external/bsd/bind/dist/win32utils/readme1st.txt

   1 Copyright (C) 2004, 2005, 2007-2009, 2012-2014  Internet Systems Consortium, Inc. ("ISC")\r
   2 Copyright (C) 2001, 2003  Internet Software Consortium.\r
   3 See COPYRIGHT in the source root or http://isc.org/copyright.html for terms.\r
   4 \r
   5 NOTES ON BIND 9.10 FOR WINDOWS:\r
   6 \r
   7 BIND 9.10 is known to run on Windows XP, Vista, Windows 7,\r
   8 and Windows Server 2003 and higher.\r
   9   \r
  10 KIT INSTALLATION:\r
  11 \r
  12 Unpack the kit into any convenient directory and run the BINDInstall\r
  13 program.  This will install the named and associated programs into\r
  14 the correct directories and set up the required registry keys.\r
  15 \r
  16 BINDInstall requires that you install it under an account with\r
  17 restricted privileges. The installer will prompt you for an account\r
  18 name (the default is "named") and a password for that account. It\r
  19 will also check for the existence of that account.  If it does not\r
  20 exist is will create it with only the privileges required to run\r
  21 BIND. If the account does exist it will check that it has only the\r
  22 one privilege required: "Log on as a service".  If it has too many\r
  23 privileges it will prompt you if you want to continue.\r
  24 \r
  25 With BIND running under an account name, it is necessary for all\r
  26 files and directories that BIND uses to have permissions set up for\r
  27 the named account if the files are on an NTFS disk. BIND requires\r
  28 that the account have read and write access to the directory for\r
  29 the pid file, any files that are maintained either for slave zones\r
  30 or for master zones supporting dynamic updates. The account will\r
  31 also need read access to the named.conf and any other file that it\r
  32 needs to read.\r
  33 \r
  34 "NT AUTHORITY\LocalService" is also an acceptable account\r
  35 (and the only acceptable on some recent versions of Windows).\r
  36 This account is built into Windows and no password is required.\r
  37 Appropriate file permissions will also need to be set for "NT\r
  38 AUTHORITY\LocalService" similar to those that would have been\r
  39 required for the "named" account.\r
  40 \r
  41 It is important that on Windows the directory directive is used in\r
  42 the options section to tell BIND where to find the files used in\r
  43 named.conf (default "%ProgramFiles%\ISC BIND 9\etc\named.conf"). For\r
  44 example:\r
  45 \r
  46         options {\r
  47                 directory "C:\Program Files (x86)\ISC BIND 9\etc";\r
  48         };\r
  49 \r
  50 for a 32 bit BIND on a 64 bit US Domestic Windows system.\r
  51 Messages are logged to the Application log in the EventViewer.\r
  52 \r
  53 CONTROLLING BIND:\r
  54 \r
  55 Windows uses the same rndc program as is used on Unix systems.  The\r
  56 rndc.conf file must be configured for your system in order to work.\r
  57 You will need to generate a key for this. To do this use the\r
  58 rndc-confgen program. The program will be installed in the same\r
  59 directory as named: "%ProgramFiles%\ISC BIND 9\bin".  From the DOS\r
  60 prompt, use the command this way:\r
  61 \r
  62 rndc-confgen -a\r
  63 \r
  64 which will create a rndc.key file in the "%ProgramFiles%\ISC BIND 9\etc"\r
  65 directory. This will allow you to run rndc without an explicit\r
  66 rndc.conf file or key and control entry in named.conf file. See\r
  67 section 3.4.1.2 of the ARM for details of this. An rndc.conf can\r
  68 also be generated by running:\r
  69 \r
  70 rndc-confgen > rndc.conf\r
  71 \r
  72 which will create the rndc.conf file in the current directory, but\r
  73 not copy it to the "%ProgramFiles%\ISC BIND 9\etc" directory where\r
  74 it needs to reside. If you create rndc.conf this way you will need\r
  75 to copy the same key statement into named.conf.\r
  76 \r
  77 The additions look like the following:\r
  78 \r
  79 key "rndc-key" { algorithm hmac-sha256; secret "xxxxxxxxx=="; };\r
  80 \r
  81 controls {\r
  82         inet 127.0.0.1 port 953 allow { localhost; } keys { "rndc-key"; };\r
  83 };\r
  84 \r
  85 Note that the value of the secret must come from the key generated\r
  86 above for rndc and must be the same key value for both. Details of\r
  87 this may be found in section 3.4.1.2 of the ARM. If you have rndc\r
  88 on a Unix box you can use it to control BIND on the Windows box as\r
  89 well as using the Windows version of rndc to control a BIND 9 daemon\r
  90 on a Unix box. However you must have key statements valid for the\r
  91 servers you wish to control, specifically the IP address and key\r
  92 in both named.conf and rndc.conf. Again see section 3.4.1.2 of the\r
  93 ARM for details.\r
  94 \r
  95 In order to run rndc from a different system it is important to\r
  96 ensure that the clocks are synchronized. The clocks must be kept\r
  97 within 5 minutes of each other or the rndc commands will fail\r
  98 authentication. Use NTP or other time synchronization software to\r
  99 keep your clocks accurate. NTP can be found at http://www.ntp.org/.\r
 100 \r
 101 In addition BIND is installed as a win32 system service, can be\r
 102 started and stopped in the same way as any other service and\r
 103 automatically starts whenever the system is booted. Signals are not\r
 104 supported and are in fact ignored.\r
 105 \r
 106 Note: Unlike most Windows applications, named does not, change its\r
 107 working directory when started as a service.  If you wish to use\r
 108 relative files in named.conf you will need to specify a working\r
 109 directory using the directory directive options.\r
 110 \r
 111 DOCUMENTATION:\r
 112 \r
 113 This kit includes Documentation in HTML format.  The documentation\r
 114 is not copied during the installation process so you should move\r
 115 it to any convenient location for later reference. Of particular\r
 116 importance is the BIND 9 Administrator's Reference Manual (Bv9ARM*.html)\r
 117 which provides detailed information on BIND 9. In addition, there\r
 118 are HTML pages for each of the BIND 9 applications.\r
 119 \r
 120 INCLUDED TOOLS:\r
 121 \r
 122 The following tools have been built for Windows: dig, nslookup,\r
 123 host, nsupdate, ddns-confgen, rndc, rndc-confgen, named-checkconf,\r
 124 named-checkzone, named-compilezone, named-journalprint,\r
 125 named-rrchecker, dnssec-importkey, dnssec-keygen, dnssec-signzone,\r
 126 dnssec-dsfromkey, dnssec-keyfromlabel, dnssec-revoke, dnssec-settime\r
 127 and dnssec-verify.  The latter tools are for use with DNSSEC.  All tools\r
 128 are installed in the "%ProgramFiles%\ISC BIND 9\bin" directory.\r
 129 \r
 130 IMPORTANT NOTE ON USING THE TOOLS:\r
 131 \r
 132 It is no longer necessary to create a resolv.conf file on Windows\r
 133 as the tools will look in the registry for the required name server\r
 134 information. However, if you do create a resolv.conf file as follows,\r
 135 the tools will use it in preference to the registry name server\r
 136 entries.\r
 137 \r
 138 Place resolv.conf the "%ProgramFiles%\ISC BIND 9\etc" directory.\r
 139 It must contain a list of recursive server addresses.  The format\r
 140 of this file is:\r
 141 \r
 142 nameserver 1.2.3.4\r
 143 nameserver 5.6.7.8\r
 144 \r
 145 Replace the above IP addresses with the real name server addresses.\r
 146 127.0.0.1 is a valid address if you are running a recursive name\r
 147 server on the localhost.\r
 148 \r
 149 PROBLEMS:\r
 150 \r
 151 Please report bugs to bind9-bugs@isc.org. Other questions can go\r
 152 to the bind-users@isc.org mailing list.\r