Die häufigsten Fehler und Schutzmaßnahmen für das DNS

Das Domain Name System (DNS) ist eines der wichtigsten Protokolle im Internet. Häufig wird es plakativ als „Telefonbuch des Internets“ bezeichnet. Tatsächlich handelt es sich bei DNS um ein dezentrales Verzeichnis, mit dem einzelne Hostnamen wie „www.f5.com“ in eine IP-Adresse wie „18.66.122.15“ übersetzt werden.

Damit ist klar: Wenn es ein Problem mit dem Dienst gibt, finden Browser nicht mehr die vom Nutzer eingegebene Website. Dies ist so häufig die Ursache von größeren Ausfällen, dass es in der IT-Branche heißt: „Es liegt immer am DNS“. Meist stimmt das auch, zum Beispiel bei Akamai (Juli 2021) und Cloudflare (Juli 2020), aber nicht immer, wie der aktuelle Ausfall von Facebook Anfang Oktober zeigt. Hier war wohl ausnahmsweise das BGP (Border Gateway Protocol) Schuld.
 

Anzeige

Häufige Fehler bei der Konfiguration

In der Praxis werden die DNS-Server einmal konfiguriert – und dann vergessen, solange sie reibungslos ihren Dienst verrichten. Das gilt auch für das Performance Monitoring. So können im Laufe der Zeit erhebliche Probleme entstehen, insbesondere bei den folgenden häufigen Fehlern:

  • Betrieb von DNS-Servern am selben Standort führt etwa bei Stromausfall zu einem kompletten DNS-Ausfall
     
  • Betrieb der DNS-Infrastruktur über ein einziges Netzwerk (Autonomes System/ASN) führt bei Netzwerkproblemen ebenfalls zu einem DNS-Ausfall
     
  • Einsatz derselben Software auf allen DNS-Servern kann zur Ausbreitung eines Fehlers auf allen Servern führen

Praktische Lösungen

Eine der besten Möglichkeiten, Ausfälle zu vermeiden, ist die Nutzung mehrerer DNS-Anbieter. Dies ist relativ einfach. Denn das DNS-Protokoll verfügt über integrierte Mechanismen, die das Hinzufügen von „sekundären DNS-Diensten“ über Zonentransfers ermöglichen. Das bedeutet: Jede Änderung beim Hauptanbieter erzeugt eine Benachrichtigung (NOTIFY) an die sekundären Provider, die ihrerseits nach den Änderungen fragen. Die meisten DNS-Anbieter unterstützen diese Funktionen.

Neben einer höheren Ausfallsicherheit kann die Nutzung eines weiteren DNS-Anbieters viele weitere Vorteile bringen, darunter:

Anzeige
  • Software-Vielfalt. Anbieter B wird wahrscheinlich eine andere DNS-Software verwenden als Anbieter A. Wenn ein Fehler bei A auftritt, betrifft er (hoffentlich) nicht B – und umgekehrt.
     
  • Netzwerkredundanz. Die Anbieter leiten DNS-Anfragen über ihr Netzwerk weiter. Selbst wenn das DNS funktioniert, kann ein Ausfall des Netzwerks den Dienst beeinträchtigen. Ein zweiter DNS-Anbieter mit einem anderen Netz/ASN verringert diese Gefahr.
     
  • Latenzzeit. Eine geringe Latenzzeit ist entscheidend für schnelle DNS-Antworten. Einige Netzwerke haben jedoch in bestimmten Regionen bessere Latenzzeiten. Die Einbindung eines weiteren DNS-Anbieters kann dazu beitragen, eine optimale Latenz in der ganzen Welt zu gewährleisten.

Unternehmen sollten also jetzt handeln, statt abzuwarten. Denn der nächste DNS-bedingte Ausfall kommt bestimmt. 

Roman

Borovits

Senior Systems Engineer

F5 Networks

Roman Borovits ist als Sr. Systems Engineer für F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und blickt im Bereich Netzwerk & Security auf fast 20 Jahre Berufserfahrung zurück. Sein universitärer Background liegt im Bereich Business Process Engineering & Management. Die Themenschwerpunkte bei F5 liegen im Bereich
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.