datei speichert.
-	    Wenn der Masterserver nicht erreichbar ist, verf�gt der
-	    Slaveserver �ber die transferierten Zoneninformationen
-	    und kann diese an andere Rechner weitergeben.</para>
-	</sect4>
-
-	<sect4>
-	  <title>Zonendateien</title>
-
-	  <indexterm>
-	    <primary>BIND</primary>
-	    <secondary>Zonendatei</secondary>
-	  </indexterm>
-
-	  <para>Die in der Datei
-	    <filename>/etc/namedb/master/example.org</filename>
-	    definierte Zonendatei f�r <systemitem
-	      class="fqdomainname">example.org</systemitem> k�nnte
-	    etwa so aussehen:</para>
-
-	  <programlisting>&dollar;TTL 3600        ; 1 hour default TTL
-example.org.    IN      SOA      ns1.example.org. admin.example.org. (
-                                2006051501      ; Serial
-                                10800           ; Refresh
-                                3600            ; Retry
-                                604800          ; Expire
-                                300             ; Negative Response TTL
-                        )
-
-; DNS Servers
-                IN      NS      ns1.example.org.
-                IN      NS      ns2.example.org.
-
-; MX Records
-                IN      MX 10   mx.example.org.
-                IN      MX 20   mail.example.org.
-
-                IN      A       192.168.1.1
-
-; Machine Names
-localhost       IN      A       127.0.0.1
-ns1             IN      A       192.168.1.2
-ns2             IN      A       192.168.1.3
-mx              IN      A       192.168.1.4
-mail            IN      A       192.168.1.5
-
-; Aliases
-www             IN      CNAME   example.org.</programlisting>
-
-	  <para>Beachten Sie, dass jeder mit einem <quote>.</quote>
-	    endende Rechnername ein exakter Rechnername ist, w�hrend
-	    sich alles ohne einen abschlie�enden <quote>.</quote>
-	    relativ auf den Ursprung bezieht.  <literal>ns1</literal>
-	    steht daher beispielsweise f�r
-	    <literal>ns1.<replaceable>example.org.</replaceable></literal>.</para>
-
-	  <para>Eine Zonendatei hat folgenden Aufbau:</para>
-
-	  <programlisting>recordname      IN recordtype   value</programlisting>
-
-	  <indexterm>
-	    <primary><acronym>DNS</acronym></primary>
-	    <secondary>Eintr�ge</secondary>
-	  </indexterm>
-
-	  <para>Die am h�ufigsten verwendeten
-	    <acronym>DNS</acronym>-Eintr�ge sind:</para>
-
-	  <variablelist>
-	    <varlistentry>
-	      <term>SOA</term>
-
-	      <listitem>
-		<para>Start der Zonenautorit�t</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term>NS</term>
-
-	      <listitem>
-		<para>Ein autoritativer Nameserver</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term>A</term>
-
-	      <listitem><para>Eine Rechneradresse</para></listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term>CNAME</term>
-
-	      <listitem>
-		<para>Der kanonische Name eines Alias</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term>MX</term>
-
-	      <listitem><para>Mail Exchanger</para></listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term>PTR</term>
-
-	      <listitem>
-		<para>Ein (bei Reverse-DNS verwendeter) Domain Name
-		  Pointer</para>
-	      </listitem>
-	    </varlistentry>
-	  </variablelist>
-
-	  <programlisting>example.org. IN SOA ns1.example.org. admin.example.org. (
-                        2006051501      ; Serial
-                        10800           ; Refresh after 3 hours
-                        3600            ; Retry after 1 hour
-                        604800          ; Expire after 1 week
-                        300 )           ; Negative Response TTL</programlisting>
-
-	  <variablelist>
-	    <varlistentry>
-	      <term><systemitem
-		  class="fqdomainname">example.org.</systemitem></term>
-
-	      <listitem>
-		<para>Der Name der Dom�ne und damit der Ursprung
-		  dieser Zonendatei.</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term><systemitem
-		  class="fqdomainname">ns1.example.org.</systemitem></term>
-
-	      <listitem>
-		<para>Der prim�re/autoritative Nameserver
-		  dieser Zone.</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term><literal>admin.example.org.</literal></term>
-
-	      <listitem>
-		<para>Die f�r diese Zone verantwortliche
-		  Person.  Das Zeichen <quote>@</quote> wird dabei
-		  ersetzt (<email>admin@example.org</email> wird also
-		  zu <literal>admin.example.org</literal>).</para>
-	      </listitem>
-	    </varlistentry>
-
-	    <varlistentry>
-	      <term><literal>2006051501</literal></term>
-
-	      <listitem>
-		<para>Die Seriennummer der Datei.  Sie muss
-		  stets inkrementiert werden, wenn die Zonendatei
-		  ge�ndert wird.  Viele Administratoren bevorzugen
-		  ein <literal>JJJJMMTTRR</literal>-Format, um die
-		  Seriennummer festzulegen.
-		  <literal>2006051501</literal> steht also f�r
-		  den 15.05.2006, die beiden letzten Stellen f�r die
-		  erste Modifikation der Zonendatei an diesem Tag.
-		  Die Seriennummer ist von gro�er Bedeutung, da
-		  Slaveserver daran eine aktualisierte Zonendatei
-		  erkennen k�nnen.</para>
-	      </listitem>
-	    </varlistentry>
-	  </variablelist>
-
-	  <programlisting>       IN NS           ns1.example.org.</programlisting>
-
-	  <para>Ein NS-Eintrag.  Jeder Nameserver, der f�r eine Zone
-	    verantwortlich ist, muss �ber einen solchen Eintrag
-	    verf�gen.</para>
-
-	  <programlisting>localhost       IN      A       127.0.0.1
-ns1             IN      A       192.168.1.2
-ns2             IN      A       192.168.1.3
-mx              IN      A       192.168.1.4
-mail            IN      A       192.168.1.5</programlisting>
-
-	  <para>Der Eintrag <literal>A</literal> bezieht sich auf
-	    Rechnernamen.  <systemitem
-	      class="fqdomainname">ns1.example.org</systemitem> w�rde
-	    also zu <systemitem
-	      class="ipaddress">192.168.1.2</systemitem> aufgel�st
-	    werden.</para>
-
-	  <programlisting>                IN      A       192.168.1.1</programlisting>
-
-	  <para>Diese Zeile weist die <acronym>IP</acronym>-Adresse
-	    <systemitem class="ipaddress">192.168.1.1</systemitem> dem
-	    aktuellen Ursprung, in diesem Fall also <systemitem
-	      class="fqdomainname">example.org</systemitem>,
-	    zu.</para>
-
-	  <programlisting>www             IN CNAME        @</programlisting>
-
-	  <para>Der Eintrag f�r den kanonischen Namen wird dazu
-	    verwendet, Aliase f�r einen Rechner zu vergeben.  Im
-	    Beispiel ist <systemitem>www</systemitem> ein Alias f�r
-	    den <quote>Master</quote>-Rechner, dessen Name dem
-	    Domainnamen <systemitem
-	      class="fqdomainname">example.org</systemitem> (oder
-	    <systemitem class="ipaddress">192.168.1.1</systemitem>)
-	    entspricht.  CNAMEs k�nnen daher niemals gleichzeitig mit
-	    einem anderen Eintrag f�r denselben Hostname eingerichtet
-	    werden.</para>
-
-	  <indexterm>
-	    <primary>MX-Eintrag</primary>
-	  </indexterm>
-
-	  <programlisting>                IN MX   10      mail.example.org.</programlisting>
-
-	  <para>Der MX-Eintrag legt fest, welcher Mailserver f�r
-	    eintreffende Mails der Zone verantwortlich ist.
-	    <systemitem
-	      class="fqdomainname">mail.example.org</systemitem> ist
-	    der Rechnername des Mailservers, der eine Priorit�t von 10
-	    hat.</para>
-
-	  <para>Es k�nnen auch mehrere Mailserver mit verschiedener
-	    Priorit�t (10, 20, ...) vorhanden sein.  Ein Mailserver,
-	    der eine Mail an <systemitem
-	      class="fqdomainname">example.org</systemitem>
-	    verschicken will, verwendet zuerst den MX mit der h�chsten
-	    Priorit�t (das hei�t den mit der niedrigsten
-	    Priorit�tsnummer), danach den mit der n�chsth�heren
-	    Priorit�t.  Und dies solange, bis die E-Mail zugestellt
-	    werden kann.</para>
-
-	  <para>F�r (bei Reverse-DNS verwendete)
-	    <literal>in-addr.arpa</literal>-Zonendateien wird das
-	    gleiche Format verwendet.  Der einzige Unterschied besteht
-	    in der Verwendung der Option PTR an Stelle der Optionen A
-	    und CNAME.</para>
-
-	  <programlisting>$TTL 3600
-
-1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
-                        2006051501      ; Serial
-                        10800           ; Refresh
-                        3600            ; Retry
-                        604800          ; Expire
-                        300 )           ; Negative Response TTL
-
-        IN      NS      ns1.example.org.
-        IN      NS      ns2.example.org.
-
-1       IN      PTR     example.org.
-2       IN      PTR     ns1.example.org.
-3       IN      PTR     ns2.example.org.
-4       IN      PTR     mx.example.org.
-5       IN      PTR     mail.example.org.</programlisting>
-
-	  <para>Durch diese Datei werden den Rechnernamen der fiktiven
-	    Dom�ne <acronym>IP</acronym>-Adressen zugewiesen.</para>
-
-	  <para>Beachten Sie bitte, dass es sich bei allen Namen auf
-	    der rechten Seite eines PTR-Eintrags um absolute
-	    (<emphasis>fully qualified</emphasis>) Domainnamen handeln
-	    muss, die mit <quote>.</quote> enden.</para>
-	</sect4>
-      </sect3>
-
-      <sect3>
-	<title>Zwischenspeichernde (cachende) Nameserver</title>
-
-	<indexterm>
-	  <primary>BIND</primary>
-	  <secondary>Zwischenspeichernde Nameserver</secondary>
-	</indexterm>
-
-	<para>Ein cachender Nameserver hat prim�r die Aufgabe,
-	  rekursive Abfragen aufzul�sen.  Er stellt lediglich
-	  eigene Anfragen und speichert deren Ergebnisse ab.</para>
-      </sect3>
-
-      <sect3>
-	<title><acronym role="Doman Name Security Extensions">
-	    DNSSEC</acronym></title>
-
-	<indexterm>
-	  <primary>BIND</primary>
-	  <secondary><acronym>DNS</acronym> security
-	    extensions</secondary>
-	</indexterm>
-
-	<para>Domain Name System Security Extensions, oder kurz
-	  <acronym
-	    role="Domain Name Security Extensions">DNSSEC</acronym>,
-	  ist eine Sammlung von Spezifikationen, um aufl�sende
-	  Nameserver von gef�lschten <acronym>DNS</acronym>-Daten, wie
-	  beispielsweise vorget�uschte
-	  <acronym>DNS</acronym>-Eintr�ge, zu sch�tzen.  Durch die
-	  Verwendung von digitalen Signaturen kann ein Resolver die
-	  Integrit�t des Eintrages �berpr�fen.  Wichtig dabei ist,
-	  dass <acronym
-	    role="Domain Name Security Extensions">DNSSEC</acronym>
-	  nur die Integrit�t �ber digital signierte Resource Records
-	  (<acronym role="Resource Record">RR</acronym>)
-	  bereitstellt.  Weder wird die Vertraulichkeit noch der
-	  Schutz vor falschen Annahmen des Endbenutzers
-	  sichergestellt.  Dies bedeutet, dass es Benutzer nicht davor
-	  sch�tzen kann, zu <systemitem
-	    class="fqdomainname">example.net</systemitem> anstatt zu
-	  <systemitem class="fqdomainname">example.com</systemitem> zu
-	  gelangen.  Das einzige, was <acronym>DNSSEC</acronym> tut,
-	  ist die Authentifizierung, dass die Daten w�hrend der
-	  �bertragung nicht ver�ndert wurden.  Die Sicherheit von
-	  <acronym>DNS</acronym> ist ein wichtiger Schritt in der
-	  generellen Absicherung des Internets.  F�r weitere,
-	  tiefergehende Details �ber die Funktionsweise von
-	  <acronym>DNSSEC</acronym> sind die dazugeh�rigen
-	  <acronym>RFC</acronym>s ein guter Einstieg in die Thematik.
-	  Sehen Sie sich dazu die Liste in <xref linkend="dns-read"/>
-	  an.</para>
-
-	<para>Der folgende Abschnitt wird zeigen, wie man
-	  <acronym>DNSSEC</acronym> f�r einen autoritativen
-	  <acronym>DNS</acronym>-Server und einen rekursiven (oder
-	  cachenden) <acronym>DNS</acronym>-Server, der jeweils
-	  <acronym>BIND</acronym> 9 verwenden, einrichten kann.
-	  Obwohl alle Versionen von <acronym>BIND</acronym>&nbsp;9
-	  <acronym>DNSSEC</acronym> unterst�tzen, ist es notwendig,
-	  mindestens die Version 9.6.2 zu verwenden, um in der Lage zu
-	  sein, die signierten Root-Zonen zu benutzen, wenn
-	  <acronym>DNS</acronym>-Abfragen gepr�ft werden.  Der Grund
-	  daf�r ist, dass fr�heren Versionen die Algorithmen fehlen,
-	  um die �berpr�fung des Root-Zonenschl�ssels zu aktivieren.
-	  Es wird dringend empfohlen, die letzte Version von
-	  <acronym>BIND</acronym> 9.7 oder h�her einzusetzen, um von
-	  den Vorteilen der automatischen Schl�sselaktualisierung des
-	  Root-Zonenschl�ssels Gebrauch zu machen, genauso wie andere
-	  Eigenschaften, um automatisch Zonen signieren zu lassen und
-	  Signaturen aktuell zu halten.  Unterschiede zwischen den
-	  Versionen 9.6.2 und 9.7 und h�her werden an den betreffenden
-	  Stellen angesprochen.</para>
-
-	<sect4>
-	  <title>Rekursive <acronym>DNS</acronym>-Server
-	    Konfiguration</title>
-
-	  <para>Die Aktivierung der
-	    <acronym>DNSSEC</acronym>-�berpr�fung von Anfragen, die
-	    von einem rekursiven <acronym>DNS</acronym>-Server
-	    stammen, ben�tigt ein paar �nderungen in der
-	    <filename>named.conf</filename>.  Bevor man jedoch diese
-	    �nderungen durchf�hrt, muss der Root-Zonenschl�ssel oder
-	    Vertrauensanker erworben werden.  Momentan ist der
-	    Root-Zonenschl�ssel nicht in einem Dateiformat verf�gbar,
-	    dass von <acronym>BIND</acronym> benutzt werden kann, so
-	    dass dieser manuell in das richtige Format konvertiert
-	    werden muss.  Der Schl�ssel selbst kann durch Abfrage an
-	    die Root-Zone erhalten werden, indem man dazu
-	    <application>dig</application> verwendet.  Durch Aufruf
-	    von:</para>
-
-	  <screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . &gt; root.dnskey</userinput></screen>
-
-	  <para>wird der Schl�ssel in <filename>root.dnskey</filename>
-	    abgelegt.  Der Inhalt sollte so �hnlich wie folgt
-	    aussehen:</para>
-
-	  <programlisting>. 93910 IN DNSKEY 257 3 8 (
-	AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
-	bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
-	/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
-	JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
-	oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
-	LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
-	Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
-	LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
-  	) ; key id = 19036
-. 93910 IN DNSKEY 256 3 8 (
-	AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf
-	UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE
-	g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V
-	EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt
-) ; key id = 34525</programlisting>
-
-	  <para>Seien Sie nicht alarmiert, wenn der von Ihnen bezogene
-	    Schl�ssel anders als in diesem Beispiel aussieht.  Diese
-	    k�nnten sich in der Zwischenzeit ge�ndert haben.  In
-	    dieser Ausgabe sind eigentlich zwei Schl�ssel enthalten.
-	    Der erste Sch�ssel mit dem Wert 257 nach dem
-	    DNSKEY-Eintrag ist derjenige, der ben�tigt wird.  Der Wert
-	    zeigt an, dass es sich um einen sicheren Einstiegspunkt
-	    (<acronym role="Secure Entry Point">SEP</acronym>), gemein
-	    auch als Schl�sselsignierungsschl�ssel (<acronym
-	      role="Key Signing Key">KSK</acronym>) bekannt, handelt.
-	    Der zweite Sch�ssel mit dem Wert 256 ist der
-	    untergeordnete Schl�ssel, im allgemeinen auch als
-	    Zonen-Signaturschl�ssel (<acronym
-	      role="Zone Signing Key">ZSK</acronym>) bezeichnet.
-	    Weitere Schl�sselarten werden sp�ter in <xref
-	      linkend="dns-dnssec-auth"/> erl�utert.</para>
-
-	  <para>Nun muss der Schl�ssel verifiziert und so formatiert
-	    werden, dass <acronym>BIND</acronym> diesen verwenden
-	    kann.  Um den Schl�ssel zu verifizieren, erzeugen Sie
-	    einen <acronym role="Delegation Signer">DS</acronym>
-	    <acronym role="Resource Record">RR</acronym>-Satz.
-	    Erstellen Sie eine Datei, welche die <acronym
-	      role="Resource Record">RR</acronym>s enth�lt,
-	    mittels:</para>
-
-	  <screen>&prompt.user; <userinput>dnssec-dsfromkey -f root.dnskey . &gt; root.ds</userinput></screen>
-
-	  <para>Diese Eintr�ge verwenden SHA-1 sowie SHA-256 und
-	    sollten �hnlich zu folgendem Beispiel aussehen, in dem
-	    der l�ngere, SHA-256, benutzt wird.</para>
-
-	  <programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
-. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting>
-
-	  <para>Der SHA-256 <acronym>RR</acronym> kann nun mit dem
-	    Abriss in <link
-	      xlink:href="https://data.iana.org/root-anchors/root-anchors.xml">
-	      https://data.iana.org/root-anchors/root-anchors.xml</link>
-	    verglichen werden.  Um absolut sicher zu sein, dass der
-	    Schl�ssel nicht zusammen mit den
-	    <acronym>XML</acronym>-Daten ver�ndert wurde, sollte die
-	    Datei mit einer passenden <acronym>PGP</acronym>-Signatur
-	    �berpr�ft werden.</para>
-
-	  <para>Als n�chstes muss der Schl�ssel in das passende Format
-	    gebracht werden.  Dies unterscheidet sich ein bisschen von
-	    den <acronym>BIND</acronym> Versionen 9.6.2 und 9.7 und
-	    h�here.  In Version 9.7 wurde die �nterst�tzung zur
-	    automatischen Verfolgung und notwendigen Aktualisierung
-	    von �nderungen am Schl�ssel eingebaut.  Dies wird durch
-	    den Einsatz von <literal>managed-keys</literal> erreicht,
-	    wie in dem Beispiel unten gezeigt ist.  Wenn die �ltere
-	    Version eingesetzt wird, kann der Schl�ssel durch eine
-	    <literal>trusted-keys</literal>-Anweisung eingebaut werden
-	    und die Aktualisierung muss h�ndisch erfolgen.  In
-	    <acronym>BIND</acronym> 9.6.2 sollte das Format
-	    folgenderma�en aussehen:</para>
-
-	  <programlisting>trusted-keys {
-	"." 257 3 8
-	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
-	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
-	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
-	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
-	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
-	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
-	QxA+Uk1ihz0=";
-};</programlisting>
-
-	  <para>In 9.7 wird das Format stattdessen wie folgt
-	    aussehen:</para>
-
-	  <programlisting>managed-keys {
-	"." initial-key 257 3 8
-	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
-  	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
-  	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
-  	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
-  	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
-  	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
-  	QxA+Uk1ihz0=";
-};</programlisting>
-
-	  <para>Der Root-Schl�ssel kann nun zu
-	    <filename>named.conf</filename> hinzugef�gt werden,
-	    entweder direkt oder durch Inkludierung der Datei, die den
-	    Schl�ssel enth�lt.  Nachdem diese Schritte absolviert
-	    sind, muss <acronym>BIND</acronym> konfiguriert werden, um
-	    <acronym>DNSSEC</acronym>-Validierung f�r Anfragen
-	    durchzuf�hren, indem <filename>named.conf</filename>
-	    bearbeitet und die folgende
-	    <literal>options</literal>-Direktive hinzugef�gt
-	    wird:</para>
-
-	  <programlisting>dnssec-enable yes;
-dnssec-validation yes;</programlisting>
-
-	  <para>Um zu pr�fen, dass es tats�chlich funktioniert,
-	    benutzen Sie <application>dig</application>, um eine
-	    Anfrage zu einer signierten Zone durch den Resolver, der
-	    gerade konfiguriert wurde, zu stellen.  Eine erfolgreiche
-	    Antwort wird den <literal>AD</literal>-Eintrag aufweisen,
-	    um anzudeuten, dass die Daten authentisiert sind.  Eine
-	    Anfrage wie:</para>
-
-	  <screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen>
-
-	  <para>sollte den <acronym>DS</acronym> <acronym>RR</acronym>
-	    f�r die <literal>.se</literal>-Zone zur�ckgeben.  In dem
-	    Abschnitt <literal>flags:</literal> sollte der
-	    <literal>AD</literal>-Eintrag gesetzt sein, wie im
-	    folgenden zu sehen ist:</para>
-
-	  <programlisting>...
-;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
-...</programlisting>
-
-	  <para>Der Resolver ist nun in der Lage, Anfragen ans
-	    <acronym>DNS</acronym> zu authentisieren.</para>
-	</sect4>
-
-	<sect4 xml:id="dns-dnssec-auth">
-	  <title>Autoritative <acronym>DNS</acronym>-Server
-	    Konfiguration</title>
-
-	  <para>Um einen autoritativen Nameserver dazu zu bringen, als
-	    eine <acronym>DNSSEC</acronym>-signierte Zone zu
-	    fungieren, ist ein wenig mehr Aufwand n�tig.  Eine Zone
-	    ist durch kryptographische Schl�ssel signiert, die erzeugt
-	    werden m�ssen.  Es ist m�glich, nur einen Schl�ssel dazu
-	    zu verwenden.  Die vorgeschlagene Methode ist jedoch,
-	    einen starken, gut gesch�tzten
-	    Schl�sselsignierungsschl�ssel (<acronym
-	      role="Key Signing Key">KSK</acronym>) einzusetzen, der
-	    nicht oft gewechselt wird und einen
-	    Zonensignierungsschl�ssel (<acronym
-	      role="Zone Signing Key">ZSK</acronym>), der �fter
-	    ausgewechselt wird.  Informationen zu vorgeschlagenen
-	    Einsatzszenarien k�nnen in <link
-	      xlink:href="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>
-	      4641: <acronym>DNSSEC</acronym> Operational Practices</link>
-	    nachgelesen werden.  Einsatzszenarien, welche die
-	    Root-Zone betreffen, finden Sie in <link
-	      xlink:href="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt"><acronym>DNSSEC</acronym> Practice
-	      Statement for the Root Zone <acronym>KSK</acronym>
-	      operator</link> sowie <link
-	      xlink:href="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt"><acronym>DNSSEC</acronym> Practice
-	      Statement for the Root Zone <acronym>ZSK</acronym>
-	      operator</link>.  Der <acronym
-	      role="Key Signing Key">KSK</acronym> wird dazu
-	    verwendet, um eine Kette von Autorit�t f�r die Daten, die
-	    diese Validierung ben�tigen, zu erschaffen und wird als
-	    solche auch als sicherer Einstiegspunkt (<acronym
-	      role="Secure Entry Point">SEP</acronym>)-Schl�ssel
-	    bezeichnet.  Ein Nachrichtenabriss dieses Schl�ssels, der
-	    auch Delegation Signer (<acronym
-	      role="Delegation Signer">DS</acronym>)-Eintrag genannt
-	    wird, muss in der Elternzone ver�ffentlicht werden, um die
-	    Vertrauenskette herzustellen.  Wie dies erreicht wird,
-	    h�ngt von dem Besitzer der Elternzone ab.  Der <acronym
-	      role="Zone Signing Key">ZSK</acronym> wird verwendet, um
-	    die Zone zu signieren und muss nur dort �ffentlich
-	    zug�nglich gemacht werden.</para>
-
-	  <para>Um <acronym>DNSSEC</acronym> f�r die <systemitem
-	      class="fqdomainname">example.com</systemitem>-Zone,
-	    welche in den vorherigen Beispielen verwendet wird, zu
-	    aktivieren, muss als erster Schritt
-	    <application>dnssec-keygen</application> benutzt werden,
-	    um das <acronym>KSK</acronym>- und
-	    <acronym>ZSK</acronym>-Schl�sselpaar zu generieren.
-	    Dieses Schl�sselpaar kann unterschiedliche
-	    kryptographische Algorithmen nutzen.  Es wird empfohlen,
-	    RSA/SHA256 f�r die Schl�ssel zu nutzen.  Eine
-	    Schl�ssell�nge von 2048 Bits sollte gen�gen.  Um den
-	    <acronym>KSK</acronym> f�r <systemitem
-	      class="fqdomainname">example.com</systemitem> zu
-	    generieren, geben Sie:</para>
-
-	  <screen>&prompt.user; <userinput>dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen>
-
-	  <para>ein und um den <acronym>ZSK</acronym> zu erzeugen,
-	    setzen Sie folgenden Befehl ab:</para>
-
-	  <screen>&prompt.user; <userinput>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen>
-
-	  <para><application>dnssec-keygen</application> gibt zwei
-	    Dateien aus, den �ffentlichen und den privaten Schl�ssel
-	    und zwar in Dateinamen, die �hnlich lauten wie
-	    <filename>Kexample.com.+005+nnnnn.key</filename>
-	    (�ffentlich) und
-	    <filename>Kexample.com.+005+nnnnn.private</filename>
-	    (privat).  Der <literal>nnnnn</literal>-Teil des
-	    Dateinamens ist eine f�nfstellige Schl�sselkennung.
-	    Passen Sie genau auf, welche Kennung zu welchem
-	    Schl�ssel geh�rt.  Das ist besonders wichtig, wenn mehrere
-	    Schl�ssel in einer Zone vorliegen.  Es ist auch m�glich,
-	    die Schl�ssel umzubenennen.  F�r jede
-	    <acronym>KSK</acronym>-Datei tun Sie folgendes:</para>
-
-	  <screen>&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.key Kexample.com.+005+nnnnn.KSK.key</userinput>
-&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.private Kexample.com.+005+nnnnn.KSK.private</userinput></screen>
-
-	  <para>F�r die <acronym>ZSK</acronym>-Dateien ersetzen Sie
-	    <literal>KSK</literal> f�r <literal>ZSK</literal> wenn
-	    n�tig.  Die Dateien k�nnen nun in der Zonendatei
-	    inkludiert werden, indem die <literal>$include</literal>
-	    Anweisung verwendet wird.  Es sollte folgenderma�en
-	    aussehen:</para>
-
-	  <programlisting>$include Kexample.com.+005+nnnnn.KSK.key    ; KSK
-$include Kexample.com.+005+nnnnn.ZSK.key    ; ZSK</programlisting>
-
-	  <para>Schliesslich signieren Sie die Zone und weisen
-	    <acronym>BIND</acronym> an, die signierte Zonendatei zu
-	    benutzen.  Um eine Zone zu signieren, wird
-	    <application>dnssec-signzone</application> eingesetzt.
-	    Der Befehl, um eine Zone <systemitem
-	      class="fqdomainname">example.com</systemitem> zu
-	    signieren, die in <filename>example.com.db</filename>
-	    liegt, sollte wie folgt aussehen:</para>
-
-	  <screen>&prompt.user; <userinput>dnssec-signzone -o example.com -k Kexample.com.+005+nnnnn.KSK example.com.db Kexample.com.+005+nnnnn.ZSK.key</userinput></screen>
-
-	  <para>Der Schl�ssel, welcher mit dem Argument
-	    <option>-k</option> �bergeben wird, ist der
-	    <acronym>KSK</acronym> und die andere Schl�sseldatei ist
-	    der <acronym>ZSK</acronym>, welcher f�r die Signatur
-	    benutzt werden soll.  Es ist m�glich, mehr als einen
-	    <acronym>KSK</acronym> und <acronym>ZSK</acronym>
-	    anzugeben, was das Ergebnis zur Folge hat, dass die Zone
-	    mit allen �bergebenen Schl�sseln signiert wird.  Dies kann
-	    dann ben�tigt werden, um Zonendaten mit mehr als einem
-	    Algorithmus zur Signierung zu verwenden.  Die Ausgabe von
-	    <application>dnssec-signzone</application> ist eine
-	    Zonendatei mit allen signierten <acronym>RR</acronym>s.
-	    Diese Ausgabe wird in einer Datei mit der Endung
-	    <literal>.signed</literal> abgelegt, wie beispielsweise
-	    <filename>example.com.db.signed</filename>.  Die <acronym
-	      role="Delegation Signer">DS</acronym>-Eintr�ge werden
-	    ebenfalls in eine separate Datei
-	    <filename>dsset-example.com</filename> geschrieben.  Um
-	    diese signierte Zone zu verwenden, �ndern Sie die
-	    Zonendirektive in <filename>named.conf</filename>, so dass
-	    <filename>example.com.db.signed</filename> benutzt wird.
-	    Standardm�ssig sind die Signaturen nur 30 Tage g�ltig, was
-	    bedeutet, dass die Zone in etwa 15 Tagen erneut signiert
-	    werden muss, um sicher zu stellen, dass Resolver keine
-	    Eintr�ge mit veralteten Signaturen zwischenspeichern.  Es
-	    ist m�glich, ein Skript und einen cron-Job zu schreiben,
-	    um dies zu erledigen.  Lesen Sie dazu die relevanten
-	    Anleitungen, um Details zu erfahren.</para>
-
-	  <para>Stellen Sie sicher, dass die privaten Schl�ssel
-	    vertraulich bleiben, genau wie mit allen anderen
-	    kryptographischen Schl�sseln auch.  Wenn ein Schl�ssel
-	    ge�ndert wird, ist es gute Praxis den neuen Schl�ssel in
-	    die Zone zu inkludieren, noch w�hrend der alte Schl�ssel
-	    noch zum signieren eingesetzt wird, um dann auf den neuen
-	    Schl�ssel zum signieren zu wechseln.  Nachdem diese
-	    Schritte erfolgt sind, kann der alte Schl�ssel aus der
-	    Zone entfernt werden.  Wenn das nicht geschieht, k�nnen
-	    <acronym>DNS</acronym>-Daten f�r einige Zeit nicht
-	    verf�gbar sein, bis der neue Schl�ssel durch die
-	    <acronym>DNS</acronym>-Hierarchie propagiert wurde.  F�r
-	    weitere Informationen bez�glich Schl�ssel�bergabe und
-	    andere <acronym>DNSSEC</acronym>-Einsatzszenarien lesen
-	    Sie <link
-	      xlink:href="http://www.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>
-	      4641: <acronym>DNSSEC</acronym> Operational
-	      practices</link>.</para>
-	</sect4>
-
-	<sect4>
-	  <title>Automatisierung mittels <acronym>BIND</acronym> 9.7
-	    oder h�her</title>
-
-	  <para>Beginnend mit der Version 9.7 von
-	    <acronym>BIND</acronym> wurde eine neue Eigenschaft
-	    vorgestellt, die <emphasis>Smart Signing</emphasis>
-	    genannt wird.  Diese zielt darauf ab, das
-	    Schl�sselmanagement und den Signierungsprozess einfacher
-	    zu gestalten und zu automatisieren.  Durch ablegen der
-	    Schl�ssel in ein Verzeichnis, genannt
-	    <emphasis>key repository</emphasis> und die Verwendung der
-	    neuen Option <literal>auto-dnssec</literal>, ist es
-	    m�glich eine dynamische Zone zu erzeugen, welche dann bei
-	    Bedarf erneut signiert wird.  Um diese Zone zu
-	    aktualisieren, benutzen Sie
-	    <application>nsupdate</application> mit der neuen Option
-	    <option>-l</option>.  Es hat also
-	    <application>rndc</application> die F�higkeit gewonnen,
-	    Zonen mit Schl�sseln im Key Repository zu verwenden, indem
-	    die Option <option>sign</option> eingesetzt wird.  Um
-	    <acronym>BIND</acronym> anzuweisen, diese automatische
-	    Signierung und Zonenaktualisierung f�r <systemitem
-	      class="fqdomainname">example.com</systemitem> zu nutzen,
-	    f�gen Sie die folgenden Zeilen in
-	    <filename>named.conf</filename> hinzu:</para>
-
-	  <programlisting>zone example.com {
-	type master;
-	key-directory "/etc/named/keys";
-	update-policy local;
-	auto-dnssec maintain;
-	file "/etc/named/dynamic/example.com.zone";
-};</programlisting>
-
-	  <para>Nachdem diese �nderungen durchgef�hrt wurden, erzeugen
-	    Sie die Schl�ssel f�r die Zone wie in <xref
-	      linkend="dns-dnssec-auth"/> beschrieben wird, legen
-	    diese Schl�ssel im Key Repository ab, dass als Argument
-	    <literal>key-directory</literal> in der Zonenkonfiguration
-	    steht und die Zone wird automatisch signiert.
-	    Aktualisierungen f�r eine Zone, die auf diese Art und
-	    Weise konfiguriert wurde, muss mittels
-	    <application>nsupdate</application> erfolgen, dass sich um
-	    die erneute Signierung der Zone mit den hinzugef�gten
-	    Daten k�mmern wird.  F�r weitere Details, lesen Sie <xref
-	      linkend="dns-read"/> und die Dokumentation von
-	    <acronym>BIND</acronym>.</para>
-	</sect4>
-      </sect3>
-
-      <sect3>
-	<title>Sicherheit</title>
-
-	<para>Obwohl BIND die am meisten verwendete Implementierung
-	  von <acronym>DNS</acronym> darstellt, werden dennoch
-	  manchmal neue Sicherheitsprobleme entdeckt.</para>
-
-	<para>Zwar startet &os; <application>named</application>
-	  automatisch in einer &man.chroot.8;-Umgebung, es gibt aber
-	  noch weitere Sicherheitsmechanismen, mit denen Sie
-	  potentielle <acronym>DNS</acronym>-Serviceattacken
-	  erschweren k�nnen.</para>
-
-	<para>Es ist daher eine gute Idee, die Sicherheitshinweise von
-	  <link xlink:href="http://www.cert.org/">CERT</link> zu lesen
-	  sowie die Mailingliste &a.security-notifications; zu
-	  abonnieren, um sich �ber Sicherheitsprobleme im Zusammenhang
-	  mit dem Internet und &os; zu informieren.</para>
-
-	<tip>
-	  <para>Tritt ein Problem auf, kann es nie schaden, die
-	    Quellen zu aktualisieren und
-	    <application>named</application> neu zu
-	    kompilieren.</para>
-	</tip>
-      </sect3>
-
-      <sect3 xml:id="dns-read">
-	<title>Weitere Informationsquellen</title>
-
-	<para>Hilfeseiten zu BIND/<application>named</application>:
-	  &man.rndc.8; &man.named.8; &man.named.conf.5;
-	  &man.nsupdate.1; &man.dnssec-signzone.8;
-	  &man.dnssec-keygen.8;</para>
-
-	<itemizedlist>
-	  <listitem>
-	    <para><link
-		xlink:href="https://www.isc.org/software/bind">
-		Offizielle ISC-Seite zu BIND</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="https://www.isc.org/software/guild">
-		Offizielles Forum zu ISC-BIND</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://www.oreilly.com/catalog/dns5/">
-		O'Reilly <acronym>DNS</acronym> and BIND 5th
-		Edition</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://www.root-dnssec.org/documentation/">
-		Root <acronym>DNSSEC</acronym></link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://data.iana.org/root-anchors/draft-icann-dnssec-trust-anchor.html">
-		<acronym>DNSSEC</acronym> Vertrauensanker-Publikation
-		f�r die Root-Zone</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc1034">RFC
-		1034 - Domain Names - Concepts and Facilities</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc1035">RFC
-		1035 - Domain Names - Implementation and
-		Specification</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc4033">RFC
-		4033 - <acronym>DNS</acronym> Security Introduction
-		and Requirements</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc4034">RFC
-		4034 - Resource Records for the
-		<acronym>DNS</acronym> Security Extensions</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc4035">RFC
-		4035 - Protocol Modifications for the
-		<acronym>DNS</acronym> Security Extensions</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc4641">RFC
-		4641 - <acronym>DNSSEC</acronym> Operational
-		Practices</link></para>
-	  </listitem>
-
-	  <listitem>
-	    <para><link
-		xlink:href="http://tools.ietf.org/html/rfc5011">RFC
-		5011 - Automated Updates of <acronym>DNS</acronym>
-		Security (<acronym>DNSSEC</acronym>) Trust Anchors</link></para>
-	  </listitem>
-	</itemizedlist>
-      </sect3>
-    </sect2>
   </sect1>
 
   <sect1 xml:id="network-apache">