Sobald wir einen Online-Dienst (etwa eine Webseite oder E-Mail-Adresse) kontaktieren, leisten Root-Nameserver bzw. (DNS-)Root-Server einen wichtigen Beitrag bei der Adressfindung des Dienstes. Sie sind ein Bestandteil des Domain Name Systems (DNS) – einer elementaren Säule des Internets – und wesentlich für die Namensauflösung im DNS, bei der ein Domain-Name (z. B. „www.IONOS.de“) in eine IP-Adresse übersetzt wird. Dieser Vorgang ist erforderlich, da man nur mit der IP-Adresse den Server eines Online-Dienstes kontaktieren und die angeforderten Daten von diesem beziehen kann.
Ein Root-Nameserver (auch DNS-Root-Server oder kurz Root-Server) ist ein Server, der eine grundlegende Funktion bei der Übersetzung eines Domain-Namens in eine IP-Adresse einnimmt: Er beantwortet Client-Anfragen (Requests) in der Root-Zone des Domain Name Systems.
Die Root-Zone markiert die höchste Ebene im Namensraum vom DNS. Dabei führen die Root-Nameserver die Namensauflösung nicht selbst aus, sondern geben den anfragenden Clients allein die Auskunft, von welchem anderen Nameserver (DNS-Server) sie weitere Informationen über die angeforderte IP-Adresse erhalten.
Dies geschieht über die sogenannte Root-Zone-Datei, die Bestandteil eines jeden DNS-Root-Servers ist. Die Datei als solche besitzt dabei nur eine Größe von knapp 2 MB. Dennoch enthält sie sämtliche Namen und IP-Adressen jeglicher Nameserver von allen Top-Level-Domains (TLDs). Diesen Daten kommt eine wichtige Funktion zu: Auf sie greift ein Root-Server zurück, wenn er dem Client denjenigen Nameserver nennt, bei dem weitere benötigte Auskünfte bezüglich seines Requests vorliegen.
Doch auch, wenn sie nur Anfragen weiterleiten, sind die Root-Nameserver für die Namensauflösung unverzichtbar – ohne sie würde das DNS in seiner jetzigen Form nicht funktionieren. Ein Root-Server arbeitet an der Wurzel (englisch: Root) des Domain Name Systems und ist hier gewissermaßen die wichtigste Vermittlungsstelle von Internetadressen.
IONOS Root Server mieten und je nach Wunsch vollen Root-Zugriff auf VPS, Dedicated und Cloud erhalten.
Doch wie genau hilft ein Root-Nameserver dabei, die IP-Adresse einer Website zu identifizieren? Um die Funktionsweise der Root-Server zu verstehen, hilft es, sich zunächst den grundsätzlichen Verlauf der Namensauflösung im DNS vor Augen zu führen.
Jeder Internetdienst hat neben einer individuellen Internetadresse (dem Domain-Namen) eine einmalige numerische IP-Adresse, die mit dem Domain-Namen verknüpft ist – so wurde der IONOS-Website beispielweise die IPv4-Adresse „17.160.72.6“ zugeordnet. Wenn Sie in Ihrem Browser „www.IONOS.de“ aufrufen, muss zunächst der alphanumerische Name der Website in diese IP-Adresse umgewandelt werden, damit Ihr Browser die Seite darstellen kann.
Die vorrangige Aufgabe des Domain Name Systems besteht in der Übersetzung von Domain-Namen in IP-Adressen (auch „forward lookup“ genannt). Der Vorgang der Namensauflösung im Internet bildet einen hierarchisch organisierten Vorgang. Doch bevor das DNS mit der Namensauflösung beauftragt wird, versucht das verwendete System in aller Regel selbst, die benötigte IP-Adresse im eigenen Datenspeicher zu finden.
Wie viele verschiedene Stationen ein Request durchläuft und in welcher Reihenfolge dies geschieht, hängt von unterschiedlichen Faktoren ab – etwa vom verwendeten Betriebssystem oder davon, ob UDP oder NetBIOS over TCP/IP als Protokoll zum Einsatz kommt. Allein die Namensauflösung über die verschiedenen Server im DNS verläuft prinzipiell immer gleich. Wir erläutern Ihnen exemplarisch die wichtigsten Phasen, die bei der Suche nach der passenden IP-Adresse einer Website durchlaufen werden, und erklären, welche Rolle dabei ein DNS-Root-Server einnimmt.
Beim Prozess der Namensauflösung können somit viele verschiedene Nameserver zum Einsatz kommen. Dennoch nehmen innerhalb dieses Vorgangs die Root-Nameserver eine besondere Rolle ein: Sie stellen die oberste Instanz innerhalb der Namensauflösung dar – falls ein Domain-Name nicht über den lokalen Resolver oder den DNS-Server des Providers in eine IP-Adresse umgewandelt werden kann, bildet ein Root-Server die erste Anlaufstelle für die IP-Adressfindung. Und selbst, wenn die Namensauflösung schon in einem vorherigen Schritt erfolgreich ist, wurden die hierfür notwendigen Informationen in der Vergangenheit von einem DNS-Root-Server eingeholt und abgespeichert. Dementsprechend wichtig ist es, dass die Server konstant ihren Dienst verrichten können.
Insgesamt existieren 13 Haupt-DNS-Root-Server, die jeweils mit Buchstaben von „A“ bis „M“ benannt sind. Sie alle verfügen über eine IPv4-Adresse, die meisten haben zudem auch eine IPv6-Adresse. Die grundsätzliche Verwaltung der Root-Server fällt hierbei in den Verantwortungsbereich der ICANN (Internet Corporation for Assigned Names and Numbers). Betrieben werden sie hingegen von verschiedenen Institutionen, die dafür Sorge tragen sollen, dass der Datenaustausch in der Root-Zone stets korrekt, erreichbar und sicher ist. Die Übersicht zeigt neben den Betreibern der einzelnen Root-Nameserver auch ihre IP-Adressen.
| Buchstabe des DNS-Root-Servers | IPv4-Adresse | IPv6-Adresse | Betreiber |
|---|---|---|---|
| A | 198.41.0.4 | 2001:503:ba3e::2:30 | VeriSign |
| B | 192.228.79.201 | 2001:478:65::53 | USC-ISI |
| C | 192.33.4.12 | 2001:500:2::c | Cogent Communications |
| D | 199.7.91.13 | 2001:500:2d::d | University of Maryland |
| E | 192.203.230.10 | NASA | |
| F | 192.5.5.241 | 2001:500:2f::f | ISC |
| G | 192.112.36.4 | U.S. DoD NIC | |
| H | 128.63.2.53 | 2001:500:1::803f:235 | US Army Research Lab |
| I | 192.36.148.17 | 2001:7FE::53 | Autonomica |
| J | 192.58.128.30 | 2001:503:c27::2:30 | VeriSign |
| K | 193.0.14.129 | 2001:7fd::1 | RIPE NCC |
| L | 199.7.83.42 | 2001:500:3::42 | ICANN |
| M | 202.12.27.33 | 2001:dc3::35 | WIDE Project |
Jeder dieser Root-Nameserver verfügt über eine identische Kopie der Root-Zone-Datei, die von Zeit zu Zeit eine Aktualisierung benötigt – etwa wenn sich die für eine TLD zuständige Domain Name Registry ändert. Die Änderung an der Root-Zone-Datei ist ein relativ komplexer Vorgang: Sobald ein Antrag auf eine Aktualisierung eingeht, überprüft diesen zunächst die IANA (Internet Assigned Numbers Authority; eine Abteilung der ICANN). Wenn alles seine Richtigkeit hat, muss danach noch das US-Handelsministerium diesen Antrag absegnen, da die ICANN vertraglich an dieses gebunden ist. Erst daraufhin wird die Änderung vom Unternehmen VeriSign (das selbst zwei Root-Server betreibt) in der Root-Zone implementiert.
Tagtäglich sehen sich die Root-Server mit einer großen Anzahl an Requests konfrontiert. Der Großteil der 13 Root-Nameserver beantwortet die Anfragen der Clients allerdings nicht allein, sondern macht dies in Zusammenarbeit mit verschiedenen weiteren Servern: Hierbei wird über die Anycast-Technik die Verteilung der eingehenden Requests geregelt. Dementsprechend sind es in Wirklichkeit weitaus mehr als 13 Server, die sich um die Anfragen in der Root-Zone kümmern – insgesamt übernehmen diese Aufgabe mehrere Hundert, die über die Welt verteilt sind. Die meisten dieser Server befinden sich in den USA und Europa.
Die Streuung der Sever hat unter anderem zum Ziel, die Lastverteilung und damit die Ausfallsicherheit der Root-Server zu vergrößern: Vor dem Einsatz von Anycast gab es allein die 13 Haupt-Root-Nameserver, die sich um die Beantwortung der Requests kümmerten. Da 10 von ihnen in den USA stehen, konnte erst durch die Anycast-Technik eine relativ dezentrale Bearbeitung der Anfragen in der Root-Zone gesichert werden. Die weltweite Verteilung der Server begünstigt zudem auch kürzere Zugriffszeiten bei der Bearbeitung der Requests, da immer der Server mit der kürzesten Route auf diese antwortet.
Eine weitere Sicherheitsmaßnahme ist die Begrenzung der genutzten Root-Nameserver-Kapazitäten im Normalbetrieb: Lediglich ein Drittel der insgesamt zur Verfügung stehenden Rechnerressourcen wird von den Servern genutzt. Hierdurch soll gewährleistet werden, dass auch bei dem zeitgleichen Ausfall mehrerer DNS-Root-Server die Namensauflösung stabil funktioniert: Die restlichen aktiven Server übernehmen in diesem Fall die Anfragen, die eigentlich für die ausgefallenen Server vorgesehen waren.
Demgemäß hatten in der Vergangenheit diverse DDoS-Angriffe auf DNS-Root-Server auch keinen großen Erfolg – zu stark sind die Sicherheitsvorkehrungen. Die Betreiber der 13 Root-Server wissen einfach zu gut um die Bedeutung ihrer Server für das Internet: Ohne sie ist auf lange Sicht die Adressierung aller Internetdienste gefährdet.
Bei den in diesem Artikel thematisierten (DNS-)Root-Servern handelt es sich um die Root-Nameserver aus dem Domain Name System. Diese darf man nicht mit dedizierten Root-Servern (auch Dedicated Root-Server genannt) verwechseln, die man von Webhosting-Anbietern mieten kann. Solche Hosts werden umgangssprachlich auch als Root-Server bezeichnet, da sie sich gegenüber Managed Servern durch einen Root-Zugriff unterscheiden (eine detailliertere Abgrenzung dieser beiden Server-Formen finden Sie am Ende des Artikels Webhosting: Server im Vergleich); sie sind jedoch nicht Gegenstand dieses Beitrags.
Wer über Webhosting spricht, kommt um den Begriff „Server“ nicht herum. Doch was ist ein Server eigentlich? Und wie funktioniert er? In der Informatik gibt es allerdings zwei Server-Definitionen: Zu unterscheiden sind die ursprüngliche Bedeutung eines Servers als Software für Netzwerkdienste und die inzwischen geläufigere Bedeutung als Hardware, auf der Server-Programme ausgeführt werden....
Die Übersetzung von Domain-Namen in IP-Adressen ist einer der zentralen Dienste im Internet. Tagtäglich sendet Ihr PC Anfragen an das sogenannte Domain-Name-System (DNS), ohne dass Sie etwas davon mitbekommen. Ins Zentrum der Aufmerksamkeit rückt die Namensauflösung im Internet meistens erst, wenn etwas nicht regulär funktioniert. Fragen Sie sich daher schon heute: Was ist das DNS? Und was ist ein...
