ゾーン転送は、特定ゾーンの権限ネーム・サーバー間で通常実行される操作です。ゾーン転送が行われるのは、ゾーンの内容の全部または一部が、ネーム・サーバーから要求側に送信される場合です。ADNR は、管理するゾーンの 1 次マスター・ネーム・サーバーにゾーン転送を要求します。特定のエンティティーからのみゾーン転送を許可するように、ネーム・サーバーを構成することができます。 ADNR が更新するネーム・サーバーが、ゾーン転送を実行できるエンティティーを制限するように構成される場合、ADNR は、ゾーン転送を実行するように特に許可される必要があります。 通常、ネーム・サーバーは、事前に決定された 1 組のソース IP アドレス (アクセス・コントロール・リスト (ACL) と呼ばれる場合があります) からのゾーン転送を許可します。または、デジタル署名を使用する認証 (トランザクション署名 (TSIG) と呼ばれる場合があります) を必要とする場合もあります。デジタル署名を使用する認証は、ソース IP アドレスによる認証よりもセキュア度がはるかに高くなります。これは、ソース IP アドレスによる認証が、アドレス・スプーフィングの対象となるからです。さらに、ADNR が使用するソース IP アドレスが、完全に予測不能である可能性があります。ただし、TCP/IP プロファイル内で意図的なステップを実施して、ジョブ固有のソース IP アドレスの指定や、その他の形式の SOURCEVIPA 構成のようなメカニズムを使用して、予測可能にする場合は除外します。
BIND 9 ネーム・サーバーの場合、ゾーン転送は、ACL またはデジタル署名によって (どちらも、allow-transfer ステートメントを使用して) 許可されます。
また、key 構成ステートメントを使用して ADNR に対して TSIG 鍵を定義してから、その鍵を dns ステートメントの zone キーワードの transfer_key キーワードから参照する必要があります。 鍵ファイルは、無許可アクセスから保護されなければなりません。 ADNR には、そのファイルに対する読み取りアクセス権が必要です。.key 鍵ファイル名のみが transfer_key キーワードで実際に指定される場合であっても、ADNR がネーム・サーバーと適切に通信するには、dnssec-keygen ユーティリティーによって生成される .key と .private 鍵ファイルの両方が存在する必要があります。