Das Domain Name System, kurz DNS, ist ein global ver­teil­tes System zur Über­set­zung von In­ter­net­do­mains in IP-Adressen. Das DNS liefert für einen Do­mä­nen­na­men eine IP-Adresse zurück und fungiert damit als „Adress­buch“ des Internets. Kon­zep­tu­ell ent­spricht die IP-Adresse einer Post­adres­se, an die Pakete gesendet werden können. Hier ein paar Beispiele für DNS-Anfragen:

Ab­ge­frag­ter Do­mä­nen­na­me Zu­rück­ge­lie­fer­te IP-Adresse
'example.com' '93.184.216.34'
'ionos.de' '217.160.86.40'

Aufgrund der zentralen Bedeutung des DNS ist es sinnvoll, DNS-In­for­ma­tio­nen über ver­schie­de­ne Systeme verteilt redundant vor­zu­hal­ten. So bleiben die In­for­ma­tio­nen auch bei Ausfall einzelner Kom­po­nen­ten des DNS er­reich­bar. Ferner ist die geo­gra­fi­sche Nähe eines Servers aus­schlag­ge­bend für die Ge­schwin­dig­keit der Antworten. Bei einem red­un­dan­ten System un­ter­schei­det man zwischen einer Quelle und ggf. mehreren Kopien. In der Praxis erfordert ein solches Setup einen Me­cha­nis­mus, die red­un­dan­ten Kopien bei Änderung der Quelle an­zu­pas­sen.

Free VPS Trial
vServer kostenlos testen für 30 Tage

Lassen Sie sich von den Vorteilen über­zeu­gen. Probieren Sie Ihren Virtual Server ganz in Ruhe 30 Tage lang aus!

Was ist Secondary DNS?

Ein grund­le­gen­der Me­cha­nis­mus, DNS-In­for­ma­tio­nen für eine DNS-Zone auf mehrere Server zu verteilen, entstammt einer im Jahr 1996 ver­öf­fent­lich­ten Spe­zi­fi­ka­ti­on der Internet En­gi­nee­ring Task Force (IETF). In dieser wird fest­ge­legt, wie ein – damals noch als „Master“ be­zeich­ne­ter – primärer DNS-Server eine Gruppe se­kun­dä­rer – damals als „Slaves“ be­zeich­ne­ter – DNS-Server über eine Änderung an der DNS-Zone in Kenntnis setzt. Die se­kun­dä­ren DNS-Server werden auf­ge­for­dert, eine Anfrage an den primären DNS-Server zu stellen, um die Än­de­run­gen zu beziehen.

Zitat

„Dieses Dokument be­schreibt den NOTIFY opcode für das DNS, mit dem ein primärer Server eine Gruppe von se­kun­dä­ren Servern darüber in­for­miert, dass die Daten des primären Servers geändert wurden und die se­kun­dä­ren Server auf­for­dert, die neuen Daten ab­zu­fra­gen.“ – Internet En­gi­nee­ring Task Force“ (IETF), Quelle: https://www.ietf.org/rfc/rfc1996.txt, Über­set­zung: IONOS

(Original: „This memo describes the NOTIFY opcode for DNS, by which a master server advises a set of slave servers that the master's data has been changed and that a query should be initiated to discover the new data.“)

Hinweis

Die Nutzung der Begriffe „Master“ und „Slave“ in der In­for­ma­ti­ons­tech­no­lo­gie sind aufgrund der his­to­ri­schen Vor­be­set­zung in Verruf geraten und werden nach und nach durch äqui­va­len­te Terme ersetzt.

Per De­fi­ni­ti­on gibt es für eine DNS-Zone nur einen Primary DNS Server. Dieser hält die DNS-Quell­in­for­ma­tio­nen für die Zone vor und dient als Ein­stiegs­punkt für den Zonen-Ad­mi­nis­tra­tor. Sollen Än­de­run­gen an einer DNS-Zone vor­ge­nom­men werden, erfolgen diese am Primary DNS Server. Dem­ge­gen­über kommen ggf. mehrere, über die ganze Welt verteilte Secondary DNS Server zum Einsatz, die die DNS-In­for­ma­tio­nen spiegeln. Häufig wird ein separater DNS-Provider für das Hosting des Secondary DNS ein­ge­setzt.

Beachten Sie, dass die Begriffe „primary“ und „secondary“ im Zu­sam­men­hang mit dem DNS doppelt belegt sind. Viel­leicht ist Ihnen bekannt, dass Sie in den Sys­tem­ein­stel­lun­gen Ihrer Netz­werk­ver­bin­dung die zum Einsatz kommenden DNS-Server ändern können. Diese werden oft ebenfalls als „primary“ und „secondary“ be­zeich­net. Es handelt sich dabei jedoch um eine Über­schnei­dung der Begriff. Bezogen auf eine DNS-Zone kann es sich bei beiden der von Ihnen fest­ge­leg­ten Server um Secondary DNS Server handeln. Ferner können Sie nach Belieben mehr als zwei DNS-Server kon­fi­gu­rie­ren.

Was ist der Un­ter­schied zwischen Secondary und Primary DNS?

Zunächst halten wir fest, dass sowohl Primary als auch Secondary DNS Server für die jeweilige Zone „au­to­ri­ta­ti­ve Name­ser­ver“ sind. Das bedeutet, dass den für die DNS-Zone ge­spei­cher­ten In­for­ma­tio­nen unbedingt vertraut werden kann. Au­to­ri­ta­ti­ve Name­ser­ver stehen damit im Gegensatz zu cachenden Name­ser­vern, die lediglich DNS-In­for­ma­tio­nen aus bereits erfolgten DNS-Abfragen zwi­schen­spei­chern.

Der Un­ter­schied zwischen Primary und Secondary DNS Server ist in erster Linie ad­mi­nis­tra­ti­ver Natur. Der Primary DNS Server enthält die DNS-In­for­ma­tio­nen einer DNS-Zone in der so­ge­nann­ten Zo­nen­da­tei („Zone File“). Etwaige Än­de­run­gen an der Zo­nen­da­tei werden vom Zonen-Ad­mi­nis­tra­tor direkt vor­ge­nom­men. Dem­ge­gen­über lässt sich die Zo­nen­da­tei eines Secondary DNS Servers nicht direkt be­schrei­ben. Statt­des­sen werden etwaige Än­de­run­gen an der Zo­nen­da­tei vom Primary DNS bezogen.

Bei Än­de­run­gen der Zo­nen­da­tei werden die Secondary DNS Server über die Änderung in­for­miert und fragen die ge­än­der­ten Daten ab. Die Über­tra­gung der DNS-In­for­ma­tio­nen wischen DNS-Servern ist als Zo­nen­trans­fer („Zone Transfer“) bekannt. Beim Zo­nen­trans­fer ist ein Secondary DNS Server das Ziel, während der Primary DNS Server als Quelle fungiert. Beachten Sie, dass ein und derselbe physische Server für eine DNS-Zone der Primary DNS Server und gleich­zei­tig für eine andere Zone ein Secondary DNS Server sein kann.

Wie funk­tio­niert Secondary DNS?

Aus­schlag­ge­ben­des Merkmal von Secondary DNS ist, dass die Zo­nen­da­tei von einer externen Quelle auf die Server über­tra­gen wird. Für den Zo­nen­trans­fer kommen ver­schie­de­ne Me­cha­nis­men zum Einsatz. Grund­le­gend für die Regelung des Zo­nen­trans­fers ist der DNS-Eintrag „Start of Authority“ (SOA). Dieser umfasst mehrere Felder:

  • Das 'MNAME'-Feld enthält die IP-Adresse des Primary DNS Servers.
  • Ferner enthält der SOA-Eintrag eine Reihe von Feldern, die de­fi­nie­ren, in welchen In­ter­val­len Secondary DNS Server selbst­tä­tig Än­de­run­gen beim Primary abfragen.

Wir be­trach­ten im Folgenden drei häufig zum Einsatz kommende DNS-Kon­fi­gu­ra­tio­nen.

Primary/Secondary

Dies ist ge­wis­ser­ma­ßen die „klas­si­sche” Kon­fi­gu­ra­ti­on, um DNS-In­for­ma­tio­nen einer Zone auf mehrere au­to­ri­ta­ti­ve DNS-Server zu verteilen. Es kommt ein Primary DNS Server zum Einsatz, der im MNAME-Feld des SOA-Eintrags angegeben ist. Die Secondary DNS Server prüfen in re­gel­mä­ßi­gem Abstand, ob eine Änderung der DNS-In­for­ma­tio­nen für ihre Zone statt­ge­fun­den hat und leiten bei Bedarf einen Transfer der ge­än­der­ten Daten ein. Zu­sätz­lich kann der Primary Server die Secondary DNS Server per Notify-Anweisung über Än­de­run­gen be­nach­rich­ti­gen.

Hidden Primary

Beim als „Hidden Primary“ bekannten Ansatz handelt es sich um eine in­ter­es­san­te Variante der klas­si­schen Primary/Secondary-Kon­fi­gu­ra­ti­on. Jedoch arbeitet hierbei der Primary Server im Ver­bor­ge­nen. Beim im MNAME-Feld des SOA-Eintrags an­ge­ge­be­nen Server handelt es sich nicht um den tat­säch­li­chen Primary Server. Die Secondary DNS Server können daher von sich aus keine Än­de­run­gen der DNS-Zone abfragen, sondern müssen vom Hidden Primary explizit per Notify-Anweisung dazu auf­ge­for­dert werden.

Ein beliebter Ansatz besteht darin, einen Rechner im lokalen Netzwerk als DNS-Server zu kon­fi­gu­rie­ren und als Hidden Primary ein­zu­set­zen. Dies hat zwei un­mit­tel­ba­re Vorteile:

  • Än­de­run­gen an der Zo­nen­da­tei lassen sich kom­for­ta­bel lokal vornehmen.
  • Der gesamte ein­ge­hen­de DNS-Traffic wird von den Secondary DNS Servern bewältigt.

Für diesen Ansatz bietet es sich an, die Kom­mu­ni­ka­ti­on zwischen den Secondary DNS Servern und dem Hidden Primary mit der Ver­schlüs­se­lungs­tech­no­lo­gie DNSSEC ab­zu­si­chern.

Primary/Primary

Bei dieser Kon­fi­gu­ra­ti­on handelt es sich um eine neuere Ent­wick­lung. Dabei kommen mehrere, für eine DNS-Zone au­to­ri­ta­ti­ve DNS-Server zum Einsatz, die allesamt die Quell­da­ten enthalten. Es erfolgt kein Zo­nen­trans­fer un­ter­ein­an­der, und somit gibt es auch kein Secondary DNS im ei­gent­li­chen Sinne. Jede Änderung an der DNS-Zone erfordert einen ko­or­di­nier­ten Abgleich der primären DNS-Server. Zu diesem Zweck kommen pro­prie­tä­re Systeme zum Einsatz. Stellen Sie sich z. B. ein externes System mit GUI und API vor, das zum Ändern der DNS-In­for­ma­tio­nen und Verteilen der Än­de­run­gen genutzt wird.

Kos­ten­lo­ses DNS Hosting
Top Website-La­de­zei­ten mit kos­ten­lo­sem DNS
  • Schnel­le­re Domain-Auflösung für op­ti­mier­te La­de­zei­ten
  • Zu­sätz­li­cher Schutz gegen Ausfälle und Un­ter­bre­chun­gen
  • Kein Domain-Umzug notwendig

Warum sollte man Secondary DNS nutzen?

Die Vorzüge bei der Nutzung von Secondary DNS sind viel­fäl­tig. Um diese besser zu verstehen, stellen wir uns vor, es gäbe für eine DNS-Zone nur einen einzigen DNS-Server. Eine solche Kon­fi­gu­ra­ti­on hätte u. a. die folgenden negativen Effekte:

  • Vom Primary DNS Server weiter entfernte Nutzer würden eine Ver­zö­ge­rung der Antworten gegenüber näher gelegenen Nutzern erfahren.

Hier sorgt Secondary DNS für Per­for­manz bei der Be­ant­wor­tung der der DNS-Anfragen.

  • Ein Ausfall des Primary DNS Server hätte zur Folge, dass die au­to­ri­ta­ti­ven In­for­ma­tio­nen für die DNS-Zone schlag­ar­tig nicht mehr verfügbar wären.

Hier sorgt Secondary DNS für Redundanz und Hoch­ver­füg­bar­keit der DNS-In­for­ma­tio­nen.

  • Ein ver­stärk­ter Eingang von DNS-Anfragen würde ab einem be­stimm­ten Punkt den Primary DNS Server über­las­ten.

In diesem Fall führt das Secondary DNS zur Ver­tei­lung der Last und damit zur Hoch­ver­füg­bar­keit der DNS-In­for­ma­tio­nen.

Sie sehen: Eine Kon­fi­gu­ra­ti­on ohne Secondary DNS wäre hoch­gra­dig anfällig gegenüber tech­ni­schen Fehlern und Cyber-Attacken.

Die vor­ge­stell­ten Vorteile beim Einsatz von Secondary DNS sind tech­ni­scher Natur. Daneben gibt es einen weiteren ad­mi­nis­tra­ti­ven Be­weg­grund. Dieser liegt dann vor, wenn eine Or­ga­ni­sa­ti­on zu einem neuen DNS-Provider migrieren möchte. In diesem Fall kann das be­stehen­de Konzept zur Ver­wal­tung der DNS-Zone weiterhin genutzt werden, z. B. in einer Hidden-Primary-Kon­fi­gu­ra­ti­on. Der neue DNS-Provider übernimmt als Secondary DNS die Be­ant­wor­tung der ein­ge­hen­den DNS-Anfragen.

Wie lässt sich der der Secondary DNS her­aus­fin­den?

Die Un­ter­schei­dung zwischen Primary und Secondary DNS ist in erster Linie ad­mi­nis­tra­ti­ver Natur. Durch einen externen Be­ob­ach­ter lässt sich nicht ab­schlie­ßend fest­stel­len, ob es sich bei einem au­to­ri­ta­ti­ven DNS-Server um einen Primary oder Secondary Server handelt. Ferner kann ein und derselbe Server Primary DNS für eine Zone und Secondary DNS für eine andere Zone sein. Selbst das MNAME-Feld des SOA-Eintrags schafft keine Abhilfe, da der tat­säch­li­che Primary DNS Server als Hidden Primary betrieben werden kann.

Zum Hauptmenü