MoinQ: DNS/RFC/2181/s6

6. ゾーンカット

(Zone Cuts, ゾーンの境界)

The DNS tree is divided into "zones", which are collections of
domains that are treated as a unit for certain management purposes.
Zones are delimited by "zone cuts".
Each zone cut separates a "child" zone (below the cut) from a "parent" zone (above the cut).

DNS の木(構造)は「ゾーン」に分割される。 ゾーンは或る種の管理を目的とした単位となるドメインの集まりである

ゾーンは「ゾーンカット」により分割される。

• 各ゾーンカットは親ゾーン(カットより上)から子ゾーン(カットより下)を分離する。

The domain name that appears at the top of a zone (just below the cut
that separates the zone from its parent) is called the zone's "origin".
The name of the zone is the same as the name of the domain at the zone's origin.

ゾーンの一番上位(親ゾーンからゾーンを分けた分断点のすぐ下)に位置するドメイン名は ゾーンの 起点 "origin" と呼ばれる。

• ゾーンの名前はorigin のドメイン名と同じ名前である。

Each zone comprises that subset of the DNS tree that is 
at or below the zone's origin, and that is above the
cuts that separate the zone from its children (if any).

各ゾーンはDNS木の部分集合を構成する。...

The existence of a zone cut is indicated in the parent zone by the
existence of NS records specifying the origin of the child zone.

A child zone does not contain any explicit reference to its parent.

ゾーンカットの存在は親ゾーン内で、子ゾーンの起点を示すNS レコードの存在により示される。

子ゾーン中では親を明示的に示すものはない。

6.1. ゾーンの権威 (Zone authority)

The authoritative servers for a zone are enumerated in the NS records
for the origin of the zone, which, along with a Start of Authority
(SOA) record are the mandatory records in every zone.

あるゾーンに対して権威をもつサーバ群はそのゾーンの起点に対する NS レコードとして列挙される。 これらのNS レコード群はひとつのSOA レコード (Start of Authority) とともに各ゾーンに必須のレコードである。

Such a server is authoritative for all resource records in a zone that are not in another zone.

The NS records that indicate a zone cut are the property of the child zone created,
as are any other records for the origin of that child zone, or any sub-domains of it.

かようなサーバはそのゾーン内のすべてのレコードに対する責任と権威がある。(他ゾーンに属するものでないとして)

ゾーンカットを示すNSレコード群は作られる子ゾーンに属するもの(property)である。 子ゾーンのoriginについての資源レコードや子ゾーンのサブドメインについてのレコードも同様である。 }}}

A server for a zone should not return authoritative answers for queries related to
names in another zone, which includes the NS, and perhaps A, records at a zone cut,
unless it also happens to be a server for the other zone.

ゾーンのサーバーは他ゾーンに属する名前に関する問い合わせには権威ある返答を返すべきではない。

• それにはゾーンカットにあるNS及びAレコードも含まれる。 ただしサーバーがたまたま他ゾーンの権威サーバーでもあるときは除く。

(訳注: 委任、CNAME などか)

         Other than the DNSSEC cases mentioned immediately below, servers
         should ignore data other than NS records, and necessary A records to
         locate the servers listed in the NS records, that may happen to be
         configured in a zone at a zone cut.

直後に述べるDNSSECの場合を除き、サーバはゾーンカット点に関しては NSレコードとその位置を得るのに必要なAレコード以外は無視すべきである。

6.2. DNSSEC issues

         The DNS security mechanisms [<a title="Eastlake, D., Kaufman, C., &#34;Domain Name System Security Extensions&#34;, RFC 2065, January 1997." href="chapter13.html#RFC2065">RFC2065</a>] complicate this somewhat, as
         some of the new resource record types added are very unusual when
         compared with other DNS RRs.  In particular the NXT ("next") RR type
         contains information about which names exist in a zone, and hence
         which do not, and thus must necessarily relate to the zone in which
         it exists.  The same domain name may have different NXT records in
         the parent zone and the child zone, and both are valid, and are not
         an RRSet.  See also section 5.3.2.

         Since NXT records are intended to be automatically generated, rather
         than configured by DNS operators, servers may, but are not required
         to, retain all differing NXT records they receive regardless of the
         rules in section 5.4.

         For a secure parent zone to securely indicate that a subzone is
         insecure, DNSSEC requires that a KEY RR indicating that the subzone
         is insecure, and the parent zone's authenticating SIG RR(s) be
         present in the parent zone, as they by definition cannot be in the
         subzone.  Where a subzone is secure, the KEY and SIG records will be
         present, and authoritative, in that zone, but should also always be
         present in the parent zone (if secure).

         Note that in none of these cases should a server for the parent zone,
         not also being a server for the subzone, set the AA bit in any
         response for a label at a zone cut.

-- ToshinoriMaeno 2020-11-07 04:48:35

2002-06-21 初訳 前野年紀