DNS-System umgebaut

VonChristian Rehkopf

DNS-System umgebaut

Damit ist der Letzte „ToDo“-Job des Umzugs vom November auch abgehakt: die Nameserver sind jetzt in Berlin und Hannover und synchronisieren sich mal ganz anders.

Zu jeder Domain muss man mindestens 2 Nameserver angeben, diese dürfen nicht im gleichen Netz stehen, und sollten möglicht an unterschiedlichen Standorten betrieben werden.
Unsere Nameserver hatten wir allerdings in den letzten Jahren meist am gleichen Standort, und seit der Umstellung auf virtualisierte Systeme (Mitte 2008) im Grunde genommen auf dem selben Rechner.
Beim Wechsel des Rechenzentrums hatten wir die NS bei einem Kollegen in Hannover "geparkt" (virtualisierte Systeme kann man ganz schnell mal übers Internet von einem Rechenzentrum ins andere befördern) und wollten diese nach dem Umzug wieder zurückholen.
Dazu bräuchten wir aber IP-Adressen aus 2 Netzen. Der Provider, der das RZ betreibt in dem wir uns befinden, ist aber nicht in der Lage uns Adressen aus mehreren Netzen zu geben (überlastet, überfordert, underskilled – ich weiss es nicht. IPv6 kann die Klitsche angeblich auch nicht – erbärmlich, aber anderes Thema). Jedenfalls hatten wir dadurch immernoch auf ein zweites Netz gewartet und die NS noch nicht umgeschaltet. Das Ergebnis waren 25 Minuten NS-Ausfall am Freitag – ganz doofe Sache.
Normalerweise synchronisieren primäre und untergeordnete Nameserver sich automatisch je nach Einstellungen der Zonen, zeitlich gesteuert über Verfallsdaten (TTL), diese Synchronisationsprotokolle sind Bestandteil der DNS-Architektur.
Unsere Nameserver beziehen ihre Daten aus einer Datenbank – das hat die Vorteile das man Delegationen in Echtzeit vornehmen kann, es übersichtlicher ist, man diese Daten Querverknüpfen kann und in dem neuen Kundenbereich (an dem wir bauen) die Daten entsprechend dargestellt und ggfs. konfiguriert werden können. Ausserdem sind die Mechanismen zur Synchronisation über das DNS-Protokoll somit deaktiviert, daher kann ein Angriff durch gefälschte DNS-Pakete niemals erfolgreich sein.
Damit die Nameserver nun auf identische Datenbestände zurückgreifen, verwenden wir "herkömmliche" Datenreplikation der Datenbankarchitektur über einen VPN-Tunnel. Durch geschicktes Wechselspiel der Aufgaben der einzelnen Standorte würde ein Unterbrechung der Kommunikation sofort auffallen – uns, nicht Ihnen oder jemand Anderem.
Das ist die sicherste und schnellste (und coolste) Nameserver-Redundierung die ich je gesehen habe, auch im Internet hab ich keinen gefunden, der so ein Modell beschreibt.

Über den Autor

Christian Rehkopf administrator