SecondDNS
Anleitungen

So richten Sie einen sekundären DNS-Server ein

Was ist ein sekundärer DNS-Server?

Sekundären DNS-Server einrichten — primärer und sekundärer Nameserver verbunden

Ein sekundärer DNS-Server (auch Slave-Server genannt) hält eine schreibgeschützte Kopie Ihrer DNS-Zonendaten. Er erhält Aktualisierungen vom primären (Master-)Server über einen Zonentransfer — einen vollständigen AXFR oder einen inkrementellen IXFR.

Wenn ein Resolver Ihre Domain abfragt, kann die Anfrage vom primären Server oder von jedem in Ihren NS-Einträgen aufgeführten sekundären Server beantwortet werden. Das schafft Redundanz: Fällt der primäre Server aus, liefern die sekundären Server weiterhin die zuletzt gültigen Einträge, und Ihre Domain bleibt auflösbar. Die Rollen von primärem und sekundärem Server sind in RFC 1034 definiert.

Sie bearbeiten Ihre Einträge an einer Stelle — auf dem primären Server — während jeder sekundäre Server diese Änderungen automatisch über den Zonentransfer spiegelt. Nach der Einrichtung gibt es im Alltag nichts zu warten, was einen sekundären Server zum einfachsten, von Registraren anerkannten Weg macht, Ihrem DNS Ausfallsicherheit hinzuzufügen.

Warum Sie einen sekundären DNS-Server brauchen

Die meisten Domain-Registrare verlangen mindestens zwei Nameserver, bevor sie eine Zone delegieren. Über dieses Minimum hinaus bietet Ihnen ein sekundärer DNS-Server:

– Widerstandsfähigkeit gegen Ausfälle und Wartungsfenster des primären Servers – Geringere Antwortlatenz durch Nameserver in verschiedenen geografischen Regionen und Netzwerken – Schutz vor DDoS-Angriffen auf einen einzelnen Server oder ein einzelnes Netzwerk – Konformität mit RFC 2182, der mindestens drei Nameserver in getrennten Netzwerken pro Zone empfiehlt

Wenn Sie die vollständige Begründung für den Betrieb mehrerer Nameserver möchten, lesen Sie unseren Leitfaden zu DNS-Redundanz und Failover.

Automatische DNS-Zonensynchronisation

Die Synchronisierung wird vom SOA-Eintrag der Zone und von NOTIFY-Nachrichten gesteuert:

– Nach dem ersten AXFR prüft der sekundäre Server die Zone in jedem Refresh-Intervall erneut (dem zweiten Timer im SOA-Eintrag). – Sendet der primäre Server bei jeder Änderung ein NOTIFY (RFC 1996), holen die sekundären Server die Aktualisierung innerhalb von Sekunden, ohne auf den Refresh-Timer zu warten. – Eine erhöhte SOA-Seriennummer ist das Signal, das dem sekundären Server mitteilt, dass neue Daten verfügbar sind — erhöhen Sie sie immer nach dem Bearbeiten einer Zone, sonst sieht der sekundäre Server Ihre Änderungen nie.

Die Mechanik von AXFR, IXFR, die SOA-Timer und die TSIG-Signierung werden ausführlich im Leitfaden AXFR-Zonentransfers verstehen behandelt.

Voraussetzungen für sekundäres DNS

Stellen Sie vor dem Start sicher, dass Sie Folgendes haben:

1. Einen primären DNS-Server mit BIND, PowerDNS, Knot, NSD oder einer anderen Software, die AXFR unterstützt 2. Die öffentliche IP-Adresse dieses primären Servers 3. AXFR (Zonentransfer) auf dem primären Server für die IP-Adresse des sekundären Servers erlaubt 4. Zugriff auf Ihren Domain-Registrar, um NS-Einträge zu bearbeiten

TCP-Port 53 muss auf dem primären Server erreichbar sein — AXFR läuft über TCP, nicht über UDP. Eine Firewall, die nur UDP/53 zulässt, beantwortet zwar normale Anfragen, bricht aber stillschweigend Zonentransfers ab.

Zonentransfers auf dem primären DNS erlauben

Erlauben Sie auf dem primären Server AXFR für die IP-Adresse des sekundären Servers.

Fügen Sie bei BIND dies zur Zonendefinition (oder zu den globalen Optionen) hinzu:

zone "example.com" {
    type primary;
    file "/etc/bind/zones/example.com.zone";
    allow-transfer { 192.0.2.1; };
    also-notify { 192.0.2.1; };
};

Erlauben Sie bei PowerDNS AXFR und aktivieren Sie NOTIFY in der pdns.conf:

allow-axfr-ips=192.0.2.1/32
also-notify=192.0.2.1

Erlauben Sie bei Knot DNS oder NSD den sekundären Server in den Transfer- und Notify-Einstellungen der Zone — Knot nutzt acl-Regeln (action: transfer und notify), NSD nutzt provide-xfr und notify. Die genaue Syntax finden Sie in der Dokumentation von Knot DNS und NSD.

Ersetzen Sie 192.0.2.1 durch die tatsächliche IP-Adresse Ihres sekundären DNS-Dienstes. Beschränken Sie Transfers bei Produktivzonen zusätzlich mit einem TSIG-Schlüssel — behandelt im Sicherheitsabschnitt des AXFR-Leitfadens.

Domain zum sekundären DNS hinzufügen

Wenn Sie einen verwalteten sekundären DNS-Dienst nutzen, fügen Sie Ihre Domain über das Dashboard oder die API hinzu. Geben Sie den Zonennamen und die IP-Adresse des primären Servers an — den Rest erledigt der sekundäre Server.

Der sekundäre Server versucht sofort einen AXFR, um die vollständige Zone abzurufen. Nach diesem ersten Transfer bleibt er über das Refresh-Intervall des SOA synchron oder sofort per NOTIFY, wenn der primäre Server entsprechend konfiguriert ist. Ist Ihr sekundärer Server nicht in den NS-Einträgen der Zone aufgeführt (eine Stealth- oder versteckte Konfiguration), fügen Sie seine IP zu also-notify hinzu, damit er weiterhin Änderungsbenachrichtigungen erhält.

Mit SecondDNS können Sie Ihre erste Zone in der kostenlosen 3-monatigen Testphase hinzufügen — ohne Kreditkarte — und prüfen, ob Transfers funktionieren, bevor Sie NS-Einträge darauf verweisen lassen. Erstellen Sie ein Konto, um die IP des sekundären Servers zu erhalten, die Sie in Zonentransfers auf dem primären DNS erlauben freigeben müssen.

NS-Einträge beim Registrar aktualisieren

Sobald der sekundäre Server synchronisiert, fügen Sie ihn als Nameserver bei Ihrem Domain-Registrar hinzu.

Wenn Ihr primärer Server ns1.example.com und der sekundäre ns1.seconddns.com ist, sollte Ihre Delegation beide auflisten:

example.com.  NS  ns1.example.com.
example.com.  NS  ns1.seconddns.com.

Lassen Sie den NS-Eintrag des primären Servers bestehen — beide Server beantworten Anfragen. Liegt der Hostname des sekundären Servers unter Ihrer eigenen Domain (zum Beispiel ns2.example.com), müssen Sie beim Registrar zusätzlich Glue-Records registrieren, damit Resolver dessen IP finden. Ein Provider-Hostname wie ns1.seconddns.com vermeidet den Glue-Record-Schritt vollständig; siehe personalisierte Nameserver, wenn Sie eigene (Vanity-)NS-Namen unter Ihrer Domain möchten.

Sekundäres DNS auf Funktion prüfen

Testen Sie, ob beide Nameserver dieselben Daten liefern:

dig @ns1.example.com example.com SOA
dig @ns1.seconddns.com example.com SOA

Beide sollten dieselbe SOA-Seriennummer zurückgeben. Ist die Seriennummer auf dem sekundären Server niedriger, ist der Zonentransfer noch nicht abgeschlossen — prüfen Sie die Firewall-Regeln und die allow-transfer-Konfiguration aus Zonentransfers auf dem primären DNS erlauben.

Bestätigen Sie, dass die Delegation beide Server auflistet:

dig example.com NS

Und fordern Sie die vollständige Zone vom sekundären Server an, um sicherzugehen, dass AXFR für ihn erlaubt ist. Dies sollte von Ihrer autorisierten IP gelingen und von jeder anderen Adresse abgelehnt werden:

dig @ns1.seconddns.com example.com AXFR

Wie lange dauert die Propagierung?

Änderungen an NS-Einträgen werden durch die TTL der Delegation in der übergeordneten Zone bestimmt, nicht durch die TTLs innerhalb Ihrer eigenen Zone. Rechnen Sie in der Praxis mit 24–48 Stunden, bis der neue Nameserver für jeden Resolver weltweit sichtbar ist, auch wenn die meisten Resolver ihn deutlich früher übernehmen.

In diesem Zeitfenster sind sowohl die alte als auch die neue Delegation gültig, sodass es keine Ausfallzeit gibt, solange jeder in Ihren NS-Einträgen aufgeführte Server korrekt antwortet. Genau deshalb überprüfen Sie den sekundären Server in Sekundäres DNS auf Funktion prüfen vor der Änderung der Delegation bei Ihrem Registrar.

Fehlerbehebung bei der Einrichtung des sekundären DNS

Häufige Probleme und ihre Lösung:

Zonentransfer abgelehnt — der primäre Server erlaubt AXFR von der IP des sekundären Servers nicht. Prüfen Sie allow-transfer (BIND) bzw. allow-axfr-ips (PowerDNS) sowie alle Firewall-Regeln auf TCP-Port 53.

Veraltete Einträge auf dem sekundären Server — NOTIFY erreicht den sekundären Server nicht, oder das Refresh-Intervall im SOA ist zu lang. Aktivieren Sie also-notify auf dem primären Server oder verringern Sie den Refresh-Timer.

Seriennummer steigt nicht — wenn Sie die Zone von Hand bearbeiten, aber vergessen, die SOA-Seriennummer zu erhöhen, holt der sekundäre Server die Änderung nie. Erhöhen Sie immer die Seriennummer; viele Betreiber verwenden das Format YYYYMMDDnn.

Sekundärer Server nicht im DNS gelistet — Änderungen an NS-Einträgen können 24–48 Stunden zur Propagierung benötigen. Prüfen Sie mit dig gegen bestimmte Resolver (zum Beispiel dig @8.8.8.8 example.com NS).

Verbindungs-Timeout — TCP-Port 53 ist zwischen primärem und sekundärem Server blockiert. AXFR nutzt TCP; eine Firewall, die nur UDP/53 zulässt, lässt Abfragen durch, bricht aber Transfers ab.

Richten Sie das in einem Hosting-Control-Panel ein? Folgen Sie den Schritt-für-Schritt-Anleitungen für cPanel/WHM, Plesk, DirectAdmin oder CyberPanel.

Verwandte Leitfäden

AXFR-Zonentransfers verstehenDNS-Redundanz: Warum sie wichtig ist und wie Sie sie erreichenPersonalisierte Nameserver: Einrichtung, Glue-Records und StolperfallenSekundäres DNS in cPanel/WHM einrichtenSekundäres DNS in Plesk einrichtenSekundäres DNS in DirectAdmin einrichtenSekundäres DNS in CyberPanel einrichten