Nahtlose DNS-Migration: Ihr Leitfaden

Eines der ersten Dinge, die Sie tun, wenn Sie umgezogen sind, ist die Änderung Ihrer Adresse. Diese Aktualisierung ist nicht unbedingt kompliziert, aber sie ist unerlässlich: Andernfalls könnte wichtige Post an Ihre alte Adresse geschickt werden, und weder Sie noch der Absender würden wissen, dass die Post nicht zugestellt wurde.

Die DNS-Migration ist ähnlich. Wenn diese nicht ordnungsgemäß durchgeführt wird, kann Ihre Website für Benutzer unzugänglich werden, E-Mails könnten nicht ankommen, was Kommunikationsprobleme mit Kunden bedeuten kann, Integrationen könnten nicht mehr funktionieren und vieles mehr. Im Grunde können Kunden Ihr Unternehmen nicht unter der richtigen Adresse erreichen, was zu einer Reihe von negativen Folgen führen kann.

Das Domain Name System (DNS) ist wie ein Telefonbuch oder Verzeichnis für das Internet. Es ermöglicht einem Benutzer, zu einer Website zu navigieren, indem er einen leicht zu merkenden Domainnamen wie IBM.com anstelle einer Zahlenfolge (in diesem Fall 184.85.75.7) verwendet.

Aber DNS beinhaltet viel mehr als eine einfache Übersetzung, und die Servicequalität eines verwalteten DNS-Anbieters kann sich auf Leistung, Zuverlässigkeit, Latenz, Sicherheit, Datenschutz und mehr auswirken. Wenn der DNS-Service eines Anbieters nicht den Erwartungen oder Anforderungen entspricht, suchen Unternehmen möglicherweise einen neuen Anbieter. Wenn dies der Fall ist, müssen sie eine DNS-Migration planen.

Die DNS-Migration, bei der ein Unternehmen die DNS-Einträge und -Einstellungen einer Domain von einem Anbieter zu einem anderen überträgt, muss nicht das mühsame Unterfangen sein, als das es oft dargestellt wird. Allerdings birgt es Risiken und potenzielle Probleme, wenn es nicht richtig durchgeführt wird. Fehler bei der DNS-Migration können zu Ausfallzeiten, Netzwerkschwachstellen und mehr führen. Hier erfahren Sie, wie Sie sicherstellen können, dass das nicht passiert.

Weitere Informationen zum DNS-Lookup-Prozess finden Sie hier.

Die einfache Antwort ist, dass nicht alle DNS-Anbieter die gleichen Dienste oder die gleiche Qualität der Dienste anbieten. Die Leistung ist ein wichtiges Merkmal, aber nicht das einzige Kriterium.

Beispielsweise kann ein DNS-Anbieter auch Sicherheitsfunktionen bereitstellen, um DNS-Spoofing zu verhindern und den Zugriff auf bekannte oder mutmaßlich bösartige Domänen zu blockieren. Die Überwachungs- und Protokollierungsfunktionen variieren von Anbieter zu Anbieter. Einige DNS-Anbieter bieten einen Lastausgleich für Failover an, bei dem mehrere redundante Webserver DNS-Anfragen bearbeiten, um eine Überlastung eines Servers zu vermeiden, oder ein globales Content-Delivery-Netzwerk (CDN), das dabei hilft, Inhalte näher an den Benutzern zwischenzuspeichern. Natürlich können auch die Kosten ein Faktor bei der Entscheidung für einen Wechsel des DNS-Anbieters sein.

Unternehmer müssen den Service wählen, der am besten zu ihren Geschäftsanforderungen passt. Diese Bedürfnisse entwickeln sich oft weiter, und die DNS-Anforderungen können sich ebenfalls weiterentwickeln. Wenn die Dienste eines aktuellen DNS-Anbieters den Anforderungen eines Unternehmens nicht mehr genügen, können Unternehmensleiter die Migration ihrer DNS-Einträge und -Verwaltung zu einem neuen Anbieter in Betracht ziehen.

Generell gibt es einen wesentlichen Grund, warum viele Unternehmen zögern: Sie denken, dass die Migration zu schwierig ist und dass jede Änderung zu Ausfallzeiten führt. Das ist eine berechtigte Sorge, aber eine, die durch sorgfältige Planung und Ausführung gemildert werden kann.

Der erste Schritt bei einer DNS-Migration besteht darin, den Grund (oder die Gründe) für die Migration zu benennen. Welche Vorteile möchte das Unternehmen, die es derzeit nicht hat? Welche Probleme muss das Unternehmen lösen? Wenn ein Unternehmen beispielsweise das DNS eines kleinen Internetdienstanbieters (Internet Service Providers, ISP) nutzt, kann es feststellen, dass die Lösungszeiten in den dreistelligen Millisekundenbereich gehen. In diesem Fall könnte die Verbesserung der Geschwindigkeit eine Priorität sein.

Sobald das Unternehmen die Gründe für die Migration identifiziert hat, können IT-Teams verschiedene Dienste vergleichen, um die richtige Mischung aus Funktionen, Service und Kosten zu finden. Die verschiedenen Anbieter bieten unterschiedliche Besonderheiten für das Onboarding einer Migration, aber es gibt einige allgemeine Richtlinien, die Sie beachten sollten.

Nachdem das Migrationsteam einen Anbieter ausgewählt hat, muss es alle Datensätze und zugehörigen Informationen vom vorherigen DNS-Anbieter sammeln. Diese Datensätze können Folgendes enthalten:

Diese Einträge bieten eine direkte Übersetzung von Domainnamen in IP-Adressen. A-Einträge verweisen auf IPv4-Adressen, AAAA-Einträge hingegen auf IPv6-Adressen. IPv6 wird immer häufiger verwendet. Es bietet eine viel größere Anzahl einzigartiger IP-Adressen und umfasst einige grundlegende Sicherheits- und Geschwindigkeitssteigerungsfunktionen.

Kanonische Namensdatensätze oder CNAME-Datensätze verweisen eine Alias-Domain auf eine kanonische Domain. Das bedeutet, dass diese Art von Datensatz verwendet wird, um Subdomains mit A- oder AAAA-Domain-Datensätzen zu verknüpfen.

DNAME-Datensätze (Delegation Name Records) werden verwendet, um mehrere Subdomains mit einem Datensatz umzuleiten und sie auf eine andere Domain zu verweisen.

Zertifizierungsstellen-Autorisierungsdatensätze (CAA-Datensätze) ermöglichen es Domainbesitzern festzulegen, welche Zertifizierungsstellen (CAs) Zertifikate für ihre Domain ausstellen dürfen. Eine CA ist eine Einrichtung, die die Identität von Websites validiert und sie mit kryptografischen Schlüsseln verbindet, indem sie digitale Zertifikate ausstellt.

Text- oder TXT-Datensätze speichern Textinformationen zu Domains und Subdomains. Textdatensätze ermöglichen die Speicherung von SPF-Datensätzen (Sender Policy Framework) und E-Mail-Verifizierungsdatensätzen. DKIM- und DMARC-Datensätze, die in TXT-Datensätzen gespeichert sind, helfen E-Mail-Servern zu bestätigen, dass eine Nachricht von einer zuverlässigen Quelle stammt.

SOA-Datensätze (Start of Authority) speichern wichtige administrative Informationen über eine Domain. Zu diesen Informationen können die E-Mail-Adresse des Domänenadministrators, Informationen zu Domänenaktualisierungen und der Zeitpunkt, zu dem ein Server seine Informationen aktualisieren sollte, gehören.

Nameserver- oder NS-Datensätze zeigen an, welcher DNS-Server als autoritativer Nameserver für Ihre Domain fungiert. Autoritative Nameserver enthalten die endgültigen Informationen über eine bestimmte Domain und die zugehörige IP-Adresse. Ein NS-Datensatz verweist auf alle verschiedenen Datensätze, die Ihre Domain enthält. Ohne NS-Datensätze können Benutzer nicht auf Ihre Website zugreifen.

DNS-Zonen sind Unterteilungen innerhalb eines DNS-Namespace. IBM.com verfügt beispielsweise über eine separate DNS-Zone unter research.ibm.com. Diese Subdomänen sind groß genug, um von einer individuellen Verwaltung und Überwachung zu profitieren. DNS-Zonendateien umfassen die meisten der oben genannten Dateitypen: SOA-Einträge, A- und AAAA-Einträge und mehr.

Es gibt auch andere DNS-Datensatztypen. Weitere Informationen finden Sie in diesem Leitfaden .

Einige Anbieter bieten Automatisierung zum Sammeln, Exportieren und Importieren von DNS-Einträgen für Sie an, aber es ist oft ratsam, zusätzlich ein manuelles Backup durchzuführen: fehlende Einträge können zu schwerwiegenden Problemen führen. Sie sollten außerdem eine Kopie dieser Dateien an einem sicheren Ort speichern.

Ein potenzielles Problem in diesem Prozess könnte DNSSEC sein, die Sicherheitserweiterungen des Domain Name Systems. DNSSEC bietet eine wertvolle Suite von Sicherheitsvorkehrungen, die durch die Überprüfung von Signaturen die Genauigkeit gewährleisten und DNS-Spoofing und andere Angriffe verhindern.

Der DNS-Migrationsprozess kann jedoch unterschiedliche Signieralgorithmen einführen, die die Kette unterbrechen und Ausfälle verursachen. Es gibt verschiedene Lösungen für dieses Problem: Einige Anbieter bieten ein DNSSEC-spezifisches Migrationstool an, das diese Sicherheit aufrechterhält. Für andere kann es notwendig sein, DNSSEC vor der Migration zu deaktivieren und nach Abschluss der Migration wieder zu aktivieren.

Eine weitere empfohlene Vorgehensweise ist die Senkung der TTL-Werte (Time to Live). Dies ist die Zeitspanne, während der rekursive Resolver – oder rekursive Server, die erste Station einer DNS-Abfrage – die IP-Adressen kürzlich besuchter Websites im Cache speichern. Durch das Caching muss die IP-Adresse nicht erneut nachgeschlagen werden, was zu schnelleren Verbindungen beiträgt.

Wenn eine TTL beispielsweise auf 24 Stunden eingestellt ist, versucht der Browser eines Benutzers, der versucht, eine Website zu besuchen, die ihren DNS-Server innerhalb dieses Zeitrahmens migriert hat, die alte IP-Adresse aufzurufen, was wahrscheinlich zu einem Fehler führt. Indem Sie die TTL auf einen sehr niedrigen Wert setzen, beispielsweise nur ein paar Minuten, können Sie dieses Problem vermeiden.

Es ist sinnvoll, die Migration schrittweise und nicht auf einmal durchzuführen. Mithilfe von Staging kann das Migrationsteam jede Funktion einzeln auf Fehler überprüfen, anstatt mühsam herauszufinden, was während des gesamten Vorgangs schiefgelaufen ist.

Nachdem das Team die vorhandene DNS-Dokumentation exportiert und in den Dienst des neuen DNS-Anbieters importiert hat, sollte es die Dokumente überprüfen und verifizieren, um sicherzustellen, dass dabei nichts verloren gegangen ist. Ein Tool wie [dig] kann bei der Überprüfung helfen. [Dig] oder Domain Information Groper ist ein Befehlszeilentool, mit dem Benutzer DNS-Dokumente überprüfen können, von einfacher IP-Adresse bis hin zu TXT, SOA und mehr. Nslookup ist ein weiteres Befehlszeilentool, wenn auch einfacher als [dig], das weniger detaillierte Ergebnisse zurückgibt.

Anschließend kann das Team mit der schrittweisen Übertragung beginnen: Webhosting, E-Mail-Dienste, dann APIs und andere Dienste von anderen Anbietern. Es ist eine gute Idee, wenn jemand aus dem Team jedes einzelne Element im Verlauf der Migration überprüft und Fehler behebt. Konfigurieren Sie erweiterte Einstellungen, z. B. die Aktivierung von DNSSEC. Sobald alles auf einem Testserver getestet wurde, kann das Team mit der Aktualisierung der Informationen beim Registrar fortfahren.

Wenn Domain-Registrar und DNS-Anbieter des Unternehmens unterschiedlich sind – zum Beispiel IBM NS1 Connect für DNS und GoDaddy für die Domainregistrierung – muss sich das Team beim Domainregistrierungsservice anmelden und die Nameserver-Einträge aktualisieren. Wenn das Unternehmen denselben Anbieter für DNS und Registrierung verwendet, kann dies oft automatisch erfolgen. Sie müssen auf Ihrem Webhost selbst nichts ändern, wenn Sie nicht auch Ihren Hosting-Provider wechseln. 

Ein wichtiger Faktor: Löschen Sie das alte DNS noch nicht. Dies liegt an der DNS-Verbreitung. DNS-Einträge ändern sich nicht sofort im gesamten Internet – es dauert eine Weile, bis die verstreuten Domänenserver ihre Einträge gesucht und aktualisiert haben. Das Team kann den Datensatzstatus regelmäßig mit Online-Tools wie WhatsMyDNS.net überprüfen. In der Regel dauert es höchstens ein oder zwei Tage, aber während dieser Zeit sollten sowohl Ihr alter als auch Ihr neuer DNS-Dienst laufen, während die Domain-Server ihre Einträge aktualisieren. Dadurch wird sichergestellt, dass es für die Benutzer zu keinen Ausfällen kommt.

Sobald die Verbreitung abgeschlossen ist, ist die Migration im Wesentlichen abgeschlossen. Es sind nur noch einige leichte Abschlussarbeiten zu erledigen. Dazu gehören:

TTL auf Normalwert zurücksetzen: Erhöhen Sie die TTL wieder auf 24 Stunden bzw. den vorherigen Wert, um das Caching für Benutzer zu aktivieren.

Aktualisierung der internen Dokumentation: Stellen Sie sicher, dass DNS-Informationen – Kontonummer, Abrechnungszyklen usw. – in den Unternehmensdatensätzen aktualisiert werden, um Verwirrung zu vermeiden.

Überwachen: Überprüfen Sie die Leistung und andere Metriken nach der Migration. IT-Teams können DNS-Protokolle auf Fehler oder Zeitüberschreitungen überprüfen, neue Antwortzeiten verfolgen, Warnungen für Ausfallzeiten einrichten und regelmäßig nach Verbreitung suchen. Viele DNS-Anbieter verfügen über interne Überwachungstools. Tools von Drittanbietern sind ebenfalls verfügbar.

Weitere Informationen zu verwalteten DNS-Diensten finden Sie hier.