Was ist ein sekundäres DNS?

Kurze Frage: Würden Sie lieber mit einem Flugzeug fliegen, das mit einem oder zwei Motoren ausgestattet ist? Die meisten Passagiere würden sich wahrscheinlich instinktiv für das Flugzeug mit mehreren Triebwerken entscheiden.

Und das ist der Sinn eines sekundären DNS. Was kann mit einem Unternehmen passieren, wenn ein primärer Server nicht mehr verfügbar ist oder anderweitig eingeschränkt wird? Kann es sich das (oder irgendein) Unternehmen leisten, den Betrieb während dieser Ausfallzeit zum Stillstand zu bringen? Welche negative Botschaft würde das an die Nutzer des Dienstes senden? Aus wirtschaftlicher Sicht kann sich der Nutzungsausfall des primären Servers eines Unternehmens als ebenso katastrophal erweisen wie ein Triebwerksausfall in der Luftfahrt.

Und das betrifft noch nicht einmal den anderen großen Vorteil, den die Anpassung eines sekundären DNS bietet – die meisterhafte Art und Weise, wie es den Lastenausgleich innerhalb des primären DNS-Servers unterstützt.

Bevor wir fortfahren, müssen wir zunächst eine grundlegendere Frage stellen: Was ist ein DNS? Ein Domain Name System fungiert als Übersetzer, der komplexe IP-Adressen aufnimmt und sie in verständlichere Domainnamen umwandelt.

Nehmen wir an, Sie interessieren sich für ein Thema, in dem ein von International Business Machines (IBM) angebotenes Produkt behandelt wird, Sie sind sich aber des Titels nicht sicher. Sie geben „IBM“ in den Webbrowser Ihres Dienstanbieters ein und gelangen so auf die Hauptseite des Unternehmens. Aufgrund des DNS müssen Sie nicht die vollständige IP-Adresse von IBM eingeben. Das DNS geht aufgrund des eingegebenen Suchbegriffs davon aus, dass Sie dorthin möchten.

Manchmal wird ein DNS als „Telefonbuch“ des Internets beschrieben, weil es mit der verwendeten Funktionalität vergleichbar ist, obwohl es vielleicht besser mit einem Telefonisten der alten Schule gleichzusetzen ist. In den vergangenen Jahrzehnten dienten lokale Telefonanbieter als eine Art menschliches DNS, das Ihre angeforderte Nummer nahm und Sie mit der gewünschten Telefonzentrale verband. Das DNS automatisiert jetzt den gesamten Übersetzungsprozess.

Ein Domain Name System hängt von einer etablierten Hierarchie ab, die von Root-Servern verwaltet wird. Unter ihnen in der Hierarchie befinden sich Top-Level-Domains (TLDs), z. B. Adressen, die mit „.com“ und „.org“ enden. Der Rest der Hierarchie besteht aus einzelnen Domain Name Servern.

Ein DNS-System gilt als verteiltes Datenbanksystem, wobei jeder Knoten einen „Name-Server“ darstellt, d. h. den Teil des Systems, der die erforderlichen Übersetzungen für diesen bestimmten Domainnamen bereitstellt. Alle Domains innerhalb dieses Systems enthalten einen oder mehrere „autoritative Name-Server“, die so genannt werden, weil dieser Server Informationen über diese Domain veröffentlicht, sowie alle primären Name-Server untergeordneter Domains, die darin enthalten sind.

Ein DNS funktioniert ganz einfach:

1. Sie geben einen Domainnamen in den Webbrowser ein, den Ihr Internet Service Provider (ISP) anbietet.
2. Das von Ihnen verwendete Gerät sendet eine Suchabfrage an einen DNS-Server.
3. Der DNS-Server durchsucht seine zahlreichen Ressourcen, um die IP-Adresse zu finden, die mit dem Domainnamen aus Ihrer Websuche übereinstimmt.
4. Der DNS-Server sendet die ermittelte IP-Adresse an das von Ihnen verwendete Gerät zurück.
5. Ihr Gerät ruft genau die IP-Adresse auf, die Sie suchen.

Wenn es ein Problem mit dem primären DNS-Server gibt – zum Beispiel, dass er technisch nicht mehr verfügbar oder gerade überlastet ist – tritt der sekundäre DNS-Server in Aktion, führt notwendige Suchen und IP-Adressübersetzungen durch. Aufgrund des sofortigen Betriebs des sekundären DNS durch den Failover-Prozess können die Benutzer auf die Website zugreifen, ohne dass die Funktionalität spürbar eingeschränkt wird.

In ähnlicher Weise übernimmt ein sekundäres DNS die Aufgaben des Mailservers des primären DNS-Servers (einschließlich E-Mail-Routing und Bearbeitung von Mail-Exchange-Einträgen (MX)), sodass das sekundäre DNS dazu beitragen kann, dass der E-Mail-Verkehr nicht beeinträchtigt wird. Auf diese Weise erleidet die Website keine Ausfallzeit, was als Maß echter Resilienz gilt. Das heißt, dass alle Funktionen trotz widriger Bedingungen am Laufen gehalten werden.

Sollte der sekundäre DNS-Server in Betrieb genommen werden, wird er vom primären DNS-Server mit Informationen versorgt. Dies geschieht durch einen Prozess, der als Zonentransfer bekannt ist. Kopien der Zonendateien, die über den Zonentransfer gemeinsam mit dem sekundären DNS-Server genutzt werden, sind schreibgeschützte Dateien, die in keiner Weise verändert werden können.

Zonentransfers hängen stark von der Verwendung von Programmierschnittstellen (APIs) ab, die es primären DNS-Servern ermöglichen, DNS-Zonendaten automatisch auf sekundäre Server zu übertragen. Auf diese Weise können beide DNS-Server dieselben Informationen behalten. APIs bieten dem primären Server die Möglichkeit, mit dem sekundären Server in Kontakt zu treten, sodass er sicherstellen kann, dass er sich im Gleichschritt mit identischen DNS-Einträgen und notierten Zonenübertragungen bewegt.

Der Zonentransferprozess basiert auf der Erstellung von Name-Server-Einträgen (NS-Einträge). NS-Einträge helfen bei der Bestimmung, welche Server für diese Domain als autoritativ gekennzeichnet sind, wodurch die Prioritäten der Domain definiert werden. Vorausgesetzt, die IP-Adresse des sekundären DNS-Servers ist in den NS-Einträgen enthalten, bleibt die Website funktionsfähig, auch wenn ihr primärer Server aus irgendeinem Grund ausfällt.

Zonentransfers werden durch die Ausgabe eines SOA-Datensatzes (Start of Authority) eingeleitet, der sekundäre DNS-Server mit den Daten versorgt, die diese benötigen, um DNS-Zonendaten zu synchronisieren, und zwar in einer Art Versionskontrolle, die Aktualisierungen auf der Grundlage der Seriennummer des SOA-Datensatzes auslöst.

Auf diese Weise werden neue Versionen registriert. Durch die Aktualisierung des sekundären DNS-Dienstes mit neuen Daten aus dem SOA-Eintrag kann eine Domain in Betrieb bleiben, auch wenn der primäre Server ausfällt. So wird verhindert, dass ausgefallene Server die Betriebszeit beeinträchtigen.

Authoritative Zone Transfer (AXFR) ist ein weiteres Protokoll, mit dem DNS-Server Zonendateien austauschen können. AXFR synchronisiert diese Daten mit allen verbundenen Servern, sodass alle mit den aktuellsten verfügbaren Informationen arbeiten können.

Die Verwendung sekundärer DNS-Server bietet zahlreiche Vorteile, einschließlich der folgenden Überlegungen.

Der primäre Vorteil der Implementierung eines sekundären DNS-Servers beruht auf der gleichen Art von Logik, die uns dazu veranlasst, Versicherungen abzuschließen und Notvorräte anzulegen, wenn ein Unwetter droht. Durch das Hinzufügen eines sekundären DNS-Servers erkennen wir eine bedauerliche, aber unvermeidliche Tatsache an: Maschinen und Systeme fallen manchmal aus.

Ein sekundärer DNS-Server begegnet dieser Tatsache, indem er eine Notlösung mit der erforderlichen Redundanz bietet, wenn ein primärer DNS-Server aus irgendeinem Grund ausfällt. Eine Backup-Lösung gibt Unternehmen die mentale Sicherheit, dass die DNS-Dienste des Unternehmens für die Benutzer zugänglich bleiben.

Ein weiterer praktischer Nutzen der Verwendung eines DNS-Systems besteht darin, dass es eine Lastverteilung ermöglicht. Dies wird durch die Bereitstellung mehrerer IP-Adressen für einen einzigen Domainnamen erreicht. Dies wiederum ermöglicht es einem DNS-Server, seinen eingehenden Datenverkehr auf der Grundlage verschiedener Algorithmen auf verschiedene Server zu verteilen.

Wenn der DNS-Server beispielsweise einer Round-Robin-Algorithmuskonfiguration folgt, durchläuft der DNS-Server seine gesamte Liste von IP-Adressen und verteilt die Last gleichmäßig auf mehrere Geräte.

Ein DNS-System kann auch verwendet werden, um die allgemeine Sicherheit zu erhöhen. Durch die Installation einer Firewall in diesem System kann der eingehende Datenverkehr entweder unverändert zugelassen, bei Bedarf gefiltert oder ganz unterbunden werden. Darüber hinaus können Firewalls eingerichtet werden, die nur autorisierte DNS-Anfragen zum Erreichen sekundärer DNS-Server zulassen.

Eine weitere Möglichkeit, wie ein DNS die Sicherheitsmaßnahmen unterstützen kann, ist die Entwicklung eines „versteckten primären“ Systems, d. h. eines primären DNS-Servers, der vom öffentlichen Internet nicht sichtbar ist. Seine IP-Adresse ist nicht in den Ressourceneinträgen für dieses System eingetragen. Sekundäre Name-Server verarbeiten Abfrageantworten anstelle des primären Servers. Die Idee ist, den primären Server besser vor Cyberangriffen zu schützen, indem seine Präsenz so weit wie möglich verborgen wird.

Die Sicherheit kann durch die Verwendung von Domain Name System Security Extensions (DNSSEC) weiter erhöht werden, die bei der Überprüfung und Validierung von DNS-Anfragen helfen. Diese Erweiterungen helfen dabei, die Echtheit von Domainnamen-Suchanfragen zu bestätigen. Sie helfen auch bei der Verhinderung von Cyberangriffen wie DNS-Spoofing, bei dem eine Website mit so vielen gefälschten DNS-Anfragen überflutet wird, dass das System überlastet wird und nicht mehr funktioniert.

Ein sekundäres DNS kann sogar die Leistung verbessern, da es Probleme mit Domainnamen schneller auflösen kann, was sich in einer schnelleren Bereitstellung von Informationen niederschlägt. Daher können durch die Implementierung eines sekundären DNS Latenzprobleme reduziert werden.

Obwohl die Vorteile der Verwendung eines sekundären DNS die Nachteile bei weitem überwiegen, gibt es einige Probleme, die ein sekundärer DNS mit sich bringen kann. Diese sind jedoch eher zu vernachlässigen.

Aktualisierungen des sekundären Servers können davon geringfügig betroffen sein. Obwohl sekundäre Server so konzipiert sind, dass sie bei Bedarf in Betrieb gehen, kann es zu leichten Leistungseinschränkungen kommen, wenn sie mit der Arbeit beginnen.

Um einen optimalen Betrieb zu gewährleisten, müssen die Systeme synchronisiert werden. Der sekundäre Server benötigt immer die neuesten DNS-Einträge, was je nach Häufigkeit der Änderungen problematisch werden kann.

Es besteht die Möglichkeit, dass die Verwendung eines sekundären DNS die Komplexität erhöht und dedizierte Arbeit für die Verwaltung von DNS-Servern erfordert. Die erfolgreiche Verwaltung mehrerer DNS-Server ist jedoch der Schlüssel zur Aufrechterhaltung des Gesamtzustands der Domain.

Obwohl es zahlreiche Anbieter sekundärer DNS Services gibt, finden Sie hier einige der herausragendsten:

• Google Public DNS: Google Public DNS bietet schnelle Suchfunktionen zur Auflösung von DNS-Anfragen. Darüber hinaus ist der Dienst selbst für relative Neulinge einfach einzurichten und verfügt über einen vollständigen Satz interner Sicherheitsprotokolle. Darüber hinaus profitiert Google Public DNS von Googles breitem Netz globaler Rechenzentren.

• Cloudflare: Der DNS-Service von Cloudflare basiert auf der DNS-Konfiguration des Anycast-Netzwerkroutings, bei der eine IP-Adresse Datenverkehr an mehrere Rechenzentren in verschiedenen Bereichen senden kann. Benutzer stellen eine Verbindung zu dem Server her, der ihnen am nächsten ist, was höhere Geschwindigkeiten und Schutz vor Distributed-Denial-of-Service ( DDoS) Angriffen ermöglicht. Cloudflares Version 1.1.1.1. öffentlicher DNS-Resolver soll die schnellste verfügbare sein.

• Quad9: Quad9 ist für seine weiteren Sicherheitsfunktionen bekannt, z. B. die Möglichkeit, Malware herauszufiltern und Phishing-Versuche zu blockieren. Das Unternehmen arbeitet als gemeinnützige Organisation und ist so sehr auf den Schutz der Daten der Nutzer bedacht, dass es sich weigert, Browserdaten oder Benutzerinformationen zu speichern.