16. Oktober 2024
Ein primärer DNS-Server ist der wichtigste autoritative Nameserver für eine Domain im Domain Name System (DNS). Er dient als definitive Informationsquelle über eine Domain und speichert Originalkopien aller DNS-Einträge der Domain (einschließlich aller IP-Adressen und Subdomains).
Das DNS-System wird verwendet, um menschenfreundliche Domainnamen mit computerfreundlichen IP-Adressen zu verbinden und Internetnutzern den Zugriff auf die gesuchte Website zu ermöglichen.
Wenn ein Benutzer einen Domainnamen in einen Webbrowser eingibt, kommuniziert der Computer des Benutzers mit einem DNS-Resolver, der durch das DNS-System navigiert, um einen autoritativen Nameserver (oft den primären Server, aber manchmal auch den sekundären, wenn der primäre Server ausgefallen oder überlastet ist) mit der IP-Adresse für die angeforderte Website zu erreichen. Diese entsprechende IP-Adresse wird an den Benutzer zurückgesendet und der Benutzer wird mit der Website verbunden.
Auf dem primären DNS-Server konfiguriert ein Administrator Zonen und DNS-Einträge für eine Domain. Sekundäre Server werden eingerichtet, um das System ausfallsicherer zu machen. Diese Server enthalten vollständige Kopien der Datensätze, die in der Zone auf dem Primärserver konfiguriert sind, und werden für die Auflösung von Abfragen verwendet, wenn ein Primärserver nicht verfügbar ist.
Unternehmen können Dutzende von Servern einrichten, und die Zone (und die darin enthaltenen Datensätze) werden vom primären Nameserver auf alle sekundären Server kopiert.
Primäre DNS-Server enthalten auch die SOA-Einträge (Start of Authority) einer Domain, die eine Art Versionskontrollsystem darstellen, das sekundäre Server über Aktualisierungen der primären Zonendatei informiert und den Replikationsprozess mit Backup-Servern verfolgt.
Die Unterscheidung zwischen primären und sekundären DNS-Servern ist für Benutzer im Internet nicht sichtbar. Diese Server haben dieselben Informationen und die Unterscheidung ist nur für den Administrator von Bedeutung. Auf dem primären Server werden die Änderungen vorgenommen, während die sekundären Server Kopien vom primären Server erhalten.
Dieses System spielt sowohl bei der Weiterleitung des DNS-Verkehrs als auch bei der Ausfallsicherheit des Netzwerks eine zentrale Rolle.
Bleiben Sie in der Cloud
Abonnieren Sie den wöchentlichen Think-Newsletter und erhalten Sie Tipps von Experten zur Optimierung von Multi-Cloud-Einstellungen in Zeiten von KI.
Das Domain Name System (DNS) macht das Internet für uns nahbarer. Es ist die Komponente des Internetstandardprotokolls, die für die Umwandlung von für Menschen verständlichen Domainnamen in Internetprotokolladressen (IP-Adressen) verantwortlich ist, mit denen sich Computer im Netzwerk gegenseitig identifizieren.
Das DNS wird oft als „Telefonbuch für das Internet“ bezeichnet. Übertragen auf eine modernere Analogie funktioniert das DNS auf eine ähnliche Weise wie die Kontakte-App auf einem Smartphone: Es verknüpft Domainnamen mit IP-Adressen, wie Smartphones es mit Kontakten und Telefonnummern tun. Dort ist es überflüssig, sich einzelne Telefonnummern zu merken, weil sie in leicht durchsuchbaren Kontaktlisten gespeichert werden.
Vergleichbar damit ermöglicht das DNS den Nutzern, Websites über Domainnamen anstelle von IP-Adressen aufzurufen. Anstatt sich beispielsweise merken zu müssen, dass sich der Webserver unter „93.184.216.34“ befindet, können die Benutzer auf die Webseite „www.example.com“ gehen, um die gewünschten Ergebnisse zu erzielen.
Der primäre DNS-Server verfügt über Nameserver-Einträge (NS), A-Einträge, MX-Einträge und CNAME-Einträge (neben anderen Typen), die die entsprechenden Daten und Informationen an den Benutzer zurückleiten.
Entscheidend ist, dass der primäre Server auch den SOA-Eintrag für eine Domäne enthält. SOA-Einträge enthalten verbindliche Informationen zu einer Domäne, darunter den primären Nameserver, die E-Mail-Adresse des Administrators, Aktualisierungsintervalle (die die Häufigkeit der Zonenaktualisierungen festlegen) und die Seriennummer der Domäne.
Wenn eine Domain registriert wird, werden ihre Nameserver-Einträge (NS) erstellt und auf einem primären DNS-Server gespeichert, der in der Regel von einem Hosting-Unternehmen oder einem Anbieter von DNS Services bereitgestellt wird. Und wenn ein Administrator DNS-Einträge ändern oder aktualisieren möchte, muss er dies auf dem primären DNS-Server tun. Die Änderungen werden dann auf alle sekundären Server übertragen.
Serveradministratoren können jeden DNS-Server als primär oder sekundär festlegen. Tatsächlich können Server in einer Zone als primär und in einer anderen als sekundär festgelegt werden. Jede DNS-Zone kann jedoch nur einen einzigen primären Server haben.
Ein Benutzer gibt einen Domainnamen in einen Browser oder eine App ein und die Anfrage geht an einen rekursiven Resolver. Normalerweise verfügt das Gerät des Benutzers über vordefinierte DNS-Einstellungen, die vom Internetdienstanbieter (Internet Service Provider, ISP) bereitgestellt werden und bestimmen, welcher Resolver bereitgestellt wird.
Der Resolver sucht in seinem DNS-Cache (dem temporären Speicher eines Webbrowsers oder eines Betriebssystems wie Windows oder Linux) nach der entsprechenden IP-Adresse der Domain. Wenn die DNS-Abfragedaten nicht zwischengespeichert sind, ruft der Resolver sie vom autoritativen DNS-Server ab, der die DNS-Zonendatei durchsucht, den DNS-Eintrag für eine durch die Time-to-live (TTL) des Eintrags festgelegte Zeit zwischenspeichert und die entsprechende IP-Adresse an das Gerät des Benutzers zurückgibt.
Dann kann der Browser oder die App eine Verbindung zum Host-Server unter dieser IP-Adresse herstellen und auf die angeforderte Website oder den Service zugreifen.
DNS-Server werden je nach ihrer Rolle als „primär“ und „sekundär“ kategorisiert. Während der primäre DNS-Server die maßgebliche Quelle für die DNS-Einträge einer Domain ist und über die ursprüngliche Lese-/Schreibversion der Zonendatei verfügt, halten sekundäre DNS-Server schreibgeschützte Repliken der Zonendatei für Lastausgleich und Redundanzmanagement bereit. Wenn ein primärer Server ausgefallen ist, werden Abfragen automatisch an einen sekundären Server weitergeleitet, der die Anfrage erfüllt.
Sekundäre DNS Server sind nicht unbedingt erforderlich. DNS-Systeme können funktionieren, wenn nur ein primärer Server verfügbar ist. Es ist jedoch Standard und wird oft von den Domainregistrierungsstellen verlangt, mindestens einen sekundären Server zu unterhalten, um Round-Robin-DNS zu ermöglichen (das den Datenverkehr gleichmäßig auf jeden Server verteilt), Denial-of-Service-Angriffe zu verhindern und ganz allgemein die Ausfallsicherheit eines Systems zu erhöhen. Wenn ein Server oder mehrere Server ausfallen, gibt es ein Backup, das den Benutzer mit der gesuchten Website verbinden kann.
Sowohl primäre als auch sekundäre Server tragen dazu bei, die Effizienz von DNS-Systemen aufrechtzuerhalten. Wenn Sie sie zusammen verwenden, können Benutzeranfragen von jedem verfügbaren Server gelöst werden, unabhängig vom primären oder sekundären Status. Lassen Sie uns jedoch die Unterschiede zwischen primären und sekundären DNS-Servern näher erläutern.
Funktion
Der primäre DNS-Server speichert nicht nur die primäre Zonendatei, sondern reagiert auch auf Aktualisierungsanfragen des Domainadministrators und verarbeitet dynamische Aktualisierungen. Sekundäre Zonenserver sind Backup-Server, die Anfragen während der Ausfallzeit des primären Servers oder bei Überlastung des primären Servers bearbeiten.
Verwaltung und Synchronisierung von Zonendateien
Die primäre Zonendatei im primären Nameserver enthält alle A-Einträge (Adresseinträge für IPv4), AAAA-Einträge (Adresseinträge für IPv6), MX-Einträge (die auf Mailserver verweisen), CNAME-Einträge (die Aliase ihren echten oder „kanonischen“ Domainnamen zuordnen), SOA-Einträge (die alle Verwaltungsinformationen für eine Domain enthalten) und TXT-Einträge (die das Sender Policy Framework für die E-Mail-Authentifizierung angeben) für eine bestimmte Domain. Der Administrator verwaltet diese Datei direkt, und alle Aktualisierungen oder Änderungen an DNS-Einträgen werden hier zuerst vorgenommen.
Sekundäre DNS-Server sind Replikate der Zonendatei, die vom primären Server übertragen werden. Sie können keine direkten Änderungen an der Zonendatei vornehmen. Stattdessen prüfen sie in regelmäßigen Abständen den Primärserver auf Aktualisierungen in einem Prozess, der als Zonentransfer bezeichnet wird.
Konfiguration
Die Konfiguration eines primären DNS umfasst die Einrichtung der Zonendatei, der Ressourcendatensätze und der Zugriffskontrollen und kann die Einrichtung autoritativer und inkrementeller Zonentransfers (AXFRs und IXFRs) an bestimmte sekundäre Server beinhalten.
Bei sekundären DNS-Konfigurationen müssen die Administratoren Kommunikationsprotokolle zwischen dem primären und dem sekundären Server für die Übertragung von Zonendaten einrichten und die Häufigkeit der Check-ins mit dem primären Server für Updates festlegen.
Redundanz und Failover
Der primäre DNS-Server ist zwar unverzichtbar, stellt aber auch einen Single Point of Failure dar. Wenn er ausfällt und es keine ausgewiesenen Sekundärserver gibt, um die Workloads zu übernehmen, kann der gesamte DNS-Auflösungsprozess darunter leiden. Sekundäre Server können ohne einen primären DNS-Server nicht existieren, aber wenn der primäre Server ausfällt, können die sekundären Server den DNS-Betrieb aufrechterhalten, bis der primäre Server wiederhergestellt ist.
Administratoren verlassen sich auf sekundäre DNS-Server, um den primären Server zu unterstützen und die Ausfallsicherheit des Systems zu maximieren.
Da sekundäre Server über vollständige Kopien aller Einträge auf dem autoritativen Nameserver verfügen, können sie für den primären Server einspringen, wenn dieser ausfällt oder anderweitig nicht verfügbar ist. Müsste der Systemadministrator jedoch Kopien manuell erstellen und verwalten, würde dies zu einer Verzögerung zwischen primären und sekundären Servern führen. Stattdessen automatisieren der primäre und der sekundäre DNS den Kopiervorgang.
Wenn ein Administrator eine Änderung am Primärserver vornimmt, ändert sich die in den SOA-Einträgen enthaltene Domain-Seriennummer in die nächste Nummer in der Reihenfolge (wenn die Seriennummer beispielsweise SOA 1 war, ändert sie sich in SOA 2).
In einer herkömmlichen DNS-Konfiguration meldet sich der sekundäre Nameserver in bestimmten Abständen beim primären Server an, um die aktuelle SOA-Seriennummer zu erhalten. Wenn der Primärserver eine Änderung meldet, stellt der Sekundärserver eine AXFR- oder IXFR-Anfrage, um das Kopieren einzuleiten. Anschließend sendet der primäre Server die Aktualisierungen zusammen mit der aktualisierten SOA-Seriennummer an den sekundären Server zurück.
Diese DNS-Konfiguration zwingt sekundäre Server dazu, XFR-Pull-Anfragen zu initiieren, um zu erfahren, dass der primäre Server geändert wurde, was einen zusätzlichen Schritt darstellt, der das DNS verlangsamt.
Modernere Konfigurationen verwenden jedoch das 'NOTIFY'-Protokoll, mit dem der primäre Nameserver eine UDP-Nachricht (User Datagram Protocol) an den Backup-Server senden kann, sobald ein Administrator eine Änderung vornimmt. Die sekundären Server überprüfen dann die SOA-Seriennummer, um die Änderung zu bestätigen und die Pull-Anforderung für Aktualisierungen zu initiieren.
Mit diesem Ansatz für primäres und sekundäres DNS können Systemadministratoren die Zuverlässigkeit und Ausfallsicherheit des Systems maximieren. Außerdem hält es die Server synchron und sorgt dafür, dass die Benutzer auf jedem Server die aktuellsten Informationen abrufen können.
Die Verwendung von primärem und sekundärem DNS ist zwar die gängigste Methode, um im Internet Zuverlässigkeit durch Redundanz zu erreichen, aber die Praxis ist nicht ohne Herausforderungen. Der primär-sekundäre Ansatz kann oft keine fortgeschrittenen Funktionen wie Global Server Load Balancing (GSLB) unterstützen.
Tools zur Steuerung des Datenverkehrs wie GSLB leiten den Benutzerverkehr auf der Grundlage der geografischen Nähe zu den DNS-Servern. DNS-Router senden Anfragen automatisch an den nächstgelegenen verfügbaren Server, um den Auflösungsprozess zu beschleunigen.
Diese Funktion ist jedoch oft proprietär und kann nicht über XFR übertragen werden. Ein Domain-Administrator kann GSLB auf dem primären Nameserver einrichten, aber er ist nicht in der Lage, die Konfiguration auf sekundäre Server zu übertragen.
Um dieses Problem zu lösen, können Unternehmen Anbieter mit einem proprietären System wählen, das mehrere Server in der ganzen Welt unterstützen kann. Mit Anycast DNS können Administratoren beispielsweise eine IP-Adresse – oder eine Reihe von IP-Adressen – mehreren geografisch verteilten Servern zuweisen.
Anstelle der Eins-zu-Eins-Kommunikation, die mit dem herkömmlichen DNS verbunden ist, ermöglicht Anycast eine Eins-zu-Viele-Kommunikation. Wenn also ein Benutzer eine Anfrage stellt, geht diese an ein Netzwerk von Resolvern (statt an einen einzigen Resolver) und an den nächstgelegenen verfügbaren Server zur Auflösung.
Oder, wenn Sie mehrere Anbieter verwenden, können Sie mehrere primäre Nameserver einrichten und den Benutzer zwischen ihnen platzieren. Anstatt sich auf sekundäre DNS- und XRF-Übertragungen zu verlassen, würde ein Administrator alle Server direkt konfigurieren, indem er eine API verwendet.
Sowohl das primäre als auch das sekundäre DNS sind für die Weiterleitung von Anfragen wichtig. Die Pflege und Optimierung der primären DNS-Server kann daher das gesamte DNS-System beschleunigen. Unternehmen können das Beste aus ihrem DNS herausholen, indem sie die folgenden Practices anwenden.
Verwendung eines seriösen primären Anbieters
Die Wahl eines DNS-Anbieters mit hoher Betriebszeit, umfassenden Redundanzprotokollen und einem gut erreichbaren Kundensupport kann dazu beitragen, dass DNS-Anfragen schnell und zuverlässig beantwortet werden.
Berücksichtigung von kostenlosem und Premium-DNS
Die Angebote der primären DNS-Anbieter reichen von öffentlichen DNS-Services bis hin zu hochwertigen, verwalteten DNS-Servern. Welche Lösung für ein Unternehmen am besten geeignet ist, hängt von den organisatorischen Anforderungen,1 den Budgets und der Komplexität ab. Während die Nutzung des öffentlichen DNS den Kunden einen offenen, kostenlosen DNS-Zugang bietet, kann eine Migration zu Premium DNS eine präzisere Kontrolle ermöglichen.
Über DNS-Bedrohungen informiert bleiben
Wenn Sie sich über die neuesten DNS-Schwachstellen und Bedrohungen (wie DNS-Tunneling, DDoS-Angriffe und Cache-Spoofing) auf dem Laufenden halten und Firewalls, Domain Name System Security Extensions (DNSSECs) und andere Sicherheitsmaßnahmen einsetzen, können Sie DNS-Server2 absichern und das Risiko verringern.
DNS-Einträge auf dem neuesten Stand halten
Die zeitnahe und häufige Aktualisierung von DNS-Einträgen, um Änderungen an IP-Adressen, Infrastruktur und Diensten zu berücksichtigen, erleichtert eine konsistente und genaue Domainauflösung.
Die herkömmliche primäre/sekundäre DNS-Architektur ist bei modernen Managed DNS -Anbietern inzwischen obsolet. Heute bieten die meisten Anbieter Nameserver-IPs zur Nutzung an. Hinter jeder dieser IPs befindet sich ein Pool von DNS-Servern, die Anfragen mithilfe von Anycast (einem One-to-Many-Transportprotokoll) weiterleiten. Dieser Ansatz bietet in der Regel eine bessere Redundanz und höhere Verfügbarkeit als das klassische Modell.
Doch selbst bei erweiterten DNS-Bereitstellungen können sekundäre DNS-Services Unternehmen in den folgenden Bereichen helfen:
Migration auf eine neue DNS-Infrastruktur mit Abhängigkeiten von alten DNS-Servern
Mit sekundärem DNS können Teams auf Tools, Code und ältere Systeme zugreifen, die auf einen alten DNS-Server verweisen, der in ihrem Unternehmen gehostet wird. Während der Architekturmigration können Administratoren mit sekundären Servern den sekundären DNS-Anbieter festlegen, ohne die Abhängigkeiten zu unterbrechen. Dadurch bleiben alle bestehenden Prozesse synchron, aber der neue DNS-Server kann reagieren, wenn die internen Server langsamer werden oder ausfallen.
Vermeidung von Single Points of Failure
Für viele Unternehmen mit stark frequentierten Websites und geschäftskritischen Webanwendungen sind Ausfälle nicht zu tolerieren. Die Verwendung sekundärer Nameserver hilft Administratoren, einen Single Point of Failure zu vermeiden, wenn bei primären DNS-Servern Latenz oder andere Probleme auftreten.
Einrichtung von redundantem DNS mit einem Managed Service
Managed Services konfigurieren für Ihr Unternehmen eine dedizierte DNS-Bereitstellung, die in einem separaten Netzwerk und auf anderen Servern als der reguläre, verwaltete DNS-Service läuft. Dieser Ansatz erleichtert die Redundanz und ermöglicht es Unternehmen, ihre Services bei einem einzigen Anbieter zu belassen. Außerdem wird die dedizierte Bereitstellung nicht mit anderen Unternehmen geteilt, sodass sie vor Angriffen auf andere Kunden des Services geschützt ist.
Ressourcen
IBM NS1 Connect ist ein vollständig verwalteter Cloud-Service für DNS, DHCP, IP-Adressverwaltung und Steuerung des Anwendungsdatenverkehrs in Unternehmen.
Cloud-Netzwerklösungen von IBM bieten eine leistungsstarke Konnektivität, um Ihre Apps und Ihr Unternehmen zu unterstützen.
Konsolidieren Sie die Rechenzentrumsunterstützung mit IBM Technology Lifecycle Services für Cloud-Netzwerke und mehr.
Fußnoten
1 „Should large enterprises self-host their authoritative DNS?“, IBM.com, 1. Februar 2024
2 „Why DNS protection should be the first step in hybrid cloud security“, (TechRadar, 1. Februar 2024