Patrick Welche <prlw1@cam.ac.uk>
[netbsd-mini2440.git] / external / bsd / bind / dist / doc / draft / draft-ietf-dnsop-name-server-management-reqs-02.txt
blobf64e8dd572ec8f637fffb5baaa296bde807e3b4e
4 DNSOP                                                        W. Hardaker
5 Internet-Draft                                              Sparta, Inc.
6 Intended status: Informational                         February 12, 2009
7 Expires: August 16, 2009
10         Requirements for Management of Name Servers for the DNS
11           draft-ietf-dnsop-name-server-management-reqs-02.txt
13 Status of this Memo
15    This Internet-Draft is submitted to IETF in full conformance with the
16    provisions of BCP 78 and BCP 79.
18    Internet-Drafts are working documents of the Internet Engineering
19    Task Force (IETF), its areas, and its working groups.  Note that
20    other groups may also distribute working documents as Internet-
21    Drafts.
23    Internet-Drafts are draft documents valid for a maximum of six months
24    and may be updated, replaced, or obsoleted by other documents at any
25    time.  It is inappropriate to use Internet-Drafts as reference
26    material or to cite them other than as "work in progress."
28    The list of current Internet-Drafts can be accessed at
29    http://www.ietf.org/ietf/1id-abstracts.txt.
31    The list of Internet-Draft Shadow Directories can be accessed at
32    http://www.ietf.org/shadow.html.
34    This Internet-Draft will expire on August 16, 2009.
36 Copyright Notice
38    Copyright (c) 2009 IETF Trust and the persons identified as the
39    document authors.  All rights reserved.
41    This document is subject to BCP 78 and the IETF Trust's Legal
42    Provisions Relating to IETF Documents
43    (http://trustee.ietf.org/license-info) in effect on the date of
44    publication of this document.  Please review these documents
45    carefully, as they describe your rights and restrictions with respect
46    to this document.
48 Abstract
50    Management of name servers for the Domain Name Service (DNS) has
51    traditionally been done using vendor-specific monitoring,
55 Hardaker                 Expires August 16, 2009                [Page 1]
57 Internet-Draft     Name Server Management Requirements     February 2009
60    configuration and control methods.  Although some service monitoring
61    platforms can test the functionality of the DNS itself there is not a
62    interoperable way to manage (monitor, control and configure) the
63    internal aspects of a name server itself.
65    This document discusses the requirements of a management system for
66    DNS name servers.  A management solution that is designed to manage
67    the DNS can use this document as a shopping list of needed features.
70 Table of Contents
72    1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  4
73      1.1.  Requirements notation  . . . . . . . . . . . . . . . . . .  4
74        1.1.1.  Terminology  . . . . . . . . . . . . . . . . . . . . .  5
75        1.1.2.  Document Layout and Requirements . . . . . . . . . . .  5
76    2.  Management Architecture Requirements . . . . . . . . . . . . .  5
77      2.1.  Expected Deployment Scenarios  . . . . . . . . . . . . . .  5
78        2.1.1.  Zone Size Constraints  . . . . . . . . . . . . . . . .  5
79        2.1.2.  Name Server Discovery  . . . . . . . . . . . . . . . .  6
80        2.1.3.  Configuration Data Volatility  . . . . . . . . . . . .  6
81        2.1.4.  Protocol Selection . . . . . . . . . . . . . . . . . .  6
82        2.1.5.  Common Data Model  . . . . . . . . . . . . . . . . . .  6
83        2.1.6.  Operational Impact . . . . . . . . . . . . . . . . . .  7
84      2.2.  Name Server Types  . . . . . . . . . . . . . . . . . . . .  7
85    3.  Management Operation Types . . . . . . . . . . . . . . . . . .  7
86      3.1.  Control Requirements . . . . . . . . . . . . . . . . . . .  8
87        3.1.1.  Needed Control Operations  . . . . . . . . . . . . . .  8
88        3.1.2.  Asynchronous Status Notifications  . . . . . . . . . .  8
89      3.2.  Configuration Requirements . . . . . . . . . . . . . . . .  9
90        3.2.1.  Served Zone Modification . . . . . . . . . . . . . . .  9
91        3.2.2.  Trust Anchor Management  . . . . . . . . . . . . . . .  9
92        3.2.3.  Security Expectations  . . . . . . . . . . . . . . . .  9
93        3.2.4.  TSIG Key Management  . . . . . . . . . . . . . . . . .  9
94        3.2.5.  DNS Protocol Authorization Management  . . . . . . . .  9
95      3.3.  Monitoring Requirements  . . . . . . . . . . . . . . . . . 10
96      3.4.  Alarm and Event Requirements . . . . . . . . . . . . . . . 10
97    4.  Security Requirements  . . . . . . . . . . . . . . . . . . . . 11
98      4.1.  Authentication . . . . . . . . . . . . . . . . . . . . . . 11
99      4.2.  Integrity Protection . . . . . . . . . . . . . . . . . . . 11
100      4.3.  Confidentiality  . . . . . . . . . . . . . . . . . . . . . 11
101      4.4.  Authorization  . . . . . . . . . . . . . . . . . . . . . . 11
102      4.5.  Solution Impacts on Security . . . . . . . . . . . . . . . 12
103    5.  Other Requirements . . . . . . . . . . . . . . . . . . . . . . 12
104      5.1.  Extensibility  . . . . . . . . . . . . . . . . . . . . . . 12
105        5.1.1.  Vendor Extensions  . . . . . . . . . . . . . . . . . . 13
106        5.1.2.  Extension Identification . . . . . . . . . . . . . . . 13
107        5.1.3.  Name-Space Collision Protection  . . . . . . . . . . . 13
111 Hardaker                 Expires August 16, 2009                [Page 2]
113 Internet-Draft     Name Server Management Requirements     February 2009
116    6.  Security Considerations  . . . . . . . . . . . . . . . . . . . 13
117    7.  IANA Considerations  . . . . . . . . . . . . . . . . . . . . . 13
118    8.  Document History . . . . . . . . . . . . . . . . . . . . . . . 13
119    9.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . . . . 14
120    10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 14
121      10.1. Normative References . . . . . . . . . . . . . . . . . . . 14
122      10.2. Informative References . . . . . . . . . . . . . . . . . . 15
123    Appendix A.  Deployment Scenarios  . . . . . . . . . . . . . . . . 15
124      A.1.  Non-Standard Zones . . . . . . . . . . . . . . . . . . . . 16
125      A.2.  Redundancy Sharing . . . . . . . . . . . . . . . . . . . . 16
126      A.3.  DNSSEC Management  . . . . . . . . . . . . . . . . . . . . 16
127    Author's Address . . . . . . . . . . . . . . . . . . . . . . . . . 17
167 Hardaker                 Expires August 16, 2009                [Page 3]
169 Internet-Draft     Name Server Management Requirements     February 2009
172 1.  Introduction
174    Management of name servers for the Domain Name Service (DNS)
175    [RFC1034] [RFC1035] has traditionally been done using vendor-specific
176    monitoring, configuration and control methods.  Although some service
177    monitoring platforms can test the functionality of the DNS itself
178    there is not a interoperable way to manage (monitor, control and
179    configure) the internal aspects of a name server itself.
181    Previous standardization work within the IETF resulted in the
182    creation of two SNMP MIB modules [RFC1611] [RFC1612] but they failed
183    to achieve significant implementation and deployment.  The perceived
184    reasons behind the failure for the two MIB modules are further
185    documented in [RFC3197].
187    This document discusses the requirements of a management system for
188    DNS name servers.  A management solution that is designed to manage
189    the DNS can use this document as a shopping list of needed features.
191    Specifically out of scope for this document are requirements
192    associated with management of stub resolvers.  It is not the intent
193    of this document to document stub resolver requirements, although
194    some of the requirements listed are applicable to stub resolvers as
195    well.
197    Also out of scope for this document is management of the host or
198    other components of the host upon which the name server software is
199    running.  This document only discusses requirements for managing the
200    name server component of a system.
202    The task of creating a management system for managing DNS servers is
203    not expected to be a small one.  It is likely that components of the
204    solution will need to be designed in parts over time and these
205    requirements take this into consideration.  In particular,
206    Section 5.1 discusses the need for future extensibility of the base
207    management solution.  This document is intended to be a road-map
208    towards a desired outcome and is not intended to define an "all-or-
209    nothing" system.  Successful interoperable management of name servers
210    even in part is expected to be beneficial to network operators
211    compared to the entirely custom solutions that are used at the time
212    of this writing.
214 1.1.  Requirements notation
216    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
217    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
218    document are to be interpreted as described in [RFC2119].
223 Hardaker                 Expires August 16, 2009                [Page 4]
225 Internet-Draft     Name Server Management Requirements     February 2009
228 1.1.1.  Terminology
230    This document is consistent with the terminology defined in Section 2
231    of [RFC4033].  Additional terminology needed for this document is
232    described below:
234    Name Server:  When we are discussing servers that don't fall into a
235       more specific type of server category defined in other documents,
236       this document will refer to them generically as "name servers".
237       In particular "name servers" can be considered to be any valid
238       combination of authoritative, recursive, validating, or security-
239       aware.  The more specific name server labels will be used when
240       this document refers only to a specific type of server.  However,
241       the term "name server", in this document, will not include stub
242       resolvers.
244 1.1.2.  Document Layout and Requirements
246    The document is written so that each numbered section will contain
247    only a single requirement if it contains one at all.  Each
248    requirement will contain needed wording from the terminology
249    described in Section 1.1.  Subsections, however, might exist with
250    additional related requirements.  The document is laid out in this
251    way so that a specific requirement can be uniquely referred to using
252    the section number itself and the document version from which it
253    came.
256 2.  Management Architecture Requirements
258    This section discusses requirements that reflect the needs of the
259    expected deployment environments.
261 2.1.  Expected Deployment Scenarios
263    DNS zones vary greatly in the type of content published within them.
264    Name Servers, too, are deployed with a wide variety of configurations
265    to support the diversity of the deployed content.  It is important
266    that a management solution trying to meet the criteria specified in
267    this document consider supporting the largest number of potential
268    deployment cases as possible.  Further deployment scenarios that are
269    not used as direct examples of specific requirements are listed in
270    Appendix A.
272 2.1.1.  Zone Size Constraints
274    The management solution MUST support both name servers that are
275    serving a small number of potentially very large zones (e.g.  Top
279 Hardaker                 Expires August 16, 2009                [Page 5]
281 Internet-Draft     Name Server Management Requirements     February 2009
284    Level Domains (TLDs)) as well as name servers that are serving a very
285    large number of small zones.  These scenarios are both commonly seen
286    deployments.
288 2.1.2.  Name Server Discovery
290    Large enterprise network deployments may contain multiple name
291    servers operating within the boundaries of the enterprise network.
292    These name servers may each be serving multiple zones both in and out
293    of the parent enterprise's zone.  Finding and managing large
294    quantities of name servers would be a useful feature of the resulting
295    management solution.  The management solution MAY support the ability
296    to discover previously unknown instances of name servers operating
297    within a deployed network.
299 2.1.3.  Configuration Data Volatility
301    Configuration data is defined as data that relates only to the
302    configuration of a server and the zones it serves.  It specifically
303    does not include data from the zone contents that is served through
304    DNS itself.  The solution MUST support servers that remain fairly
305    statically configured over time as well as servers that have numerous
306    zones being added and removed within an hour.  Both of these
307    scenarios are also commonly seen deployments.
309 2.1.4.  Protocol Selection
311    There are many requirements in this document for many different types
312    of management operations (see Section 3 for further details).  It is
313    possible that no one protocol will ideally fill all the needs of the
314    requirements listed in this document and thus multiple protocols
315    might be needed to produce a completely functional management system.
316    Multiple protocols might be used to create the complete management
317    solution, but the number of protocols used SHOULD be reduced to a
318    reasonable minimum number.
320 2.1.5.  Common Data Model
322    Defining a standardized protocol (or set of protocols) to use for
323    managing name servers would be a step forward in achieving an
324    interoperable management solution.  However, just defining a protocol
325    to use by itself would not achieve the complete end goal of a
326    complete interoperable management solution.  Devices also need to
327    represent their internal management interface using a common
328    management data model.  The solution MUST create a common data model
329    that management stations can make use of when sending or collecting
330    data from a managed device so it can successfully manage equipment
331    from vendors as if they were generic DNS servers.  This common data
335 Hardaker                 Expires August 16, 2009                [Page 6]
337 Internet-Draft     Name Server Management Requirements     February 2009
340    model is needed for of the operations discussion in Section 3.  Note
341    that this does not preclude the fact that name server vendors might
342    provide additional management infrastructure beyond a base management
343    specification, as discussed further in Section 5.1.
345 2.1.6.  Operational Impact
347    It is impossible to add new features to an existing server (such as
348    the inclusion of a management infrastructure) and not impact the
349    existing service and/or server in some fashion.  At a minimum, for
350    example, more memory, disk and/or CPU resources will be required to
351    implement a new management system.  However, the impact to the
352    existing DNS service MUST be minimized since the DNS service itself
353    is still the primary service to be offered by the modified name
354    server.
356 2.2.  Name Server Types
358    There are multiple ways in which name servers can be deployed.  Name
359    servers can take on any of the following roles:
361    o  Master Servers
363    o  Slave Servers
365    o  Recursive Servers
367    The management solution SHOULD support all of these types of name
368    servers as they are all equally important.  Note that "Recursive
369    Servers" can be further broken down by the security sub-roles they
370    might implement, as defined in section 2 of [RFC4033].  These sub-
371    roles are also important to support within any management solution.
373    As stated earlier, the management of stub resolvers is considered out
374    of scope for this documents.
377 3.  Management Operation Types
379    Management operations can traditionally be broken into four
380    categories:
382    o  Control
384    o  Configuration
386    o  Health and Monitoring
391 Hardaker                 Expires August 16, 2009                [Page 7]
393 Internet-Draft     Name Server Management Requirements     February 2009
396    o  Alarms and Events
398    This section discusses requirements for each of these four management
399    types in detail.
401 3.1.  Control Requirements
403    The management solution MUST be capable of performing basic service
404    control operations.
406 3.1.1.  Needed Control Operations
408    These operations SHOULD include, at a minimum, the following
409    operations:
411    o  Starting the name server
413    o  Reloading the service configuration
415    o  Reloading zone data
417    o  Restarting the name server
419    o  Stopping the name server
421    Note that no restriction is placed on how the management system
422    implements these operations.  In particular, at least "starting the
423    name server" will require a minimal management system component to
424    exist independently of the name server itself.
426 3.1.2.  Asynchronous Status Notifications
428    Some control operations might take a long time to complete.  As an
429    example, some name servers take a long time to perform reloads of
430    large zones.  Because of these timing issues, the management solution
431    SHOULD take this into consideration and offer a mechanism to ease the
432    burden associated with awaiting the status of a long-running command.
433    This could, for example, result in the use of asynchronous
434    notifications for returning the status of a long-running task or it
435    might require the management station to poll for the status of a
436    given task using monitoring commands.  These and other potential
437    solutions need to be evaluated carefully to select one that balances
438    the result delivery needs with the perceived implementation costs.
440    Also, see the related discussion in Section 3.4 on notification
441    messages for supporting delivery of alarm and event messages.
447 Hardaker                 Expires August 16, 2009                [Page 8]
449 Internet-Draft     Name Server Management Requirements     February 2009
452 3.2.  Configuration Requirements
454    Many features of name servers need to be configured before the server
455    can be considered functional.  The management solution MUST be able
456    to provide name servers with configuration data.  The most important
457    data to be configured, for example, is the served zone data itself.
459 3.2.1.  Served Zone Modification
461    The ability to add, modify and delete zones being served by name
462    servers is needed.  Although there are already solutions for zone
463    content modification (such as Dynamic DNS (DDNS) [RFC2136] [RFC3007],
464    AXFR [RFC1035], and incremental zone transfer (IXFR) [RFC1995]) that
465    might be used as part of the final management solution, the
466    management system SHOULD still be able to natively create a new zone
467    (with enough minimal data to allow the other mechanisms to function
468    as well) as well as delete a zone.  This might be, for example, a
469    management operation that at least allows for the creation of the
470    initial SOA record for a new zone as that's the minimum amount of
471    zone data needed for the other operations to function.
473 3.2.2.  Trust Anchor Management
475    The solution SHOULD support the ability to add, modify and delete
476    trust anchors that are used by DNS Security (DNSSEC) [RFC4033]
477    [RFC4034] [RFC4035] [RFC4509] [RFC5011] [RFC5155].  These trust
478    anchors might be configured using the data from the DNSKEY Resource
479    Records (RRs) themselves or by using Delegation Signer (DS)
480    fingerprints.
482 3.2.3.  Security Expectations
484    DNSSEC Validating resolvers need to make policy decisions about the
485    requests being processed.  For example, they need to be configured
486    with a list of zones expected to be secured by DNSSEC.  The
487    management solution SHOULD be able to add, modify and delete
488    attributes of DNSSEC security policies.
490 3.2.4.  TSIG Key Management
492    TSIG [RFC2845] allows transaction level authentication of DNS
493    traffic.  The management solution SHOULD be able to add, modify and
494    delete TSIG keys known to the name server.
496 3.2.5.  DNS Protocol Authorization Management
498    The management solution SHOULD have the ability to add, modify and
499    delete authorization settings for the DNS protocols itself.  Do not
503 Hardaker                 Expires August 16, 2009                [Page 9]
505 Internet-Draft     Name Server Management Requirements     February 2009
508    confuse this with the ability to manage the authorization associated
509    with the management protocol itself, which is discussed later in
510    Section 4.4.  There are a number of authorization settings that are
511    used by a name server.  Example authorization settings that the
512    solution might need to cover are:
514    o  Access to operations on zone data (e.g.  DDNS)
516    o  Access to certain zone data from certain sources (e.g. from
517       particular network subnets)
519    o  Access to specific DNS protocol services (e.g. recursive service)
521    Note: the above list is expected to be used as a collection of
522    examples and is not a complete list of needed authorization
523    protections.
525 3.3.  Monitoring Requirements
527    Monitoring is the process of collecting aspects of the internal state
528    of a name server at a given moment in time.  The solution MUST be
529    able to monitor the health of a name server to determine its
530    operational status, load and other internal attributes.  Example
531    management tasks that the solution might need to cover are:
533    o  Number of requests sent, responses sent, average response latency
534       and other performance counters
536    o  Server status (e.g. "serving data", "starting up", "shutting
537       down", ...)
539    o  Access control violations
541    o  List of zones being served
543    o  Detailed statistics about clients interacting with the name server
544       (e.g. top 10 clients requesting data).
546    Note: the above list is expected to be used as a collection of
547    examples and is not a complete list of needed monitoring operations.
548    In particular, some monitoring statistics are expected to be
549    computationally or resource expensive and are considered to be "nice
550    to haves" as opposed to "necessary to have".
552 3.4.  Alarm and Event Requirements
554    Events occurring at the name server that trigger alarm notifications
555    can quickly inform a management station about critical issues.  A
559 Hardaker                 Expires August 16, 2009               [Page 10]
561 Internet-Draft     Name Server Management Requirements     February 2009
564    management solution SHOULD include support for delivery of alarm
565    conditions.
567    Example alarm conditions might include:
569    o  The server's status is changing. (e.g it is starting up, reloading
570       configuration, restarting or shutting down)
572    o  A needed resource (e.g. memory or disk space) is exhausted or
573       nearing exhaustion
575    o  An authorization violation was detected
577    o  The server has not received any data traffic (e.g.  DNS requests
578       or NOTIFYs) recently (AKA the "lonely warning").  This condition
579       might indicate a problem with its deployment.
582 4.  Security Requirements
584    The management solution will need to be appropriately secured against
585    attacks on the management infrastructure.
587 4.1.  Authentication
589    The solution MUST support mutual authentication.  The management
590    client needs to be assured that the management operations are being
591    transferred to and from the correct name server.  The managed name
592    server needs to authenticate the system that is accessing the
593    management infrastructure within itself.
595 4.2.  Integrity Protection
597    Management operations MUST be protected from modification while in
598    transit from the management client to the server.
600 4.3.  Confidentiality
602    The management solution MUST support message confidentiality.  The
603    potential transfer of sensitive configuration is expected (such as
604    TSIG keys or security policies).  The solution does not, however,
605    necessarily need to provide confidentiality to data that would
606    normally be carried without confidentiality by the DNS system itself.
608 4.4.  Authorization
610    The solution SHOULD be capable of providing a fine-grained
611    authorization model for any management protocols it introduces to the
615 Hardaker                 Expires August 16, 2009               [Page 11]
617 Internet-Draft     Name Server Management Requirements     February 2009
620    completed system.  This authorization differs from the authorization
621    previously discussed in Section 3.2.5 in that this requirement is
622    concerned solely with authorization of the management system itself.
624    There are a number of authorization settings that might be used by a
625    managed system to determine whether the managing entity has
626    authorization to perform the given management task.  Example
627    authorization settings that the solution might need to cover are:
629    o  Access to the configuration that specifies which zones are to be
630       served
632    o  Access to the management system infrastructure
634    o  Access to other control operations
636    o  Access to other configuration operations
638    o  Access to monitoring operations
640    Note: the above list is expected to be used as a collection of
641    examples and is not a complete list of needed authorization
642    protections.
644 4.5.  Solution Impacts on Security
646    The solution MUST minimize the security risks introduced to the
647    complete name server system.  It is impossible to add new
648    infrastructure to a server and not impact the security in some
649    fashion as the introduction of a management protocol alone will
650    provide a new avenue for potential attack.  Although the added
651    management benefits will be worth the increased risks, the solution
652    still needs to minimize this impact as much as possible.
655 5.  Other Requirements
657 5.1.  Extensibility
659    The management solution is expected to change and expand over time as
660    lessons are learned and new DNS features are deployed.  Thus, the
661    solution MUST be flexible and be able to accommodate new future
662    management operations.  The solution might, for example, make use of
663    protocol versioning or capability description exchanges to ensure
664    that management stations and name servers that weren't written to the
665    same specification version can still interoperate to the best of
666    their combined ability.
671 Hardaker                 Expires August 16, 2009               [Page 12]
673 Internet-Draft     Name Server Management Requirements     February 2009
676 5.1.1.  Vendor Extensions
678    It MUST be possible for vendors to extend the standardized management
679    model with vendor-specific extensions to support additional features
680    offered by their products.
682 5.1.2.  Extension Identification
684    It MUST be possible for a management station to understand which
685    parts of returned data are specific to a given vendor or other
686    standardized extension.  The data returned needs to be appropriately
687    marked through the use of name spaces or similar mechanisms to ensure
688    that the base management model data can be logically separated from
689    extension data without needing to understand the extension data
690    itself.
692 5.1.3.  Name-Space Collision Protection
694    It MUST be possible to protect against multiple extensions
695    conflicting with each other.  The use of name-space protection
696    mechanisms for communicated management variables is common practice
697    to protect against problems.  Name-space identification techniques
698    also frequently solve the "Extension Identification" requirement
699    discussed in Section 5.1.2 as well.
702 6.  Security Considerations
704    Any management protocol that meets the criteria discussed in this
705    document needs to support the criteria discussed in Section 4 in
706    order to protect the management infrastructure itself.  The DNS is a
707    core Internet service and management traffic that protects it could
708    be the target of attacks designed to subvert that service.  Because
709    the management infrastructure will be adding additional interfaces to
710    that service, it is critical that the management infrastructure
711    support adequate protections against network attacks.
714 7.  IANA Considerations
716    No action is required from IANA for this document.
719 8.  Document History
721    A requirement gathering discussion was held at the December 2007 IETF
722    meeting in Vancouver, BC, Canada and a follow up meeting was held at
723    the March 2008 IETF meeting in Philadelphia.  This document is a
727 Hardaker                 Expires August 16, 2009               [Page 13]
729 Internet-Draft     Name Server Management Requirements     February 2009
732    compilation of the results of those discussions as well as
733    discussions on the DCOMA mailing list.
736 9.  Acknowledgments
738    This draft is the result of discussions within the DCOMA design team
739    chaired by Jaap Akkerhuis.  This team consisted of a large number of
740    people all of whom provided valuable insight and input into the
741    discussions surrounding name server management.  The text of this
742    document was written from notes taken during meetings as well as from
743    contributions sent to the DCOMA mailing list.  This work documents
744    the consensus of the DCOMA design team.
746    In particular, the following team members contributed significantly
747    to the text in the document:
749       Stephane Bortzmeyer
751       Stephen Morris
753       Phil Regnauld
755    Further editing contributions and wording suggestions were made by:
756    Alfred Hoenes.
759 10.  References
761 10.1.  Normative References
763    [RFC1034]  Mockapetris, P., "Domain names - concepts and facilities",
764               STD 13, RFC 1034, November 1987.
766    [RFC1035]  Mockapetris, P., "Domain names - implementation and
767               specification", STD 13, RFC 1035, November 1987.
769    [RFC1995]  Ohta, M., "Incremental Zone Transfer in DNS", RFC 1995,
770               August 1996.
772    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
773               Requirement Levels", BCP 14, RFC 2119, March 1997.
775    [RFC2136]  Vixie, P., Thomson, S., Rekhter, Y., and J. Bound,
776               "Dynamic Updates in the Domain Name System (DNS UPDATE)",
777               RFC 2136, April 1997.
779    [RFC2845]  Vixie, P., Gudmundsson, O., Eastlake, D., and B.
783 Hardaker                 Expires August 16, 2009               [Page 14]
785 Internet-Draft     Name Server Management Requirements     February 2009
788               Wellington, "Secret Key Transaction Authentication for DNS
789               (TSIG)", RFC 2845, May 2000.
791    [RFC3007]  Wellington, B., "Secure Domain Name System (DNS) Dynamic
792               Update", RFC 3007, November 2000.
794    [RFC4033]  Arends, R., Austein, R., Larson, M., Massey, D., and S.
795               Rose, "DNS Security Introduction and Requirements",
796               RFC 4033, March 2005.
798    [RFC4034]  Arends, R., Austein, R., Larson, M., Massey, D., and S.
799               Rose, "Resource Records for the DNS Security Extensions",
800               RFC 4034, March 2005.
802    [RFC4035]  Arends, R., Austein, R., Larson, M., Massey, D., and S.
803               Rose, "Protocol Modifications for the DNS Security
804               Extensions", RFC 4035, March 2005.
806    [RFC4509]  Hardaker, W., "Use of SHA-256 in DNSSEC Delegation Signer
807               (DS) Resource Records (RRs)", RFC 4509, May 2006.
809    [RFC5011]  StJohns, M., "Automated Updates of DNS Security (DNSSEC)
810               Trust Anchors", RFC 5011, September 2007.
812    [RFC5155]  Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS
813               Security (DNSSEC) Hashed Authenticated Denial of
814               Existence", RFC 5155, March 2008.
816 10.2.  Informative References
818    [RFC1611]  Austein, R. and J. Saperia, "DNS Server MIB Extensions",
819               RFC 1611, May 1994.
821    [RFC1612]  Austein, R. and J. Saperia, "DNS Resolver MIB Extensions",
822               RFC 1612, May 1994.
824    [RFC2182]  Elz, R., Bush, R., Bradner, S., and M. Patton, "Selection
825               and Operation of Secondary DNS Servers", BCP 16, RFC 2182,
826               July 1997.
828    [RFC3197]  Austein, R., "Applicability Statement for DNS MIB
829               Extensions", RFC 3197, November 2001.
832 Appendix A.  Deployment Scenarios
834    This appendix documents some additional deployment scenarios that
835    have been traditionally difficult to manage.  They are provided as
839 Hardaker                 Expires August 16, 2009               [Page 15]
841 Internet-Draft     Name Server Management Requirements     February 2009
844    guidance to protocol developers as data points of real-world name
845    server management problems.
847 A.1.  Non-Standard Zones
849    If an organization uses non-standard zones (for example a purely-
850    local TLD), synchronizing all the name servers for these zones is
851    usually a time-consuming task.  It is made worse when two
852    organizations with conflicting zones merge.  This situation is not a
853    recommended deployment scenario (and is even heavily discouraged) but
854    it is, unfortunately, seen in the wild.
856    It is typically implemented using "forwarding" zones.  But there is
857    no way to ensure automatically that all the resolvers have the same
858    set of zones to forward at any given time.  New zones might be added
859    to a local forwarding recursive server, for example, without
860    modifying the rest of the deployed forwarding servers.  It is hoped
861    that a management solution which could handle the configuration of
862    zone forwarding would finally allow management of servers deployed in
863    this fashion.
865 A.2.  Redundancy Sharing
867    For reliability reasons it is recommended that zone operators follow
868    the guidelines documented in [RFC2182] which recommends that multiple
869    name servers be configured for each zone and that the name servers
870    are separated both physically and via connectivity routes.  A common
871    solution is to establish DNS-serving partnerships: "I'll host your
872    zones and you'll host mine".  Both entities benefit from increased
873    DNS reliability via the wider service distribution.  This frequently
874    occurs between cooperating but otherwise unrelated entities (such as
875    between two distinct companies) as well as between affiliated
876    organizations (such as between branch offices within a single
877    company).
879    The configuration of these relationships are currently required to be
880    manually configured and maintained.  Changes to the list of zones
881    that are cross-hosted are manually negotiated between the cooperating
882    network administrators and configured by hand.  A management protocol
883    with the ability to provide selective authorization, as discussed in
884    Section 4.4, would solve many of the management difficulties between
885    cooperating organizations.
887 A.3.  DNSSEC Management
889    There are many different DNSSEC deployment strategies that may be
890    used for mission-critical zones.  The following list describes some
891    example deployment scenarios that might warrant different management
895 Hardaker                 Expires August 16, 2009               [Page 16]
897 Internet-Draft     Name Server Management Requirements     February 2009
900    strategies.
902       All contents and DNSSEC keying information controlled and operated
903       by a single organization
905       Zone contents controlled and operated by one organization, all
906       DNSSEC keying information controlled and operated by a second
907       organization.
909       Zone contents controlled and operated by one organization, zone
910       signing keys (ZSKs) controlled and operated by a second
911       organization, and key signing keys (KSKs) controlled and operated
912       by a third organization.
914    Although this list is not exhaustive in the potential ways that zone
915    data can be divided up, it should be sufficient to illustrate the
916    potential ways in which zone data can be controlled by multiple
917    entities.
919    The end result of all of these strategies, however, will be the same:
920    a live zone containing DNSSEC related resource records.  Many of the
921    above strategies are merely different ways of preparing a zone for
922    serving.  A management solution that includes support for managing
923    DNSSEC zone data may wish to take into account these potential
924    management scenarios.
927 Author's Address
929    Wes Hardaker
930    Sparta, Inc.
931    P.O. Box 382
932    Davis, CA  95617
933    US
935    Phone: +1 530 792 1913
936    Email: ietf@hardakers.net
951 Hardaker                 Expires August 16, 2009               [Page 17]