Sekundären DNS zum CyberPanel Hosting-Panel hinzufügen

Warum CyberPanel einen sekundären DNS braucht

Secondary-DNS-Server für CyberPanel — Secondary-DNS-Dienst via REST API

CyberPanel verwendet PowerDNS als integrierten DNS-Server. Standardmäßig hängen alle Ihre Domains von einem einzelnen Nameserver ab. Fällt dieser Server aus — bei einem Neustart, Kernel-Update, DDoS-Angriff oder Hardware-Ausfall — wird jede darauf gehostete Domain unerreichbar. Besucher erhalten DNS-Auflösungsfehler, E-Mail-Zustellung schlägt fehl und API-Aufrufe laufen in ein Timeout.

Ein sekundärer DNS-Server beseitigt diesen Single Point of Failure. Jede Zone wird automatisch per AXFR (autoritativer Zonentransfer) repliziert, sodass Ihr DNS auch dann Anfragen beantwortet, wenn der primäre Server offline oder in der Wartung ist.

Domain-Registrare verlangen mindestens zwei Nameserver, und RFC 2182 empfiehlt drei für Produktivumgebungen. Ohne sekundären DNS genügt ein einziger Serverausfall, um den gesamten DNS aller Domains lahmzulegen.

Sie haben noch keinen sekundären Nameserver? SecondDNS stellt einen in einer kostenlosen 3-monatigen Testphase bereit, ohne Kreditkarte — jetzt starten, dann folgen Sie den Schritten unten.

Wie DNS in CyberPanel funktioniert

CyberPanel verwendet PowerDNS — nicht BIND. Das ist wichtig, weil sich der Konfigurationsansatz von dem unterscheidet, den die meisten Sekundär-DNS-Anleitungen beschreiben.

In PowerDNS werden DNS-Daten in einer MySQL-Datenbank gespeichert (Tabellen domains und records der cyberpanel-Datenbank) und nicht in einfachen Zonendateien. PowerDNS liest und schreibt über das Datenbank-Backend. Das bedeutet: Sie können keine named.conf-Datei bearbeiten, um Zonentransfers zu konfigurieren — Sie müssen PowerDNS-Einstellungen in pdns.conf aktualisieren und PowerDNS-Werkzeuge (pdnsutil) verwenden.

Bei der Konfiguration von sekundärem DNS für CyberPanel weisen Sie PowerDNS an:

1. Jede Zone als MASTER zu markieren, damit PowerDNS NOTIFY-Nachrichten sendet, wenn sich eine Zone ändert 2. Der SecondDNS-Server-IP zu erlauben, AXFR-Anfragen auszuführen (allow-axfr-ips) 3. Die SOA-Seriennummer in einem Format zu aktualisieren, das die Zonen-Aktualisierung auf dem sekundären Server auslöst

Das SecondDNS-Plugin erledigt all dies automatisch, indem es sich in CyberPanels Domain-Erstellungs- und -Löschungsereignisse einhängt.

Wie die Sekundär-DNS-Integration funktioniert

Das SecondDNS-Plugin für CyberPanel integriert sich in den Workflow zur Domain-Erstellung und -Löschung. Wenn Sie eine neue Domain in CyberPanel anlegen, führt das Plugin automatisch folgende Schritte aus:

1. Ändert den Zonentyp von NATIVE zu MASTER, damit PowerDNS bei Zonenänderungen NOTIFY an den sekundären Server sendet (AXFR selbst wird über allow-axfr-ips erlaubt) 2. Aktualisiert die SOA-Seriennummer auf das Standardformat YYYYMMDDNN 3. Registriert die Zone bei SecondDNS über die API, damit der sekundäre Server eine vollständige Kopie abruft

Beim Löschen einer Domain entfernt das Plugin diese vom sekundären Server. Es sind keine manuellen Schritte nötig, keine Zone wird vergessen und es bleiben keine veralteten Einträge zurück.

Nach der Einrichtung hält Ihr zugewiesener SecondDNS-Nameserver eine reine Lesekopie jeder Zone und beantwortet DNS-Anfragen mit voller Autorität. Hostname und IP Ihres Nameservers finden Sie im SecondDNS-Dashboard unter Settings > Nameservers.

Voraussetzungen für sekundäres DNS mit CyberPanel

Stellen Sie vor Beginn sicher, dass Sie Folgendes haben:

- CyberPanel v2.x oder neuer mit PowerDNS - Root-Zugriff (sudo) auf den Server - git auf dem Server installiert - Einen SecondDNS API-Schlüssel (erhalten Sie unter seconddns.com/dashboard/api-key) - Die IP Ihres SecondDNS-Nameservers (im Dashboard unter Settings > Nameservers) - TCP-Port 53 eingehend für Anfragen der SecondDNS-IP freigegeben

Das Zonentransferprotokoll AXFR verwendet TCP-Port 53, nicht UDP. Viele Firewall-Konfigurationen öffnen nur UDP 53 für reguläre DNS-Anfragen. Wenn TCP 53 gesperrt ist, schlagen Zonentransfers stillschweigend fehl, auch wenn die normale DNS-Auflösung funktioniert.

TCP-Port 53 für DNS-Zonentransfers öffnen

Öffnen Sie vor dem Ausführen des Installers TCP-Port 53 für den SecondDNS-Server. Die IP Ihres Nameservers finden Sie im SecondDNS-Dashboard unter Settings > Nameservers. Ersetzen Sie SECONDARY_IP in den folgenden Befehlen.

Falls Sie UFW verwenden:

ufw allow from SECONDARY_IP to any port 53 proto tcp
ufw reload

Falls Sie iptables verwenden:

iptables -I INPUT -s SECONDARY_IP -p tcp --dport 53 -j ACCEPT

Um zu prüfen, ob TCP-Port 53 von außen erreichbar ist:

nmap -p 53 -sT YOUR_SERVER_IP

Der Installer fügt automatisch die korrekte IP zu PowerDNS allow-axfr-ips hinzu, wenn Sie Ihren API-Schlüssel angeben — er liest Ihren zugewiesenen Nameserver über die SecondDNS-API.

Sekundäres DNS auf CyberPanel installieren

Führen Sie als root folgenden Befehl aus:

curl -sL https://raw.githubusercontent.com/seconddns/dns_integrations/main/hosting-panels/cyberpanel/install.sh | bash -s -- --api-key=YOUR_API_KEY

Der Installer wird: - Ihren API-Schlüssel überprüfen - Die Server-IP erkennen (IPv4 und IPv6) - Das CLI-Tool und das CyberPanel-Plugin installieren - PowerDNS für AXFR konfigurieren (Master-Modus, allow-axfr-ips auf Ihre SecondDNS-IP, SOA-Seriennummerformat) - Anbieten, CyberPanel neu zu starten, um das Plugin zu aktivieren

Ersetzen Sie YOUR_API_KEY durch den Schlüssel aus Ihrem SecondDNS-Dashboard. Der Installer beendet sich mit einem Fehlercode, wenn ein Schritt fehlschlägt.

PowerDNS-Schema auf CyberPanel korrigieren

CyberPanel v2.4.5 wird mit einem veralteten PowerDNS-Datenbankschema ausgeliefert. Zwei fehlende Spalten führen dazu, dass PowerDNS beim Aktualisieren von Zonen abstürzt. Führen Sie diese SQL-Abfragen in der MySQL-Konsole aus:

mysql -e "ALTER TABLE cyberpanel.domains ADD COLUMN options TEXT DEFAULT NULL;"
mysql -e "ALTER TABLE cyberpanel.domains ADD COLUMN catalog VARCHAR(255) DEFAULT NULL;"

Dann starten Sie PowerDNS neu:

systemctl restart pdns

Wenn eine Spalte bereits existiert, gibt der Befehl einen harmlosen Duplicate-column-Fehler aus — dieser kann ignoriert werden. Dieser Schritt ist nur für CyberPanel v2.4.5 erforderlich.

Nameserver in CyberPanel konfigurieren

Gehen Sie zu CyberPanel > DNS > Create/Edit Nameservers und setzen Sie:

- NS1: Ihr primärer Nameserver (z.B. ns1.yourdomain.com) - NS2: Ihr SecondDNS-Nameserver-Hostname (im Dashboard unter Settings > Nameservers)

Wenn Sie das Personalized NS Add-on haben, verwenden Sie Ihren gebrandeten Hostnamen (z.B. ns2.yourdomain.com). Dies stellt sicher, dass jede neue Zone den korrekten sekundären Nameserver in ihren NS-Einträgen enthält.

Bestehende Domains mit sekundärem DNS synchronisieren

Wenn Sie bereits vor der Installation Domains in CyberPanel hatten, synchronisieren Sie diese mit dem sekundären DNS:

seconddns sync

Dies vergleicht Ihre lokalen Zonen mit dem sekundären Server und fügt fehlende hinzu. Lokal gelöschte Domains werden vom sekundären Server entfernt. Der sync-Befehl ist idempotent — Sie können ihn mehrfach ausführen, ohne Duplikate zu erzeugen.

Um den Status einer bestimmten Zone zu prüfen:

seconddns status example.com

CyberPanel-Sekundär-DNS-Einrichtung prüfen

Erstellen Sie eine Test-Domain in CyberPanel und bestätigen Sie, dass sie auf dem sekundären Server erscheint:

seconddns list

Fragen Sie dann beide Nameserver ab, um den Zonentransfer zu bestätigen. Ersetzen Sie SECONDARY_IP durch Ihre Nameserver-IP aus dem Dashboard:

dig @YOUR_PRIMARY_SERVER_IP example.com SOA +short
dig @SECONDARY_IP example.com SOA +short

Beide Befehle sollten die gleiche SOA-Seriennummer im Format YYYYMMDDNN zurückgeben. Wenn der sekundäre eine niedrigere Seriennummer zeigt, ist der Zonentransfer noch nicht abgeschlossen — warten Sie 30 Sekunden und versuchen Sie es erneut.

Wenn der sekundäre SERVFAIL zurückgibt oder nicht antwortet, prüfen Sie Ihre Firewall-Regeln für TCP-Port 53. Die häufigste Ursache für fehlgeschlagene Zonentransfers ist ein auf Firewall-Ebene gesperrter TCP-Port 53 bei gleichzeitig offenem UDP 53.

Fehlerbehebung für CyberPanel-Sekundär-DNS

Zone erscheint nicht auf dem sekundären Server Prüfen Sie das Plugin-Log unter /var/log/seconddns.log. Stellen Sie sicher, dass CyberPanel nach der Installation neu gestartet wurde. Prüfen Sie die Gültigkeit des API-Schlüssels:

seconddns status

AXFR abgelehnt PowerDNS lehnt die Zonentransfer-Anfrage ab. Der Installer konfiguriert allow-axfr-ips automatisch, aber manuelle Änderungen an pdns.conf können diese Einstellung überschreiben. Prüfen Sie den aktuellen Wert:

grep allow-axfr-ips /etc/pdns/pdns.conf

Der Wert sollte Ihrer SecondDNS-Nameserver-IP (aus dem Dashboard) entsprechen. Falls nicht, aktualisieren und PowerDNS neu starten:

systemctl restart pdns

SOA-Seriennummer bleibt bei 1 Das Plugin aktualisiert die Seriennummer nach der Zonenerstellung. Wurde die Zone vor der Plugin-Installation erstellt, führen Sie aus:

seconddns sync

oder erzwingen Sie eine Seriennummer-Aktualisierung manuell:

pdnsutil increase-serial YOURDOMAIN.COM

PowerDNS stürzt beim Zonen-Update ab Wenden Sie die Schema-Korrektur aus Schritt 2 an. Dies ist ein bekanntes Problem von CyberPanel v2.4.5.

Plugin wird nicht ausgelöst Prüfen Sie, ob der Signal-Block im CyberPanel-Einstiegspunkt existiert. Führen Sie den Installer erneut aus, um Signale neu zu registrieren — bei einer bereits bestehenden Installation ist das unbedenklich.

TCP-Port 53 Test schlägt fehl Führen Sie den nmap-Test aus dem Firewall-Abschnitt aus. Wenn TCP 53 gesperrt ist, fügen Sie die Firewall-Regel für Ihre SecondDNS-Nameserver-IP (aus dem Dashboard) hinzu und wiederholen Sie den Zonentransfer.

Zonentransfer läuft in Timeout Große Zonen können länger dauern. Prüfen Sie die Zonengröße:

pdnsutil list-zone YOURDOMAIN.COM | wc -l

Zonen mit über 10.000 Einträgen können mehrere Minuten für den initialen Transfer benötigen.

Deinstallation

Um die Integration zu entfernen:

curl -sL https://raw.githubusercontent.com/seconddns/dns_integrations/main/hosting-panels/cyberpanel/uninstall.sh | bash

Dies entfernt CLI, Plugin, Signal-Registrierung und den systemd-Hook. Ihre Zonen auf dem sekundären Server werden nicht automatisch gelöscht. Wenn Sie den sekundären Server vor der Deinstallation bereinigen möchten, entfernen Sie die Zonen über das SecondDNS-Dashboard oder führen Sie aus:

seconddns remove-all