Die Wichtigkeit von Domain-Name-Servern (DNS) ist ja hinlänglich bekannt: Im Primary Server trägt man seine Website, Subdomains, Mailserver ein, der/die Secondary-DNS beziehen vom Primary stündlich/regelmäßig die aktualisierten Daten, und beide liefern die Übersetzung“ von Webadresse/URL auf IP-Adresse aus. Dumm nur, wenn die Secondary DNS plötzlich aufhören auf den Primary zuzuhören: So geschen bei ionos 1und1. Was nun?

Der Support von ionos/1und1 meinte am Telefon nur lakonisch, dass der Dienst für Secondary DNS sowieso schon lange eingestellt wäre und nur noch bei ein paar !ALtkunden“ funktionieren würde. Als Kunde, der schon seit ca. 17 Jahren dort Services bezieht und als 57jähriger fühle ich mich ja schon als alt – aber nun auch in diesem Fall alleine gelassen.

Was tun?

  1. Die DNS (Primary und Secondary) seines Providers verwenden:
    Egal, ob man eine Website oder eien eigenen Server hat, die Provider bieten immer die Möglichkeit, die notwendigen DNS-Einträge selbst vorzunehmen – bzw. haben bereits die gängigen Einstellungen selbst vorgenommen.
    Probleme kann es aber dann mit Zertifikaten geben wie Let’s Encrypt für den Webserver, wo ja nach jeder Zertifikatserneuerung automatisch der TXT-Eintrag _acme-challenge.url.xy erneuert werden muss. Natürlich kann man bei allen Providern auch klostenpflichtige SSL-Zertifikate kaufen, aber das Gratis-Let’s Encrypt ist mir da lieber. Ein weiterer Sicherheitsdienst ist dann auch oft zusätzlich kostenpflichtig: DNSSEC, die Zertifikate, die zeigen, dass an dieser IP wirklich dieser Server befindet. Nicht alle Provider bieten Let’s Encrypt und DNSSEC (gratis).
  2. Einen eigenen DNS als Secondary betreiben:
    Dafür könnte ich den kleinsten Cloudserver ab 5 € pro Monat mieten und dort halt vor allem bind (DNS Dienst) laufen lassen.NAchteil: Ich habe einen weiteren Server, den ich warten, absichern und sichern muss. Und der darf keinerlei Downtime haben, da ja dann meine Websites und Dienste auf anderen Servern nicht mehr erreichbar sind (bzw. nur zufällig, wenn die Abfrage gegen den Primary DNS läuft).Einerseits günstig, andererseits viel weiterer administrativer Aufwand
  3. Einen Secondary DNS mieten:
    Da gibt man sich zwar wieder in die Hände eines anderen Providers/Hosters, aber der wird wohl einen DNS-Cluster zur Verfügung stellen, der ziemlich sicher mehrfach über die Erde verteilt repliziert läuft: eine professionellere Lösung als der eigene V-Server bzw. Cloudserver.Die DNS.
  4. DNS mit einer zweiten Agentur teilen:
    So nach dem Motto: Ich habe meinen eigenen Primary-DNS, betreibe aber für meinen Freund den Secondary – und umgekehrt.
    Eine gute Lösung, bedeutet einiges an Vertrauen und natürlich wieder den Aufwand für die Serverpflege.

Diesmal entschied ich mich für die dritte Möglichkeit:

lch miete mir einen Secondary DNS!

Wen fragt man als erstes: Natürlich seinen bisherigen Provider IONOS by 1und1. Die bieten mir das zumindest mal nicht an, von ihnen kam ja der Vorschlag zwei, einen eigenen kleinen Cloud-Server als DNS einzurichten.

Anbietervergleich der Secondary DNS-Hoster am ctrl.blog

Also, ab ins Internet und Empfehlungen einholen.Einen tollen und auch gerade wieder aktualisierten Beitrag dazu bietet https://www.ctrl.blog/entry/secondary-dns-comparison.html

Hier werden die Dienste Alibaba, Cloud DNS, Amazon Route 53, Microsoft Azure DNS, BuddyNS, CloudNS, CloufloorDNS, DNSMadeEasy, DNSUnlimited, Dyn Secondary, GoDaddy Premium DNS, Hurricane Electric DNS, NameCheap Premium DNS, No IP Squared, NS1 und RcodeZero verglichen.

Wie wir sehen, sind da alle großen, weltweiten Server- und Diensteanbieter dabei, wie Google, Amazon, Microsoft Azure, Alibaba sowie einige kleinere, vor allem amerikanische Anbieter. Diese Liste ist überhaupt nicht vollständig und Sie werden bei vielen Provider auch einen Secondary DNS angeboten/eingerichtet bekommen; aber hier geht es mehr um die Spezialisten, die das in Selfservice bieten.

Zentrale Features, die ein DNS-Hoster bieten muss

In der Übersichtstabelle werden die folgenden Eigenschaften verglichenen:

  • AXFR: Ein einfaches Protokoll zum Zonentransfer zwischen DNS, muss auch abgesichert sein, welche DNS berechtigt sind, diese Daten auszulesen
  • DNSSEC: Verhindert durch Zertifikate, dass der Secondary DNS die Einträge des Primary verändert.
  • TSIG: Ziel von TSIG (Transaction SIGnature) ist es, Authentizität von DNS-Partnern sicherzustellen und die Datenintegrität bei Transaktionen zu gewährleisten.
  • IPv6: Momentan laufen ja die meisten Server noch unter dem Protokoll IPv4 (Internet Protocol Version 4), das die erste Version des Internet Protocols ist, welches weltweit verbreitet und eingesetzt worden ist: Aber diesem Protokoll gehen die IP-Adressen aus. Dewegen heute schon an morgen denken und IPv6 als Auswahlmöglichkeit haben (auch, wenn man es noch gar nicht nutzt): bei IPv4 setzt man A Records, bei IPv6 AAAA-Records.
  • Route: Da wäre Unicast oder (besser) Anycast möglich. Bei Anycast können mehrere Server auf dieselbe IP.Adresse antworten – und dann erhält man rascher die Antwort des nächstgelegenen Servers: Der ist dann vielleicht in Frankfurt statt in San Francisco.
  • Hidden DNS: Darunter versteht man, daß sein eigener Server zwar die Zone-Files bereitsstellt, von wo sie dann die bei den Registraren eingetragenen DNS abrufen, er aber offiziell nicht als DNS aufscheint. Das wäre mir am liebsten, leider enthält die Übersichtstabelle am ctrl.blog noch nicht dieses Feature.

Short-List der Secondary DNS-Hoster

Wenn ich die Feature-List von ctrl.blog zum Zeitpunkt Februar 2020 analysiere, kommen nur die folgenden vier Anbieter in die engere Auswahl

  • DNSUnlimited: Haben nur eine Postfach-Anschrift in Missouri, ich finde kein Impressum, technisch gesehen bieten sie nur Unicast. Ich habe sie mal angeschrieben und gefragt, wer sie denn nun seien.Auch Allgemeine Geschäftsbedingungen oder Hinweise zur DSGVO findet man dort nicht. Über Google findet man zumidest eine Privacy.Seite, die aber nicht verlinkt erscheint. Das sind einige Ausschlußkriterien erfüllt.
  • Hurricane Electric DNS: Die unterstützen laut Tabelle DNSSEC „partial“ (teilweise) und bieten viel Hintergrundinfos und Vidoes zum Theme IPv6. Allerdings handelt es sich hier um ein „free service“ im DNS-Bereich: Freibier würde ich schon nehmen, bei Internet-Diensten bin ich aber etwas skeptisch.
  • RcodeZero: Firmensitz am Karlsplatz in Wien, sprechen nicht nur Geschäftskunden an sondern auch Eigentümer von TLD’s (Top-Level-Domains) wie .at oder .wien oder .shop. Dort ist das geballte Wissen der Österreicher versammelt, die das vom Beginn des Internets an im Keller des Neuen Insitutsgebäudes (NIG) an der Uni Wien gemacht haben. Klare Empfehlung für denjenigen, der es sich leisten kann: Ab 19 € exkl. USt. pro Monat ist man mit 5 Zonen dabei, wenn man DNSSEC will, muss man mit 49 € pro Monat rechnen (Stand Februar 2020).
  • DNSMadeEasy: Die machen das schon jahrelang, haben kurze und nette Erklärvideos auf YouTube, das Userinterface ist etwas altvaterisch, beinhaltet aber alles, was man braucht. Für das gratis Testmonat (für  3 Domains) braucht man nicht einmal eine Kreditkarte angeben. Das schaue ich mir an.

Wir haben gewählt: DNSMadeEasy

Nun eine Schritt-für-Schritt-Anleitung, wie man seine Secondary DNS einrichtet und testet.

1. Einstellungen auf DNSMade Easy: Meine Domainen hinzufügen

  • Also hinsurfen zu https://dnsmadeeasy.com/ und einmal als Neukunde unter „Start free trial“ registrieren.
  • Nachdem ich mich registriert habe, trage ich als erstes unter dem Menüpunkt „Advanced“ das „Secondary IP Set“ ein. Das ist die Sammlung der Primary Server, von denen dann die Secondaries die Zone-Files abholen. Der Name ist da vielleicht irreführend.
  • Dann gehe ich zum Menüpunkt „DNS“ und wähle den Punkt „Secondary DNS“
  • Nun erscheint u.a. rechts oben der Button „Add Secondary“, den ich anklicke
  • Nun füge ich einmal testweise nur drei Domainen von mir hinzu (ist ja noch gratis) und wähle das „Secondary IP Set“ aus, in dem eigentlich mein Primary DNS steht.
  • Ich erhalte die Meldung, dass das ein paar Minuten dauern kann, sehe aber gleich meine neuen Domainen aufgelistet.
  • Wenn ich nun in dieser Auflistung eine der neuen Domainen anklicke, sehe ich die drei neuen Secondary Domainenserver samt IP-Adresse

2. Einstellungen auf meinen eigenen (Plesk-)Server bei IONOS by 1und1: Meinen Primary DNS aktualisieren

  • Die drei neuen Secondary-DNS muss ich nun als NS-records auf meinem Primary DNS eintragen, damit die auch zugreifen können.
    Nicht vergessen, eintragen alleine reicht nicht, man muss danach nochmals aktualisieren (früher mußte man da den Zähler händisch um 1 erhöhen)
  • Vorher sollte ich aber möglichst noch in Plesk unter dem „DNS-Zonen-Template“ beim Punkt „Transferbeschränkungen-Template“ die IP-Adressen eintragen, die Zonenfiles abholen dürfen. Diese Einträge gelten dann für alle Domainen auf meinem Plesk-Server.
    (Die IP-Adressen finden sich auf DNSMadeEasy unter dem Punkt: „To properly use the DNS Made Easy secondary DNS service, you will want to make sure you „allow transfer from“ and „send notify to“ the following IP addresses:“
  • In Plesk selbst füge ich meine drei neuen Secondary DNS gleich als NS-Einträge im „DNS-Zonen-Template“ hinzu. Aber obacht: Plesk lädt einem dauernd ein, dieses Zonenpaket „auf alle“ oder, wenn man innerhalb einer Domaine in der DNS Domaine ist, auf gerade diese Domaine erneut anzuwenden. Selbst gesetzte Einträge, um zB einen externen Mailserver auf Office 365 zu verwenden und zB Einträge von Let’s Encrypt sind dann weg. Ich brauche dieses DNS -Zonen-Paket nur zur Neuanlage einer Domaine auf Plesk.

3. Wieder zurück zu DNSMade Easy: Check, ob die Secondary DNS nun die richtigen Werte ausliefern

  • Wenn ich eine der eingetragenen Domainen auf DNSMadeEasy angeklickt habe und über der untersten Tabelle, die den Titel „The following table displays the health of the secondary nameservers“ die Meldung in grün steht:
    The serial number on all name servers are in sync. For more information about serial numbers, click here.
    Dann ist alles ok.
    Bei einer andern Meldung kann es sein, daß man nur noch etwas warten muss (je nach SOA-Einstellung: Normalerweise steht dort zB 3600 Sekunden = 1 Stunde, dann wird nach einer Stunde nochmals ein Synchronisationsversuch gestartet). Neben diesem zeitlichen Aspekt ist es eben wichtig, dass die DNSMadeEasy Secondary DNS überhaupt die Zonefiles von meinem Server auslesen dürfen (s.o. Transferbeschränkungen).
    Beachte auch die Current Serial Number: Wenn die beim Master Domainserver (Primary) niedriger wäre als bei den Secondary, dann mal neue Einträge beim eigenen Primary anlegen udn wieder löschen, bis die Primary Seriennummer höher ist – dann werden die Secondary wohl innerhalb einer Stunde wieder aktualisieren.

4. Zurück zum Registrar: Glue-records für die DNS setzen

  • In den Domaineinstellungen beim Registrar (bei mir IONOS by 1und1) muss man nun angeben, dass man eigene DNS verwendet
  • und dort den eigenen Primary und die (drei) neuen Secondary von DNSMadeEasy eintragen
  • Danach setzt der Registrar sogenannte Glue-Records, die auch der TLD-Topleveldomain-Verwaltung wie denic, nic.at oder Ripe mitgeteilt werden. Ohne diese Glue-records funktioniert nichts, denn da könnte sich ja jeder DNS als „authoritativ“ für eine bestimmte Domaine erklären.

5. Testen, ob alles läuft und alle DNS (dieselben) Antworten liefern

Hier ein paar Testtools, mit denen man den Status und Wirksamkeit seiner Nameserver überprüfen kann.

  • Konsistenz der Nameserver:
    Ob nun die DNS-Einträge konsistent über alle DNS-Server sind, kann man zB auf https://dns-check.nic.it/ online überprüfen.Es gibt viele Dienste. die das machen, aber die Italierner machen das sehr professionell.
  • Geographisch: Findet man den Server weltweit
    Ein weiterer, netter Prüfdienst ist https://dnschecker.org/: Da trägt man zB seine Webserveradresse ein und sieht weltweit, wer diese Adresse zur richtigen IP auflösen kann.
  • Kompletter Gesundheitscheck aller DNS-Einstellungen auf allen DNS einer Domaine
    Diese Website DNS Checker bietet weitere Tools, ich empfehle vor allem den DNS Health Checker.
  • Bei den Ultratools von neustar. sind zwei beachtenswert
  • Als Alternative zu den Ultratools gibt es z.B. auch die vom Heise Verlag (ct‘, ix), die uns auch die Commandline ersparen: https://www.heise.de/netze/tools/dns/ – hier können aber nur die Eintragungen der beiden heise-DNS abgefragt werden
  • Auch ein Klassiker ist die MXToolBox: https://mxtoolbox.com/NetworkTools.aspx Da wird einem geholfen, schön übersichtlich ist dabei der Domain Health Check

6. Nach drei Tagen die Tests wiederholen

  • Da es bis zu 48 Stunden dauern kann, bis alle DNS-Einträge aktualisiert sind, ist es gut, nochmals nachzugucken: Höchstwahrscheinlich verschwinden die Fehler von selbst, wenn man sauber die DNS-Records gesetzt hat.
  • Wenn Fehler weiter bestehen bleiben, liegt es oft daran, dass in den alten DNS die Einträgenicht gelöscht/aktualisiert wurden. Bei Migrationen/Übersiedelungen die alten DNS checken, ob sie nun richtig (= aktuell) antworten.Wenn Fehler bestehen, diese beim Support melden und auf die Beseitigung bestehen!