Was ist eine DNS-Zone?

DNS-Zonen teilen die Zuständigkeiten für verschiedene Segmente des DNS-Namensraums auf, z. B. eine Domain und eine Subdomain, wodurch Administratoren eine präzisere Kontrolle über DNS-Einträge, DNS-Namensserver und andere Komponenten erhalten. Diese Partitionierung kann dazu beitragen, die DNS-Verwaltung und -Orchestrierung zu optimieren und die Workload auf die Nameserver zu verteilen.

Beispielsweise kann die Domain „example.com“ in derselben Zone wie die Subdomains „blog.example.com“ und „community.example.com“ existieren. Wenn Administratoren eine detailliertere Kontrolle benötigen – beispielsweise aufgrund der Anzahl der mit der Community-Site verbundenen Geräte und des Volumens der zugehörigen DNS-Einträge – können sie die Subdomain „community.example.com“ in eine eigene Zone mit einem eigenen autoritativen Nameserver partitionieren.

Eine DNS-Zone gibt an, dass eine Domain oder ein Teil einer Domain von einem bestimmten Administrator verwaltet wird. Eine Zone kann jedoch mehrere Subdomains umfassen und mehrere Zonen können auf demselben autorisierenden DNS-Server vorhanden sein.

DNS-Server. DNS-Zonen implizieren keine physische Trennung, sondern werden zur Kontrolle über verschiedene Teile des Namespace verwendet.

Zonen können dazu beitragen, den mit einer Domain verbundenen administrativen Aufwand zu verringern, die Last von DNS-Abfragen zu verteilen und die Gesamteffizienz und Skalierbarkeit von DNS-Services zu verbessern. Ein effektives Zonenmanagement, das Sicherheitsfunktionen wie DNSSEC und dynamische Updates nutzt, kann die DNS-Sicherheit stärken und Sicherheitsbedrohungen wie DNS-Spoofing und Hijacking-Angriffe reduzieren.

Für das Verständnis von DNS-Zonen ist es wichtig, über Hintergrundwissen zum Domain-Name-System und seiner Funktionsweise zu verfügen.

Das DNS ist eine hierarchische, dezentralisierte Komponente des Internet-Standardprotokolls, die für die Umwandlung von für Menschen verständlichen Domainnamen in Internet Protocol Addresses (IP-Adressen) verantwortlich ist, mit denen sich Computer im Netzwerk gegenseitig identifizieren.¹

Das DNS wird oft als „Telefonbuch für das Internet“ bezeichnet. Übertragen auf eine modernere Analogie funktioniert das DNS auf eine ähnliche Weise wie die Kontakte-App auf einem Smartphone: Es verknüpft Domainnamen mit IP-Adressen, wie Smartphones es mit Kontakten und Telefonnummern tun. Telefone speichern Kontaktnummern in durchsuchbaren Kontaktlisten und machen es überflüssig, dass sich Benutzer einzelne Telefonnummern merken müssen. Vergleichbar damit ermöglicht das DNS den Nutzern, Websites über Domainnamen anstelle von komplexen IP-Adressen aufzurufen.

Wenn ein Benutzer einen Domainnamen in einen Browser eingibt, beginnt die Abfrage (oft als DNS-Anfrage oder DNS-Lookup bezeichnet). Ein rekursiver Resolver – der Vermittler zwischen dem Client-Gerät und autoritativen Servern – fragt dann eine Reihe von Servern ab, um die Informationen zu finden, die er benötigt, um den Benutzer mit der gewünschten Website zu verbinden. Jeder dieser Server ist für ein Segment des Domain-Namespace verantwortlich.

Der Abfrageprozess beginnt mit dem Root-Nameserver. Root-Nameserver stehen an der Spitze der DNS-Hierarchie und sind für die Verwaltung der Root-Zone verantwortlich. Diese Server beantworten Anfragen zu Datensätzen, die in der Root-Zone gespeichert sind, und leiten Anfragen an den entsprechenden Top-Level-Domain (TLD)-Nameserver weiter.

TLD-Nameserver leiten Abfragen an die autoritativen Nameserver für die spezifischen Domains innerhalb ihrer TLD weiter. Der TLD-Nameserver für „.com“ leitet also Domains weiter, die auf „.com“ enden, der TLD-Nameserver für „.gov“ leitet Domains weiter, die auf „.gov“ enden, und so weiter.

Der Domain Name Server (manchmal auch als Second-Level Domain Name Server oder Domain Name Server der zweiten Ebene bezeichnet) enthält die Zonendatei mit der IP-Adresse für den vollständigen Domainnamen, beispielsweise „ibm.com“. Diese Zonendatei kann auch Informationen für eine Subdomain (wie blog.ibm.com/de-de) enthalten oder diese Informationen können in eine eigene Zone aufgeteilt werden.

Jeder dieser Server speichert DNS-Einträge mit Informationen über die Domain, die der rekursive Resolver benötigt, um seine Abfrage fortzusetzen und schließlich aufzulösen.

Eine DNS-Zonendatei ist eine auf DNS-Servern gespeicherte Nur-Text-Datei, die alle Einträge für die Domains innerhalb dieser Zone enthält.

Jede Zeile einer Zonendatei gibt einen Ressourceneintrag an (eine einzelne Information über die Art der Ressource, in der Regel nach Datentyp geordnet). Ressourceneinträge stellen sicher, dass das DNS Benutzer schnell an den richtigen Server weiterleiten kann, wenn ein Benutzer eine Abfrage startet.

DNS-Zonendateien beginnen mit zwei obligatorischen Einträgen: dem Start of Authority (SOA-Eintrag), der den primären autoritativen Nameserver für die DNS-Zone angibt, und der globalen Time to Live (TTL), die angibt, wie Einträge im lokalen DNS-Cache gespeichert werden sollten.

Eine Zonendatei kann mehrere andere Datensatztypen enthalten, darunter:

• A-Einträge, die IPv4-Adressen zugeordnet sind, und AAAA-Einträge, die IPv6-Adressen zugeordnet sind.
  
  
• Mail-Exchanger-Einträge (MX-Einträge), die einen SMTP-E-Mail-Server für eine Domain angeben.
  
  
• Kanonische Namenseinträge (CNAME-Einträge), die Hostnamen von einem Alias auf eine andere Domain (die „kanonische Domain“) umleiten.
  
  
• Nameserver-Einträge (NS-Einträge), die angeben, dass ein DNS-Server an einen bestimmten autoritativen Nameserver angehängt ist.  
  
  
• Pointer-Einträge (PTR-Einträge), die eine umgekehrte DNS-Suche angeben.
  
  
• TXT-Einträge (TXT-Einträge), die das Framework für Absenderrichtlinien für die E-Mail-Authentifizierung angeben.

Die primäre DNS-Zone speichert die primäre Zonendatei mit allen DNS-Einträgen für diese Zone. Es handelt sich um eine Lese-/Schreibkopie, und Zonenaktualisierungen werden in der primären Zone vorgenommen und dann in sekundäre Zonen kopiert. Es kann jeweils nur eine primäre Zone auf einem DNS-Server vorhanden sein.

Eine sekundäre Zone ist eine schreibgeschützte Kopie der primären Zone, die zur Schaffung einer Redundanz und zur Implementierung eines Lastenausgleichs für DNS-Abfragen verwendet wird.

DNS-Anfragen werden in der Regel auf die primären und sekundären Server verteilt. Wenn der primäre Server ausfällt, können die sekundären Server die Last ganz oder teilweise übernehmen, indem sie Zonenübertragungen verwenden – eine Transaktion, die es primären und sekundären Servern ermöglicht, Zonen auszutauschen. Sekundärzonen melden sich auch bei den Primärservern, um sicherzustellen, dass die Replikate auf dem neuesten Stand sind.

Die Forward-Lookupzone übersetzt Domainnamen in IP-Adressen. Wenn ein DNS-Resolver eine Abfrage für einen lesbaren Domainnamen erhält, konsultiert er A- oder AAAA-Zuordnungsdatensätze in der Forward-Lookup-Zone, um die entsprechende IP-Adresse zu finden.

Als Gegenstück zu Forward-Lookupzonen ordnen Reverse-Lookupzonen IP-Adressen mithilfe von PTR-Einträgen (Pointer-Einträge) Domainnamen zu.

Dieses Verfahren kann für die Bereitstellung von Services nützlich sein, die eine Domain-Verifizierung erfordern, oder für Protokollierungszwecke, wenn Teams die mit einer IP-Adresse verknüpfte Domain verstehen müssen (z. B. bei der Fehlerbehebung und Spam-Filterung). Abfragen in Reverse-DNS-Lookup-Zonen verwenden die in-addr.arpa- oder ip6.arpa-Domains.

Stub-Zonen enthalten nur die Einträge, die das System benötigt, um die autoritativen Nameserver für eine Zone zu identifizieren. Sie dienen als Zeiger und verringern die Abhängigkeit von rekursiven Servern für die Abfrage von Zonen höherer Ebenen, um den autoritativen Server zu finden. Die Nähe von Stub-Zonen zu autoritativen Servern trägt dazu bei, den DNS-Abfrageverkehr zu reduzieren und die Lösungszeiten zu verkürzen.

DNS-Zonenübertragungen gewährleisten eine optimale Systemfunktionalität, insbesondere in Umgebungen, in denen Redundanz und Hochverfügbarkeit Priorität haben.

Bei einer vollständigen Zonenübertragung wird der gesamte Inhalt einer Zonendatei vom primären DNS-Server auf sekundäre Server kopiert, wodurch eine exakte Kopie der Zone erstellt wird. Vollständige Zonenübertragungen werden häufig während der Erstkonfiguration sekundärer Server verwendet oder wenn sekundäre Server nach längerer Ausfallzeit neu synchronisiert werden müssen. 

Inkrementelle Zonenübertragungen umfassen nur Änderungen an der Zone, die seit der letzten Übertragung vorgenommen wurden. Da sie weniger Bandbreite und Rechenleistung benötigen, um Synchronisierungsprozesse aufrechtzuerhalten, können inkrementelle Zonenübertragungen in dynamischen Zonen, die häufigen Änderungen unterliegen, nützlich sein.