特定のエンティティーのみからの動的更新を許可するように、ネーム・サーバーを構成することができます。 ADNR が更新するネーム・サーバーが、ネーム・サーバーを更新できるエンティティーを制限するように構成される場合、ADNR は、そのネーム・サーバーを更新するように特に許可される必要があります。 通常、ネーム・サーバーは、事前に決定された 1 組のソース IP アドレス (アクセス・コントロール・リスト (ACL) と呼ばれる場合があります) からの動的更新を許可します。または、デジタル署名による認証 (トランザクション署名 (TSIG) と呼ばれる場合があります) を必要とする場合もあります。デジタル署名を使用する認証は、ソース IP アドレスによる認証よりもセキュア度がはるかに高くなります。これは、ソース IP アドレスによる認証が、アドレス・スプーフィングの対象となるからです。さらに、ADNR が使用するソース IP アドレスが、完全に予測不能である可能性があります。ただし、TCP/IP プロファイル内で意図的なステップを実施して、ジョブ固有のソース IP アドレスの指定や、その他の形式の SOURCEVIPA 構成のようなメカニズムを使用して、予測可能にする場合は除外します。 ADNR が使用する予測不能なソース IP アドレスの影響を少なくするためのその他の可能なオプションには、ネーム・サーバーの ACL のサブネットの使用が含まれます。 しかし、これは、そのサブネット内の任意のエンティティーからの更新が可能になるので、セキュリティーが損なわれます。
BIND 9 ネーム・サーバーの場合、動的更新は、allow-update ステートメントを使用して ACL によって許可されるか、update-policy または allow-update ステートメントを使用してデジタル署名によって許可されます。
デジタル署名 (TSIG) を使用して動的更新が許可される場合、ネーム・サーバーと ADNR は、同じ共用暗号鍵を使用して構成されなければなりません。 この鍵を生成するには、dnssec-keygen ユーティリティーを使用します。次に、ネーム・サーバーに対してこの鍵を定義し、その鍵を使用するネーム・サーバー・ゾーン定義から鍵を参照します。
また、key 構成ステートメントを使用して ADNR に対して TSIG 鍵を定義してから、その TSIG 鍵を dns ステートメントの zone キーワードの update_key キーワードから参照する必要があります。 鍵ファイルは、無許可アクセスから保護されなければなりません。 ADNR には、そのファイルに対する読み取りアクセス権が必要です。.key 鍵ファイル名のみが update_key キーワードで実際に指定される場合であっても、ADNR がネーム・サーバーと適切に通信するには、dnssec-keygen ユーティリティーによって生成される .key と .private 鍵ファイルの両方が存在する必要があります。