Veröffentlicht: 1. März 2024
Mitwirkende: Chrystal R. China, Michael Goodwin
Ein primärer DNS-Server ist der autoritative Nameserver eines Domain Name Systems (DNS). Er ist die erste Anlaufstelle für die Auflösung von Anfragen und dient als maßgebliche Quelle für Informationen über eine Domain, indem er Originalkopien aller DNS-Einträge der Domain speichert.
Wenn ein primärer DNS-Server nicht verfügbar ist, kontaktiert der Browser, die Anwendung oder das Gerät, von dem bzw. der die Abfrage ausgeht, einen sekundären DNS-Server, der eine Kopie der gleichen DNS-Einträge enthält.
In einer DNS-Infrastruktur leiten Domainnamen den Datenverkehr zu IP-Adressen, die über die richtigen Ressourcen verfügen, um Benutzeranfragen zu beantworten. Wenn Benutzer einen Domainnamen eingeben, ist der primäre DNS-Server die erste Station auf dem Weg zur Auflösung der Anfrage. Von Menschen lesbare Hostnamen und computerfreundliche IP-Adressen benötigen jedoch einen Vermittler für die Kommunikation. An dieser Stelle kommen die primären DNS-Server ins Spiel.
Primäre Server übersetzen Domainnamen in entsprechende IP-Adressen, die dann die abgefragten Informationen an den Benutzer zurücksenden. Das primäre DNS hat daher eine wichtige Funktion bei der Weiterleitung des Datenverkehrs im Internet.
Der Leitfaden für Unternehmen zur KI- und IT-Automatisierung bietet einen detaillierten Einblick in die KI-gestützte IT-Automatisierung. Sie erfahren, warum und wie Sie diese nutzen können, welche Probleme dabei auftreten und wie Sie beginnen können.
IBM Newsletter abonnieren
Im Großen und Ganzen ist das DNS mit einem Telefonbuch für das Internet vergleichbar. Es wandelt Domainnamen (z. B. www.example.com) in IP-Adressen (z. B. 192.0.2.1) um, mit denen sich Computer im Netzwerk gegenseitig identifizieren. Ohne DNS müssten sich die Benutzer komplexe numerische IP-Adressen merken, um auf Websites zuzugreifen. Das ist unpraktisch, wenn man bedenkt, wie viele Suchanfragen und Datenabfragen an einem einzigen Tag von Benutzern gestellt werden.
DNS-Frameworks haben eine baumartige Struktur mit der Root-Domain ganz oben, gefolgt von Top-Level-Domains (TLDs) wie .com, .org, .net, .uk und so weiter. Unterhalb der TLDs befinden sich Second-Level-Domains, die in der Regel den erkennbaren Teil eines Domainnamens (z. B. „ibm.com“) und alle verfügbaren Sekundärzonen umfassen. Jede TLD hat ihren eigenen Satz von Nameservern, aber der primäre Nameserver kommt erst auf der zweiten Ebene ins Spiel.
Wenn eine Domain registriert wird, werden ihre Nameserver-Einträge (NS) erstellt und auf einem primären DNS-Server gespeichert, der in der Regel von einem Hosting-Unternehmen oder einem Anbieter von DNS Services bereitgestellt wird. Der primäre DNS-Server verfügt über verschiedene Arten von NS-Einträgen, darunter A-Einträge, MX-Einträge und CNAME-Einträge (neben anderen Arten), die die entsprechenden Daten und Informationen an den Benutzer zurückleiten.
Es ist erwähnenswert, dass Serveradministratoren DNS-Server entweder als primär oder sekundär festlegen können. Tatsächlich können Server in einer Zone als primär und in einer anderen als sekundär festgelegt werden. Jede DNS-Zone kann jedoch nur einen einzigen primären Server haben.
Domainänderungen finden auch im primären DNS statt. Wenn ein Administrator DNS-Einträge anpassen möchte, muss er dies auf den primären DNS-Servern tun. Die Änderungen werden dann in der Hierarchie nach unten auf die übrigen Server übertragen.
DNS-Server werden je nach ihrer Rolle in der DNS-Hierarchie als „primär“ und „sekundär“ kategorisiert. Während der primäre DNS-Server die ursprüngliche Lese-/Schreibversion der Zonendatei enthält, verfügen sekundäre DNS-Server über Nur-Lese-Replikate der Zonendatei zum Zwecke des Lastausgleichs und der Redundanzverwaltung.
Sekundäre DNS Services sind nicht unbedingt erforderlich. DNS-Systeme können funktionieren, wenn nur ein primärer Server verfügbar ist. Es ist jedoch Standard und wird oft von den Domainregistrierungsstellen verlangt, mindestens einen sekundären Server zu unterhalten, um Round-Robin-DNS zu ermöglichen (das den Datenverkehr gleichmäßig auf jeden Server verteilt) und Denial-of-Service-Angriffe zu verhindern.
Die herkömmliche primäre/sekundäre DNS-Architektur ist bei modernen Managed DNS-Anbietern inzwischen obsolet. Heute bieten die meisten Anbieter Nameserver-IPs zur Nutzung an. Hinter jeder dieser IPs befindet sich ein Pool von DNS-Servern, die Anfragen mithilfe von Anycast (einem One-to-Many-Transportprotokoll) weiterleiten. Dieser Ansatz bietet in der Regel eine bessere Redundanz und höhere Verfügbarkeit als das klassische Modell.
Doch selbst bei erweiterten DNS-Bereitstellungen kann sekundäres DNS Unternehmen in den folgenden Bereichen helfen:
- Migration auf eine neue DNS-Infrastruktur mit Abhängigkeiten von alten DNS-Servern. Mit sekundärem DNS können Teams auf Tools, Code und ältere Systeme zugreifen, die auf einen alten DNS-Server verweisen, der in ihrem Unternehmen gehostet wird. Während der Architekturmigration können Administratoren mit sekundären Servern den sekundären DNS-Anbieter festlegen, ohne die Abhängigkeiten zu unterbrechen. Dadurch bleiben alle bestehenden Prozesse synchron, aber der neue DNS-Server kann reagieren, wenn die internen Server langsamer werden oder ausfallen.
- Vermeidung von Single Points of Failure. Websites mit hohem Datenverkehr und geschäftskritische Webanwendungen können keine Ausfälle verkraften. Die Verwendung sekundärer Nameserver hilft Administratoren, einen Single Point of Failure zu vermeiden, wenn bei primären DNS-Servern Latenzprobleme auftreten.
- Einrichtung von redundantem DNS mit einem Managed Service. Ein intelligentes Managed DNS kann eine dedizierte DNS-Bereitstellung ermöglichen, die in einem separaten Netzwerk und auf separaten Servern von ihrem regulären Managed DNS Service ausgeführt wird. Dies erleichtert die Redundanz zwischen zwei separaten DNS-Servern und ermöglicht es Unternehmen, mit nur einem Anbieter zu arbeiten. Außerdem wird die dedizierte Bereitstellung nicht mit anderen Unternehmen geteilt, sodass sie vor Angriffen auf andere Kunden des Services geschützt ist.
Sowohl primäre als auch sekundäre Server gewährleisten die Effizienz und Funktionalität von DNS-Systemen, aber es gibt entscheidende Unterschiede, die ihr Verhalten und ihre Interaktion in der Computerumgebung bestimmen.
Der primäre DNS-Server speichert nicht nur die primäre Zonendatei, sondern reagiert auch auf Aktualisierungsanfragen des Domainadministrators und verarbeitet dynamische Aktualisierungen. Sekundäre Zonenserver sind Backup-Server, die Anfragen während der Ausfallzeit des primären Servers oder bei Überlastung des primären Servers bearbeiten.
Die primäre Zonendatei im primären DNS enthält alle A-Einträge (Adresseinträge für IPv4), AAAA-Einträge (Adresseinträge für IPv6), MX-Einträge (die auf Mailserver verweisen), CNAME-Einträge (die Aliase ihren echten oder „kanonischen“ Domainnamen zuordnen), SOA-Einträge (die alle Verwaltungsinformationen für eine Domain enthalten) und TXT-Einträge (die das Sender Policy Framework für die E-Mail-Authentifizierung angeben) für eine bestimmte Domain. Der Administrator verwaltet diese Datei direkt, und alle Aktualisierungen oder Änderungen an DNS-Einträgen werden hier zuerst vorgenommen.
Sekundäre DNS-Server sind exakte Kopien der Zonendatei, die vom primären Server übertragen werden. Sie können keine direkte Revision oder Bearbeitung der Zonendatei vornehmen. Stattdessen überprüfen sie in regelmäßigen Abständen den primären Server auf Aktualisierungen in einem Prozess, der als Zonentransfer bezeichnet wird.
Die Konfiguration eines primären DNS umfasst die Einrichtung der Zonendatei, der Ressourceneinträge und der Zugriffskontrollen und kann die Einrichtung autoritativer (AXFR) und inkrementeller (IXFR) Zonentransfers an bestimmte sekundäre Server beinhalten. Bei sekundären DNS-Konfigurationen müssen die Administratoren jedoch Kommunikationsprotokolle zwischen dem primären und dem sekundären Server für die Übertragung von Zonendaten einrichten und die Häufigkeit der Check-ins mit dem primären Server für Updates festlegen.
Der primäre DNS-Server ist zwar unverzichtbar, stellt aber auch einen Single Point of Failure dar. Wenn er ausfällt und die Administratoren keine sekundären Server bestimmt haben, um die Workload zu übernehmen, leidet der gesamte DNS-Auflösungsprozess. Sekundäre Server können ohne einen primären DNS-Server nicht existieren, aber wenn ein Server ausfällt, können sie den DNS-Betrieb aufrechterhalten, bis der primäre Server wiederhergestellt ist.
Um das primäre DNS besser zu verstehen, ist es wichtig zu wissen, wie Benutzeranfragen durch ein System zur Auflösung gelangen.
Ein Benutzer gibt einen Domainnamen in einen Browser oder eine App ein und die Anfrage wird an einen rekursiven DNS-Resolver gesendet. Normalerweise verfügt das Gerät des Benutzers über vordefinierte DNS-Einstellungen, die vom Internetdienstanbieter (Internet Service Provider, ISP) bereitgestellt werden und bestimmen, welcher rekursiven Resolver bereitgestellt wird.
Der rekursive Resolver überprüft seinen Cache (d. h. den temporären Speicher in einem Webbrowser oder Betriebssystem) auf die entsprechende IP-Adresse der Domain. Wenn die DNS-Abfragedaten nicht im Cache gespeichert sind, beginnt der Resolver damit, sie von den autoritativen DNS-Servern abzurufen, beginnend mit dem Root-Server. Der rekursive Resolver fragt verschiedene DNS-Server ab, bis er die endgültige IP-Adresse findet.
Der rekursive Resolver fragt einen Root-Nameserver ab, der mit einem Verweis auf den entsprechenden TLD-Server für die betreffende Domain antwortet (in diesem Fall den Server, der für alle „.com“-Domains zuständig ist).
Der Resolver fragt den TLD-Nameserver ab, der mit der Adresse des primären DNS-Servers der Domain antwortet.
Der Resolver fragt den primären Server ab, der die DNS-Zonendatei durchsucht und mit dem richtigen Datensatz für die angegebene URL antwortet.
Der rekursive Resolver speichert den DNS-Datensatz im Cache – für eine Zeit, die durch die Time-to-Live (TTL) des Datensatzes festgelegt wird – und gibt die IP-Adresse an das Gerät des Benutzers zurück. Der Browser oder die App kann dann eine Verbindung mit dem Hostserver unter dieser IP-Adresse herstellen, um auf die angeforderte Website oder den Service zuzugreifen.
Ein primäres DNS ist für die Weiterleitung von Anfragen von zentraler Bedeutung. Die Wartung und Optimierung von primären DNS-Servern kann daher das gesamte DNS-System beschleunigen. Unternehmen können das Beste aus ihrem DNS herausholen, indem sie die folgenden Best Practices anwenden.
Wählen Sie einen DNS-Anbieter mit einer hohen Betriebszeit, umfassenden Redundanzprotokollen und einem gut erreichbaren Kundensupport. IBM NS1 zum Beispiel kann dazu beitragen, dass DNS-Anfragen schnell und zuverlässig beantwortet werden.
Die Angebote der primären DNS-Anbieter reichen von öffentlichen DNS-Services bis hin zu hochwertigen Managed DNS-Servern. Welcher DNS-Server für Ihr Unternehmen am besten geeignet ist, hängt von den organisatorischen Anforderungen1, den Budgets und der Komplexität ab. Während die Nutzung von öffentlichem DNS den Kunden beispielsweise einen offenen, kostenlosen DNS-Zugang bietet, kann eine Migration zu Premium-DNS eine präzisere Kontrolle ermöglichen.
Stellen Sie sicher, dass die Teams über die neuesten DNS-Schwachstellen und -Bedrohungen (wie Malware, DDoS-Angriffe und Cache-Spoofing) informiert sind und Firewalls, DNSSEC (Domain Name System Security Extensions) und andere Sicherheitsmaßnahmen einsetzen, um DNS-Server2 zu schützen und das Risiko zu mindern.
Aktualisieren Sie DNS-Einträge, um Änderungen an IP-Adressen, Infrastruktur und Services so schnell und so oft wie möglich zu berücksichtigen. Dies ermöglicht eine konsistente und genaue Domainauflösung.
Der IBM® NS1 Connect Managed DNS Service bietet ausfallsichere, schnelle und autoritative DNS-Verbindungen, um Netzwerkausfälle zu vermeiden und Ihr Unternehmen jederzeit online zu halten.
Verbessern Sie die Ausfallsicherheit und Betriebszeit von Anwendungen mit einem globalen Netzwerk und erweiterten Funktionen zur Steuerung des DNS-Datenverkehrs.
IBM® Cloud DNS Services bieten öffentliche und private autoritative DNS Services mit schnellen Antwortzeiten, beispielloser Redundanz und erweiterter Sicherheit. Die Verwaltung erfolgt durch die Webschnittstelle von IBM Cloud oder per API.
Das DNS ermöglicht es Benutzern, sich mit Websites über URLs statt über numerische Internetprotokolladressen zu verbinden.
DNS-Server übersetzen die Domainnamen der Website, nach denen Benutzer in Webbrowsern suchen, in entsprechende numerische IP-Adressen. Dieser Prozess wird als DNS-Auflösung bezeichnet.
Ein DNS-Datensatz (Domain Name System) ist eine Reihe von Anweisungen, die verwendet werden, um Domänennamen mit Internetprotokolladressen (IP) innerhalb von DNS-Servern zu verbinden.
DNS-Verbreitung bezieht sich auf die Zeit, die DNS-Server benötigen, um Änderungen an einem DNS-Eintrag über das Internet zu verbreiten.
Ein CNAME-Eintrag oder kanonischer Namenseintrag dient als Alias innerhalb des Domain Name Systems (DNS) und leitet einen Domainnamen an einen anderen weiter.
Erfahren Sie mehr über die Funktionsweise von Computernetzwerken, die Architektur, die zum Entwurf von Netzwerken verwendet wird, und wie man Netzwerke sicher hält.
Fußnoten
1 „Should large enterprises self-host their authoritative DNS?“, IBM.com, 1. Februar 2024
2 „Why DNS protection should be the first step in hybrid cloud security“, (Link befindet sich außerhalb von ibm.com) TechRadar, 1. Februar 2024