Die meisten Probleme mit DNS in Unternehmen finden sich meist bei Fehlkonfigurationen. Roman Borovits, Senior Systems Engineer DACH bei F5, beschreibt die häufigsten Fehler und einfache Schutzmaßnahmen für das DNS.
Das Domain Name System (DNS) ist eines der wichtigsten Protokolle im Internet. Häufig wird es plakativ als „Telefonbuch des Internets“ bezeichnet. Tatsächlich handelt es sich bei DNS um ein dezentrales Verzeichnis, mit dem einzelne Hostnamen wie „www.f5.com“ in eine IP-Adresse wie „18.66.122.15“ übersetzt werden.
Kleiner Fehler – große Wirkung
Damit ist klar: Wenn es ein Problem mit dem Dienst gibt, finden Browser nicht mehr die vom Nutzer eingegebene Website. Dies ist so häufig die Ursache von größeren Ausfällen, dass es in der IT-Branche heißt: „Es liegt immer am DNS“. Meist stimmt das auch, zum Beispiel bei Akamai (Juli 2021) und Cloudflare (Juli 2020), aber nicht immer, wie der aktuelle Ausfall von Facebook Anfang Oktober zeigt. Hier war wohl ausnahmsweise das BGP (Border Gateway Protocol) Schuld.
Häufige Fehler bei der Konfiguration
In der Praxis werden die DNS-Server einmal konfiguriert – und dann vergessen, solange sie reibungslos ihren Dienst verrichten. Das gilt auch für das Performance Monitoring. So können im Laufe der Zeit erhebliche Probleme entstehen, insbesondere bei den folgenden häufigen Fehlern:
- Betrieb von DNS-Servern am selben Standort führt etwa bei Stromausfall zu einem kompletten DNS-Ausfall
- Betrieb der DNS-Infrastruktur über ein einziges Netzwerk (Autonomes System/ASN) führt bei Netzwerkproblemen ebenfalls zu einem DNS-Ausfall
- Einsatz derselben Software auf allen DNS-Servern kann zur Ausbreitung eines Fehlers auf allen Servern führen
Praktische Lösungen für sicheres DNS
Eine der besten Möglichkeiten, Ausfälle zu vermeiden, ist die Nutzung mehrerer DNS-Anbieter. Dies ist relativ einfach. Denn das DNS-Protokoll verfügt über integrierte Mechanismen, die das Hinzufügen von „sekundären DNS-Diensten“ über Zonentransfers ermöglichen. Das bedeutet: Jede Änderung beim Hauptanbieter erzeugt eine Benachrichtigung (NOTIFY) an die sekundären Provider, die ihrerseits nach den Änderungen fragen. Die meisten DNS-Anbieter unterstützen diese Funktionen.
Neben einer höheren Ausfallsicherheit kann die Nutzung eines weiteren DNS-Anbieters viele weitere Vorteile bringen, darunter:
- Software-Vielfalt. Anbieter B wird wahrscheinlich eine andere DNS-Software verwenden als Anbieter A. Wenn ein Fehler bei A auftritt, betrifft er (hoffentlich) nicht B – und umgekehrt.
- Netzwerkredundanz. Die Anbieter leiten DNS-Anfragen über ihr Netzwerk weiter. Selbst wenn das DNS funktioniert, kann ein Ausfall des Netzwerks den Dienst beeinträchtigen. Ein zweiter DNS-Anbieter mit einem anderen Netz/ASN verringert diese Gefahr.
- Latenzzeit. Eine geringe Latenzzeit ist entscheidend für schnelle DNS-Antworten. Einige Netzwerke haben jedoch in bestimmten Regionen bessere Latenzzeiten. Die Einbindung eines weiteren DNS-Anbieters kann dazu beitragen, eine optimale Latenz in der ganzen Welt zu gewährleisten.
Unternehmen sollten also jetzt handeln, statt abzuwarten. Denn der nächste DNS-bedingte Ausfall kommt bestimmt.
Mehr bei f5.com
Über F5 Networks F5 (NASDAQ: FFIV) gibt den weltweit größten Unternehmen, Dienstleistern, Behörden und Verbrauchermarken die Freiheit, jede App sicher, überall und mit Vertrauen bereitzustellen. F5 bietet Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Infrastruktur zu nutzen, ohne Geschwindigkeit und Kontrolle zu beeinträchtigen. Weitere Informationen finden Sie unter f5.com. Sie können uns auch auf LinkedIn und Facebook besuchen, um weitere Informationen über F5, seine Partner und Technologien zu erhalten.