Was ist DNS-Weiterleitung?

Die DNS-Weiterleitung trägt zur Beschleunigung Ihres Netzes bei. Sie sollten sie einsetzen, wenn Ihre Benutzer Ihren Domänennamen anfordern, ihr DNS-Server die entsprechende IP-Adresse aber nicht im Cache finden kann. Dieses Verfahren wird im Allgemeinen von Unternehmen mit umfangreichen Namensräumen verwendet.

Lesen Sie weiter im Blog, um zu erfahren, was DNS-Weiterleitung ist und wie sie für externe und interne Adressen verwendet wird. 

Was ist DNS-Weiterleitung?

DNS-Weiterleitung ist ein Prozess, bei dem ein anderer designierter Server (Root-Hinweis-Server) nicht auflösbare Adressen oder DNS-Anfragen bearbeitet, weil der ursprünglich kontaktierte Server keine Antwort hat. Im Allgemeinen wird allen Servern, die Domänennamen in IP-Adressen umwandeln sollen, ein bestimmter Forwarder zugewiesen, der alle Anfragen weiterleitet, die sie nicht auflösen können. 

Diese Technik wird von Unternehmen mit sehr großen Namensräumen oder von Unternehmen, die zusammenarbeiten, verwendet, da sie die Namensräume der anderen auflösen können. 

Wie funktioniert die DNS-Weiterleitung?

Schauen wir uns nun an, wie die DNS-Weiterleitung funktioniert.

Wenn interne DNS-Informationen privat sind, können sie online übertragen werden, wenn der Root-Hinweis-Server öffentlich zugänglich ist, da im internen Netzwerk kein DNS-Forwarder verwendet wird. Sie können es auch verwenden, wenn die ISP-Gebühren Ihres Netzwerks hoch sind oder die Verbindung aufgrund des Fehlens eines internen DNS-Forwarders nicht schnell genug ist. Dies liegt daran, dass ein interner DNS-Forwarder den externen Datenverkehr erhöht, was dessen Handhabung erschwert. 

Die Verwendung eines DNS-Forwarders hilft beim Aufbau eines internen Caches für externe DNS-Daten, um den externen DNS-Datenverkehr zu reduzieren. 

Wie konfiguriere ich DNS-Forwarder auf Microsoft Windows Server 2008 R2 und 2016?

Bevor Sie mit der Konfiguration der DNS-Weiterleitung beginnen, notieren Sie die IP-Adresse der rekursiven SIA-DNS-Server und stellen Sie sicher, dass eine Root-Datei konfiguriert ist. Sie können die IP-Adresse Ihrer Domäne mithilfe der IP-Adressensuche ermitteln. Die Root-Hinweisdatei listet die Root-DNS-Server auf, die die Active Directory-Domäne für Rekursionsabfragen kontaktiert. Dies kann über die grafische Benutzeroberfläche von Windows Server oder die Befehlszeile erfolgen.

Grafische Benutzeroberfläche

Gehen Sie folgendermaßen vor, um DNS-Forwarder unter Windows über die grafische Benutzeroberfläche zu konfigurieren.

1. Klicken Sie auf Start > Verwaltung > DNS.
2. Klicken Sie mit der rechten Maustaste auf den DNS-Server, den Sie als Forwarder konfigurieren möchten.
3. Gehen Sie zum Menü Aktion und wählen Sie Eigenschaften.
4. Wählen Sie die Registerkarte Forwarders.
5. Klicken Sie auf Bearbeiten.
6. Geben Sie im Dialogfeld "Forwarders bearbeiten" die primäre IP-Adresse des rekursiven SIA-DNS-Servers ein und drücken Sie die Eingabetaste.
7. Fügen Sie die sekundäre IP-Adresse des rekursiven SIA DNS-Servers hinzu und drücken Sie die Eingabetaste.
8. Löschen Sie andere Server, die als Forwarder aufgeführt sind. Behalten Sie nur die primären und sekundären rekursiven DNS-Server in der Weiterleitungsliste bei.
9. Fügen Sie im Abschnitt Anzahl der Sekunden bis zum Ablauf der Weiterleitungsanfragen einen Wert hinzu, um die Anzahl der Sekunden festzulegen, die ein DNS-Server auf eine Antwort wartet.
10. Klicken Sie auf OK.
11. Aktivieren Sie die Option Root-Hinweise verwenden, wenn keine Forwarder verfügbar sind. Diese Option stellt sicher, dass DNS-Server in einer Root-Hinweisdatei den Namen lokal auflösen.
12. Klicken Sie im Eigenschaftsdialog auf OK.

Befehlszeilenschnittstelle

Gehen Sie folgendermaßen vor, um die DNS-Weiterleitung unter Windows über die Befehlszeilenschnittstelle zu konfigurieren. 

1. Öffnen Sie eine Eingabeaufforderung und führen Sie sie als Administrator aus. 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Wo: 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

Bedingte Weiterleitung

Bei der bedingten DNS-Weiterleitung werden DNS-Server verwendet, die Abfragen für bestimmte Domänennamen weiterleiten, anstatt alle Abfragen weiterzuleiten. Sie leiten Anfragen an bestimmte Weiterleitungsstellen weiter, je nach den in der Anfrage genannten Hostnamen. 

Die bedingte Weiterleitung DNS verbessert die konventionelle Weiterleitung, indem sie eine namensbasierte Bedingung in den Weiterleitungsprozess einfügt.

Die bedingte DNS-Weiterleitung ist vorteilhaft, da sie eine sicherere, schnellere und zuverlässigere Internetverbindung herstellt. Dabei sendet der DNS-Server rekursive Abfragen an den Forwarder.

DNS-Weiterleitung für externe Adressen

DNS-Weiterleitung ist wichtig, denn wenn es keinen bestimmten DNS-Server gibt, an den alle externen Anfragen weitergeleitet werden, müssen alle internen DNS-Server die Anfragen bearbeiten. Dies ist unerwünscht, weil:

1. Interne DNS-Daten können durchgesickert sein, wenn externes und internes DNS nicht getrennt werden. Dies ist eine besorgniserregende potenzielle Sicherheits- und Datenschutzschwachstelle.
2. Die Verkehrslast steigt, wenn Sie keine DNS-Weiterleitung eingerichtet haben. Wenn Sie einen DNS-Server als Forwarder bestimmen, verarbeitet er alle externen DNS-Auflösungen und erstellt einen Cache mit externen Adressen, um die Anzahl der rekursiven Abfragen zu minimieren und so den Datenverkehr zu reduzieren. 

Wenn Ihr Unternehmen klein ist und nur über eine begrenzte Bandbreite verfügt, kann eine DNS-Weiterleitung das Netzwerk effizienter und schneller machen.

DNS-Weiterleitung für interne Adressen

Experten empfehlen, eine Teilmenge der internen Adressen durch DNS-Weiterleitung zu verwalten. Bei umfangreichen Intranets, die mehrere Domänen und Subdomänen umfassen, ist es außerdem praktisch, DNS-Anfragen für eine Teilmenge dieser Domänen von einem eigenen Server kontrollieren zu lassen. Diese Anfragen werden im Allgemeinen nach dem DNS-Prinzip der bedingten Weiterleitung weitergeleitet.

Bewährte Praktiken für die DNS-Weiterleitung

DNS ist in der heutigen internetgesteuerten Welt von entscheidender Bedeutung. Wenn Sie nur einen DNS-Server haben, sollte dieser als Forwarder konfiguriert werden. Wenn Sie mehr als einen haben, können Sie einen, einige oder alle als Forwarder konfigurieren. Abgesehen davon können Sie die unten aufgelisteten Praktiken befolgen, um sicherzustellen, dass DNS-Forwarder optimal funktionieren. 

Rekursion deaktivieren

Die Rekursion ermöglicht es DNS-Servern, andere Server im Namen des Kunden abzufragen. Dies hilft bei der DNS-Weiterleitung, setzt Ihr Netz aber auch Sicherheitsrisiken aus. Wenn Sie es also deaktivieren, sinkt die Wahrscheinlichkeit eines Angriffs. Außerdem wird der Datenverkehr reduziert, und Ihr Netzwerk wird schneller. 

DNSSEC-Validierung aktivieren

DNSSEC oder Domain Name System Security Extensions sind Sicherheitsprotokolle zum Schutz vor DNS-Spoofing und Cache-Poisoning-Angriffe. Wenn sie aktiviert ist, überprüfen DNS-Forwarder digitale Signaturen. Die Antwort wird verworfen, wenn die Signatur nicht übereinstimmt, und eine Fehlermeldung wird an den Client gesendet.

Sie sollten es jedoch nur über eine sichere Verbindung verwenden. Andernfalls können Hacker die ausgetauschten Daten abfangen und verändern.

Überwachung von DNS-Servern

Die regelmäßige Überwachung von DNS-Servern macht Sie auf mögliche technische Probleme aufmerksam, so dass Sie schnell handeln können. Dies verringert die Ausfallzeiten, die Ihr Unternehmen sonst stark beeinträchtigen können. 

Sie sollten auch die DNS-Forwarder-Protokolle überprüfen, um verdächtige Aktivitäten oder unverantwortliches Nutzerverhalten zu bemerken und so potenziellen Sicherheitsrisiken zuvorzukommen. 

Erstellen und Testen einer alternativen Konfiguration

Mit einer alternativen Konfiguration können Sie im Falle eines Ausfalls auf einen anderen Forwarder umschalten. Dadurch werden Ausfallzeiten verringert und Ihre Ressourcen bleiben zugänglich. Testen Sie die Alternativkonfiguration unbedingt, bevor Sie eine neue Konfiguration einrichten. 

Regelmäßige Sicherung der DNS-Serverdaten

Böswillige Akteure greifen Ihren Server an und versuchen, Daten zu ändern oder zu löschen. Die Sicherung von DNS-Serverdaten hilft, diese schnell wiederherzustellen, ohne den Datenverkehr in Ihrem Netzwerk zu unterbrechen. Ohne Backups dauert es Stunden oder sogar Tage, bis alles wiederhergestellt ist, was sich stark auf Ihr Geschäft auswirkt.

• Über
• Neueste Beiträge

Ahona Rudra

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Wie finden Sie den besten DMARC-Lösungsanbieter für Ihr Unternehmen? - April 25, 2024
• PowerDMARC und Zendata schmieden Partnerschaft zur Verbesserung der Domain-Sicherheit - 25. April 2024
• PowerDMARC kooperiert mit CNS, um E-Mail-Sicherheitspraktiken im Nahen Osten voranzutreiben - April 24, 2024