Die DNS-Weiterleitung trägt zur Beschleunigung Ihres Netzwerks bei. Sie sollten sie einsetzen, wenn Ihre Benutzer Ihren Domänennamen anfordern, ihr DNS-Server die entsprechende IP-Adresse aber nicht im Cache finden kann. Unternehmen mit umfangreichen Namensräumen nutzen dieses Verfahren häufig.
Lesen Sie weiter im Blog, um zu erfahren, was DNS-Weiterleitung ist und wie sie für externe und interne Adressen verwendet wird.
Was ist DNS-Weiterleitung?
DNS-Weiterleitung ist ein Prozess, bei dem ein anderer designierter Server (Root-Hinweis-Server) nicht auflösbare Adressen oder DNS-Anfragen bearbeitet, weil der ursprünglich kontaktierte Server keine Antwort hat. Im Allgemeinen wird allen Servern, die Domänennamen in IP-Adressen umwandeln sollen, ein bestimmter Forwarder zugewiesen, der alle Anfragen weiterleitet, die sie nicht auflösen können.
Diese Technik wird von Unternehmen mit sehr großen Namensräumen oder von Unternehmen, die zusammenarbeiten, verwendet, da sie die Namensräume der anderen auflösen können.
Was ist ein DNS Fowarder?
Ein DNS-Forwarder ist ein DNS-Server, der so konfiguriert ist, dass er Anfragen, die lokal nicht aufgelöst werden können, an einen anderen DNS-Server, in der Regel einen externen, weiterleitet. Dieser weiterleitende DNS-Server fungiert in der Regel als Vermittlungsserver, der DNS-Anfragen einfach an einen autoritativeren DNS-Server zur effektiven Auflösung der Anfrage weiterleitet.
Wie funktioniert die DNS-Weiterleitung?
Schauen wir uns nun an, wie die DNS-Weiterleitung funktioniert.
Wenn interne DNS-Informationen privat sind, können sie online übertragen werden, wenn der Root-Hinweis-Server öffentlich zugänglich ist, da im internen Netzwerk kein DNS-Forwarder verwendet wird. Sie können es auch verwenden, wenn die ISP-Gebühren Ihres Netzwerks hoch sind oder die Verbindung aufgrund des Fehlens eines internen DNS-Forwarders nicht schnell genug ist. Dies liegt daran, dass ein interner DNS-Forwarder den externen Datenverkehr erhöht, was dessen Handhabung erschwert.
Die Verwendung eines DNS-Forwarders hilft beim Aufbau eines internen Caches für externe DNS-Daten, um den externen DNS-Datenverkehr zu reduzieren.
DNS-Weiterleitungsarten
Erläutern wir die 2 wichtigsten DNS-Weiterleitungsarten und wie sie jeweils funktionieren:
1. Bedingte Weiterleitung
Bei der bedingten DNS-Weiterleitung werden DNS-Server verwendet, die Abfragen für bestimmte Domänennamen weiterleiten, anstatt alle Abfragen weiterzuleiten. Sie leiten Anfragen an bestimmte Weiterleitungsstellen weiter, je nach den in der Anfrage genannten Hostnamen. Die bedingte DNS-Weiterleitung verbessert die herkömmliche Weiterleitung, indem sie den Prozess um eine namensbasierte Bedingung erweitert. Die bedingte DNS-Weiterleitung ist vorteilhaft, da sie eine sicherere, schnellere und zuverlässigere Internetverbindung herstellt. Dabei sendet der DNS-Server rekursive Abfragen an den Forwarder.
2. Rekursive Weiterleitung
Bei dieser Art der DNS-Weiterleitung leitet ein DNS-Server eine Anfrage an einen anderen DNS-Server weiter. Der zweite Server führt eine rekursive Suche durch, um die Anfrage aufzulösen. Ein Anwendungsfall ist, wenn ein DNS-Server Anfragen an einen zentralen DNS-Server zur Auflösung weiterleitet.
Weiterleitung vs. Caching
Bei der DNS-Weiterleitung sendet ein DNS-Server Client-Anfragen, die er nicht direkt auflösen kann, an einen anderen DNS-Server (einen Forwarder). Dies wird verwendet, um Aufgaben zur Auflösung von Anfragen auszulagern oder um bestimmte Richtlinien zur Weiterleitung von Anfragen umzusetzen.
Beim DNS-Caching werden die Ergebnisse früherer Abfragen zwischengespeichert, um die Latenzzeit zu verringern und die Leistung zu verbessern. Wenn ein DNS-Server über einen zwischengespeicherten Eintrag verfügt, bedient er die Anfrage sofort, anstatt sie weiterzuleiten.
Vorteile der DNS-Weiterleitung
Sehen wir uns die verschiedenen Vorteile der DNS-Weiterleitung an:
1. Verbesserte Abfrage-Effizienz
Durch die Weiterleitung von Abfragen an einen bestimmten DNS-Server werden die Abfragezeiten erheblich verkürzt und die Antworten wesentlich schneller, wodurch sich auch die Latenzzeit verringert.
2. Zentralisierte Verwaltung
Die DNS-Weiterleitung vereinfacht die DNS-Verwaltung. Dies ist besonders in großen Organisationen von Vorteil, da Administratoren die Auflösung von DNS-Anfragen zentralisieren und kontrollieren können, indem sie einige wenige DNS-Server zuweisen.
3. Sicherheit
Die Weiterleitung von DNS-Anfragen an einen sicheren und vertrauenswürdigen DNS-Server hilft, Cyberangriffe wie DNS-Spoofing-Angriffe zu verhindern.
4. Lastausgleich
Durch die Verteilung der Aufgaben zur Auflösung von Anfragen auf bestimmte DNS-Server kann die DNS-Weiterleitung dazu beitragen, die Last in einem Netzwerk auszugleichen. Dadurch wird letztlich verhindert, dass ein einzelner DNS-Server überlastet wird.
5. Multi-Domain-Unterstützung
Für Unternehmen mit mehreren internen oder externen Domänen ermöglicht die bedingte Weiterleitung eine nahtlose domänenspezifische Abfrageauflösung.
Wie konfiguriere ich DNS-Forwarder auf Microsoft Windows Server 2008 R2 und 2016?
Bevor Sie mit der Konfiguration der DNS-Weiterleitung beginnen, notieren Sie sich die IP-Adresse der rekursiven SIA-DNS-Server und stellen Sie sicher, dass eine Root-Datei konfiguriert ist. Eine IP-Adressen-Lookup Tool kann Ihnen helfen, die IP-Adresse Ihrer eigenen Domäne leicht zu finden. Die Root-Hinweisdatei listet die Root-DNS-Server auf, die die Active Directory-Domäne für Rekursionsabfragen kontaktiert. Dies kann über die grafische Benutzeroberfläche von Windows Server oder die Befehlszeile erfolgen.
Grafische Benutzeroberfläche
Sie können die folgenden Schritte ausführen, um DNS-Forwarder unter Windows mithilfe der grafischen Benutzeroberfläche einzurichten.
- Klicken Sie auf Start und gehen Sie zu Verwaltung > DNS.
- Klicken Sie mit der rechten Maustaste auf den DNS-Server, den Sie als Forwarder konfigurieren möchten.
- Navigieren Sie zum Menü Aktion und klicken Sie auf die Registerkarte "Eigenschaften".
- Wählen Sie die Registerkarte Forwarders.
- Klicken Sie auf Bearbeiten.
- Geben Sie im Dialogfeld "Forwarders bearbeiten" die primäre IP-Adresse des rekursiven SIA-DNS-Servers ein und drücken Sie die Eingabetaste.
- Fügen Sie die sekundäre IP-Adresse des rekursiven SIA DNS-Servers hinzu und drücken Sie die Eingabetaste.
- Löschen Sie andere Server, die als Forwarder aufgeführt sind. Behalten Sie nur die primären und sekundären rekursiven DNS-Server in der Weiterleitungsliste bei.
- Fügen Sie im Abschnitt Anzahl der Sekunden bis zum Ablauf der Weiterleitungsanfragen einen Wert hinzu, um die Anzahl der Sekunden festzulegen, die ein DNS-Server auf eine Antwort wartet.
- Klicken Sie auf OK.
- Aktivieren Sie die Option "Use Root Hint if no forwarders are available". Diese Option stellt sicher, dass DNS-Server in einer Root-Hinweisdatei den Namen lokal auflösen.
- Klicken Sie im Eigenschaftsdialog auf OK.
Befehlszeilenschnittstelle
Gehen Sie folgendermaßen vor, um die DNS-Weiterleitung unter Windows über die Befehlszeilenschnittstelle zu konfigurieren.
- Öffnen Sie die folgende Eingabeaufforderung. Beachten Sie, dass dies als Administrator ausgeführt werden sollte.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Wo:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Sie müssen jede IP-Adresse durch ein Leerzeichen trennen.
- <Time> refers to the time-out settings time. It is calculated in seconds.
DNS-Weiterleitung für externe Adressen
DNS-Weiterleitung ist wichtig, denn wenn es keinen bestimmten DNS-Server gibt, an den alle externen Anfragen weitergeleitet werden, werden alle internen DNS Server die Anfragen bearbeiten müssen. Dies ist unerwünscht, weil:
- Wenn das DNS nicht eindeutig in extern und intern getrennt ist, ist es durchaus möglich, dass die internen DNS-Daten durchsickern.
- Die Verkehrslast steigt, wenn Sie keine DNS-Weiterleitung eingerichtet haben. Wenn Sie einen DNS-Server als Forwarder bestimmen, verarbeitet er alle externen DNS-Auflösungen und erstellt einen Cache mit externen Adressen, um die Anzahl der rekursiven Abfragen zu minimieren und so den Datenverkehr zu reduzieren.
Wenn Ihr Unternehmen klein ist und nur über eine begrenzte Bandbreite verfügt, kann eine DNS-Weiterleitung das Netzwerk effizienter und schneller machen.
DNS-Weiterleitung für interne Adressen
Experten empfehlen, eine Teilmenge der internen Adressen durch DNS-Weiterleitung zu verwalten. Bei umfangreichen Intranets, die mehrere Domänen und Subdomänen umfassen, ist es außerdem praktisch, DNS-Anfragen für eine Teilmenge dieser Domänen von einem speziellen Server. Diese Anfragen werden im Allgemeinen nach dem DNS-Prinzip der bedingten Weiterleitung weitergeleitet.
Bewährte Praktiken für die DNS-Weiterleitung
DNS ist in der heutigen internetgesteuerten Welt von entscheidender Bedeutung. Wenn Sie nur einen DNS-Server haben, sollte dieser als Forwarder konfiguriert werden. Wenn Sie mehr als einen haben, können Sie einen, einige oder alle als Forwarder konfigurieren. Abgesehen davon können Sie die unten aufgelisteten Praktiken befolgen, um sicherzustellen, dass DNS-Forwarder optimal funktionieren.
Rekursion deaktivieren
Die Rekursion ermöglicht es DNS-Servern, andere Server im Namen des Kunden abzufragen. Dies hilft bei der DNS-Weiterleitung, setzt Ihr Netz aber auch Sicherheitsrisiken aus. Wenn Sie es also deaktivieren, sinkt die Wahrscheinlichkeit eines Angriffs. Außerdem wird der Datenverkehr reduziert, und Ihr Netzwerk wird schneller.
DNSSEC-Validierung aktivieren
DNSSEC oder Domain Name System Security Extensions sind Sicherheitsprotokolle zum Schutz vor DNS-Spoofing und Cache-Poisoning-Angriffe. Wenn es aktiviert ist, prüfen DNS-Forwarder digitale Signaturen. Die Antwort wird verworfen, wenn die Signatur nicht übereinstimmt, und eine Fehlermeldung wird an den Client gesendet.
Sie sollten es jedoch nur über eine sichere Verbindung verwenden. Andernfalls können Hacker die ausgetauschten Daten abfangen und verändern.
Überwachung von DNS-Servern
Die regelmäßige Überwachung von DNS-Servern macht Sie auf mögliche technische Probleme aufmerksam, so dass Sie schnell handeln können. Dies verringert die Ausfallzeiten, die Ihr Unternehmen sonst stark beeinträchtigen können.
Sie sollten auch die DNS-Forwarder-Protokolle überprüfen, um verdächtige Aktivitäten oder unverantwortliches Nutzerverhalten zu bemerken und so potenziellen Sicherheitsrisiken zuvorzukommen.
Erstellen und Testen einer alternativen Konfiguration
Mit einer alternativen Konfiguration können Sie im Falle eines Ausfalls auf einen anderen Forwarder umschalten. Dadurch werden Ausfallzeiten verringert und Ihre Ressourcen bleiben zugänglich. Testen Sie die Alternativkonfiguration unbedingt, bevor Sie eine neue Konfiguration einrichten.
Regelmäßige Sicherung der DNS-Serverdaten
Böswillige Akteure greifen Ihren Server an und versuchen, Daten zu ändern oder zu löschen. Die Sicherung von DNS-Serverdaten hilft, diese schnell wiederherzustellen, ohne den Datenverkehr in Ihrem Netzwerk zu unterbrechen. Ohne Backups dauert es Stunden oder sogar Tage, bis alles wiederhergestellt ist, was sich stark auf Ihr Geschäft auswirkt.
- Der Anstieg von Pretexting-Betrug bei verstärkten Phishing-Angriffen - Januar 15, 2025
- DMARC wird ab 2025 für die Zahlungskartenindustrie verpflichtend - 12. Januar 2025
- NCSC Mail Check-Änderungen und ihre Auswirkungen auf die E-Mail-Sicherheit im öffentlichen Sektor Großbritanniens - 11. Januar 2025