Sekundäres DNS im Plesk-Hosting-Panel einrichten

Warum Ihr Plesk-Server ein sekundäres DNS braucht

Secondary-DNS-Server für Plesk — Secondary-DNS-Dienst via REST API

Plesk nutzt BIND als DNS-Server. Standardmäßig hängen alle Ihre Domains an einem einzigen Nameserver. Fällt dieser Server aus — wegen Wartung, eines Hardwaredefekts oder eines DDoS-Angriffs —, ist jede Domain nicht mehr erreichbar. Besucher bekommen DNS-Fehler, E-Mails werden nicht mehr zugestellt, und Dienste laufen in einen Timeout.

Ein sekundärer DNS-Server hält per AXFR (autoritativer Zonentransfer) eine synchronisierte Kopie all Ihrer Zonen vor. Ist der primäre Server nicht erreichbar, beantwortet der sekundäre weiterhin die DNS-Anfragen für Ihre Domains. Ihre Webseiten, E-Mails und Dienste bleiben online.

Die meisten Domain-Registrare verlangen mindestens zwei Nameserver, und RFC 2182 empfiehlt drei für Produktivumgebungen. Ein sekundäres DNS hinzuzufügen, ist nicht nur Best Practice — im Produktivbetrieb ist es unverzichtbar.

Sie haben noch keinen sekundären Nameserver? SecondDNS stellt einen in einer kostenlosen 3-monatigen Testphase bereit, ohne Kreditkarte — jetzt starten, dann folgen Sie den Schritten unten.

Wie das DNS in Plesk funktioniert

Plesk betreibt BIND (named) und verwaltet dessen Konfiguration über eigene DNS-Templates. Das ist der entscheidende Punkt: Auf einem Plesk-Server bearbeiten Sie named.conf nicht von Hand, denn Plesk erzeugt diese Datei jedes Mal neu, wenn es die DNS-Konfiguration neu aufbaut. Jede manuelle Änderung an named.conf kann überschrieben werden, sobald Plesk das nächste Mal eine Zone anfasst.

Zwei Ebenen sind dabei wichtig:

1. Die DNS-Templates (Tools & Settings > DNS Settings) legen fest, welche Records jede neue Zone erhält — darunter auch, welche Nameserver in den NS-Records stehen. 2. Das Transfer Restrictions Template und die Server-wide DNS settings enthalten eigene BIND-Optionen (etwa allow-transfer und also-notify), die eine Neuerzeugung der Konfiguration überstehen, weil Plesk sie jedes Mal wieder einfügt.

Wenn Sie ein sekundäres DNS für Plesk einrichten, arbeiten Sie mit beiden Ebenen: mit dem Template, damit neue Zonen Ihren SecondDNS-Nameserver aufführen, und mit den Transfer- bzw. Server-wide-Einstellungen, damit die AXFR-Transfers weiterlaufen, nachdem Plesk named.conf neu geschrieben hat. Der SecondDNS-Installer erledigt beides, doch Schritt 2 weiter unten zeigt, wie Sie die AXFR-Einstellungen selbst dauerhaft machen.

Wie die Sekundär-DNS-Integration funktioniert

Die SecondDNS-Integration für Plesk nutzt Event-Handler, die Plesk nach DNS-Ereignissen automatisch aufruft:

1. Wenn Sie eine Domain, ein Abonnement oder einen Domain-Alias anlegen, registriert der Handler die Zone per API bei SecondDNS 2. SecondDNS zieht per AXFR eine vollständige Kopie der Zone von Ihrem Server 3. Wenn Sie eine Domain oder einen Alias löschen, entfernt der Handler sie aus SecondDNS

In Plesk hat jede Domain, jede zusätzliche Domain und jeder Domain-Alias eine eigene DNS-Zone, daher wird jede einzeln registriert. Alle Zonenänderungen werden über den BIND-NOTIFY-Mechanismus automatisch weitergegeben. Keine manuellen Schritte, keine Cron-Jobs, keine veralteten Records.

Voraussetzungen für sekundäres DNS mit Plesk

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

- Plesk Obsidian (18.x oder neuer) mit dem BIND-DNS-Server - Root-Zugriff (sudo) auf den Server - einen SecondDNS-API-Key (erhältlich unter seconddns.com/dashboard/api-key) - die IP Ihres SecondDNS-Nameservers (im Dashboard unter Settings > Nameservers zu finden) - TCP-Port 53 eingehend für die IP des SecondDNS-Servers geöffnet

Das Zonentransfer-Protokoll AXFR nutzt TCP-Port 53, nicht UDP. Viele Firewall-Konfigurationen öffnen nur UDP 53 für normale DNS-Anfragen. Ist TCP 53 blockiert, schlagen Zonentransfers stillschweigend fehl, obwohl die normale DNS-Auflösung funktioniert.

TCP-Port 53 für DNS-Zonentransfers öffnen

Bevor Sie den Installer ausführen, öffnen Sie TCP-Port 53 für den SecondDNS-Server. Die IP Ihres Nameservers finden Sie im Dashboard unter Settings > Nameservers; ersetzen Sie damit SECONDARY_IP in den Befehlen unten.

Wenn Sie die Plesk Firewall-Erweiterung verwenden, fügen Sie unter Tools & Settings > Firewall eine Regel hinzu, die eingehendes TCP auf Port 53 von SECONDARY_IP erlaubt.

Wenn Sie die Firewall direkt über firewalld verwalten:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="SECONDARY_IP" port port="53" protocol="tcp" accept'
firewall-cmd --reload

Oder mit iptables:

iptables -I INPUT -s SECONDARY_IP -p tcp --dport 53 -j ACCEPT

Um zu prüfen, ob TCP-Port 53 von außen erreichbar ist:

nmap -p 53 -sT YOUR_SERVER_IP

Sekundäres DNS auf Plesk installieren

Führen Sie den Einzeiler als root aus:

curl -sL https://raw.githubusercontent.com/seconddns/dns_integrations/main/hosting-panels/plesk/install.sh | bash -s -- --api-key=YOUR_API_KEY

Der Installer wird: - Ihren API-Key gegen die SecondDNS-API prüfen - die IP-Adresse Ihres Servers ermitteln (IPv4 und IPv6) - nachfragen, welche IP-Adresse verwendet werden soll, falls mehrere verfügbar sind - die Event-Handler-Skripte installieren - 12 Plesk-Event-Handler für das Anlegen, Umbenennen und Löschen von Domains registrieren - den voreingestellten ns2.<domain> im DNS-Template durch Ihren SecondDNS-Nameserver ersetzen - BIND für AXFR konfigurieren (allow-transfer, also-notify) - anbieten, bestehende Domains zu synchronisieren

Prüfen Sie nach der Installation das DNS-Template von Hand — die automatische Ersetzung gelingt nicht immer:

Zone Records Template: Gehen Sie zu Tools & Settings > DNS Settings > Zone Records Template und bestätigen Sie, dass der zweite NS-Record (ns2.<domain>.) durch den SecondDNS-Nameserver ersetzt wurde, der in Ihrem Dashboard angezeigt wird.

Zone Settings Template: Gehen Sie zu Tools & Settings > DNS Settings > Zone Settings Template und suchen Sie Primary Name Server. Das ist ein Dropdown, das aus den NS-Records des Templates befüllt wird — stellen Sie es von (Autoselect) auf den Eintrag für den Nameserver Ihres Plesk-Servers (ns1.<domain>) um. So nutzen neue Zonen Ihren Plesk-Server als autoritativen primären Server und nicht den sekundären.

Zonentransfer-Einstellungen dauerhaft machen

Der Installer konfiguriert BIND direkt, doch Plesk kann named.conf bei einer Neuerzeugung der Konfiguration überschreiben. Damit die AXFR-Einstellungen erhalten bleiben, legen Sie sie über Plesks eigene DNS-Einstellungen fest — Plesk fügt diese jedes Mal wieder ein, wenn es die Konfiguration neu aufbaut. Es gibt zwei Teile: die Transfer-Berechtigung und das NOTIFY-Ziel.

Den Transfer erlauben (auf native Plesk-Art). Verwenden Sie das Transfer Restrictions Template, das eigens dafür gedacht ist, einem sekundären Server über alle Zonen hinweg AXFR zu gewähren, und das von Plesk validiert wird:

1. Gehen Sie zu Tools & Settings > DNS Settings > Transfer Restrictions Template 2. Fügen Sie die IP Ihres SecondDNS-Nameservers (aus dem Dashboard unter Settings > Nameservers) zur Liste der erlaubten Adressen hinzu 3. Klicken Sie auf OK / Apply

Bei Änderungen NOTIFY senden. Fügen Sie also-notify zu den Server-wide settings hinzu:

1. Gehen Sie zu Tools & Settings > DNS Settings > Server-wide Settings 2. Fügen Sie im Feld Additional DNS settings Folgendes hinzu (ersetzen Sie SECONDARY_IP durch die IP Ihres Nameservers):

also-notify { SECONDARY_IP; };

3. Klicken Sie auf Apply.

Das Transfer Restrictions Template gewährt dem SecondDNS-Server die Berechtigung, die Zone zu ziehen (allow-transfer), und also-notify weist BIND an, ein NOTIFY zu senden, damit der sekundäre Server sich nach einer Änderung sofort aktualisiert. Da beides in den Plesk-Einstellungen liegt und nicht in named.conf, laufen die Zonentransfers weiter, auch nachdem Plesk seine DNS-Konfiguration neu erzeugt hat.

Bestehende Domains mit sekundärem DNS synchronisieren

Hatten Sie vor der Installation bereits Domains in Plesk, synchronisieren Sie sie auf den sekundären Server:

seconddns sync

Dieser Befehl gleicht Ihre lokalen Zonen mit SecondDNS ab und fügt alle fehlenden hinzu. Lokal gelöschte Domains werden vom sekundären Server entfernt. Der Befehl ist idempotent — Sie können ihn gefahrlos mehrmals ausführen.

Um eine bestimmte Zone zu prüfen oder alles auf dem sekundären Server aufzulisten:

seconddns status example.com
seconddns list

Plesk-Sekundär-DNS-Einrichtung prüfen

Legen Sie in Plesk eine Test-Domain an und beobachten Sie das Handler-Log:

tail -f /var/log/seconddns.log

Sie sollten Folgendes sehen:

Zone created: testdomain.com (plesk event handler)
[+] Zone testdomain.com added to SecondDNS

Fragen Sie anschließend beide Nameserver ab. Ersetzen Sie SECONDARY_IP durch die IP Ihres Nameservers aus dem Dashboard:

dig @YOUR_SERVER_IP testdomain.com SOA +short
dig @SECONDARY_IP testdomain.com SOA +short

Beide sollten dieselbe SOA-Seriennummer im Format YYYYMMDDNN zurückgeben. Zeigt der sekundäre Server eine niedrigere Seriennummer oder liefert er SERVFAIL, prüfen Sie den Zugriff auf TCP-Port 53 und das Handler-Log.

Unterstützte Domain-Typen

Die Integration verarbeitet alle Plesk-Domain-Typen:

- Standard-Domains (die erste Domain in einem Abonnement) - zusätzliche Domains - Domain-Aliasse (sowohl für Standard- als auch für zusätzliche Domains)

Jeder Typ hat seine eigene DNS-Zone in Plesk und löst den Event-Handler automatisch aus, wenn er über das Plesk-Control-Panel oder die CLI angelegt oder gelöscht wird.

Unterstützung für IPv4 und IPv6

Der Installer erkennt automatisch, welche Protokolle Ihr Server unterstützt und welche auf der SecondDNS-Seite verfügbar sind. Sind sowohl IPv4 als auch IPv6 verfügbar, können Sie wählen, welches Sie für die Zonentransfers verwenden.

Die AXFR-Konfiguration (allow-transfer und also-notify) wird mit der korrekten IP-Adresse für das von Ihnen gewählte Protokoll eingerichtet. Wenn Sie beide verwenden, fügen Sie jede Adresse in den allow-transfer- und also-notify-Blöcken der Server-wide settings hinzu.

Fehlerbehebung für Plesk-Sekundär-DNS

Zone erscheint nicht auf dem sekundären Server Prüfen Sie das Log unter /var/log/seconddns.log. Vergewissern Sie sich, dass die Event-Handler registriert sind:

plesk bin event_handler --list | grep seconddns

Sie sollten 12 Handler sehen (4 für das Anlegen, 4 für das Umbenennen, 4 für das Löschen). Fehlen sie, führen Sie den Installer erneut aus.

AXFR abgelehnt Stellen Sie sicher, dass Ihre SecondDNS-IP im Transfer Restrictions Template steht (Tools & Settings > DNS Settings > Transfer Restrictions Template). Das ist die Einstellung, die eine Neuerzeugung der Plesk-Konfiguration übersteht — funktionieren die Transfers zunächst und brechen später ab, fehlt die IP im Template und existierte nur in named.conf.

Verbindungs-Timeout Prüfen Sie, ob TCP-Port 53 zwischen Ihrem Server und SecondDNS offen ist. AXFR nutzt TCP, nicht UDP. Die häufigste Ursache fehlgeschlagener Transfers ist ein an der Firewall blockierter TCP-Port 53 bei gleichzeitig offenem UDP-Port 53.

Einstellungen werden nach einer Weile zurückgesetzt Das bedeutet, dass die AXFR-Direktiven nur in named.conf eingetragen wurden und nicht über die Plesk-Einstellungen. Fügen Sie die IP zum Transfer Restrictions Template und also-notify zu den Server-wide Settings hinzu, wie in Schritt 2 beschrieben.

Einen Handler manuell testen

NEW_DOMAIN_NAME=example.com bash -c /usr/local/bin/seconddns-plesk-domain_create.sh

Deinstallation

Um die Integration zu entfernen:

curl -sL https://raw.githubusercontent.com/seconddns/dns_integrations/main/hosting-panels/plesk/uninstall.sh | bash

Damit werden die Event-Handler, die Skripte und die Konfigurationsdatei entfernt. Ihre Zonen auf dem sekundären DNS werden nicht automatisch gelöscht — entfernen Sie sie über das SecondDNS-Dashboard oder führen Sie

seconddns remove-all

vor der Deinstallation aus, wenn Sie sie vom sekundären Server löschen möchten.

Hinweis: Die SecondDNS-IP im Transfer Restrictions Template und die also-notify-Zeile in den Server-wide Settings (Schritt 2) werden vom Installer bei der Deinstallation nicht entfernt. Löschen Sie sie von Hand unter Tools & Settings > DNS Settings, wenn Sie sie nicht mehr brauchen.