DNS-Zone
Das Domain Name System (DNS) ist ein hierarchisches, über die gesamte Welt verteiltes System zur Verwaltung von Daten, die mit Internet-Domains verbunden sind. Eine Domain ist ein menschenlesbarer Name, der sich leicht merken und händisch verwenden lässt. Eine der Hauptaufgaben des DNS besteht in der sogenannten Namensauflösung, d. h. der Zuordnung von Domänennamen zu IP-Adressen. Das DNS ist damit einer der Grundpfeiler der technischen Struktur des Internets. Hier ein paar Beispiele für die Namensauflösung:
Abgefragter Domänenname | Zurückgelieferte IP-Adresse |
'example.com' | '93.184.216.34' |
'ionos.de' | '217.160.86.40' |
Auf technischer Ebene besteht das DNS aus einem Netzwerk von Nameservern. Doch worin besteht die Verbindung zwischen Domänennamen und Nameservern? Wo liegen also die Informationen tatsächlich und wie werden diese für verschiedene Domains voneinander abgegrenzt? Damit Sie dies besser verstehen, erklären wir Ihnen hier den Begriff der DNS-Zone.
Der Begriff der DNS-Zone entstammt einer von der Internet Engineering Task Force (IETF) im Jahr 1987 veröffentlichten Spezifikation. Im Dokument RFC 1035 „Domain Names - Implementation And Specification“ wird der Zusammenhang zwischen Nameservern und DNS-Zonen dargelegt:
- Schnellere Domain-Auflösung für optimierte Ladezeiten
- Zusätzlicher Schutz gegen Ausfälle und Unterbrechungen
- Kein Domain-Umzug notwendig
Was ist eine DNS-Zone?
Der Begriff der DNS-Zone entstammt einer von der Internet Engineering Task Force (IETF) im Jahr 1987 veröffentlichten Spezifikation. Im Dokument RFC 1035 „Domain Names - Implementation And Specification“ wird der Zusammenhang zwischen Nameservern und DNS-Zonen dargelegt:
„Nameserver verwalten zwei Arten von Daten. Die erste Art von Daten wird in sogenannten Zonen vorgehalten; jede Zone ist die komplette Datenbasis für einen bestimmten Bereich des Domänen-Namensraums. Diese Daten werden als autoritativ bezeichnet.“ – Internet Engineering Task Force (IETF), Quelle: https://tools.ietf.org/html/rfc1035, Übersetzung: IONOS
(Original: „Name servers manage two kinds of data. The first kind of data held in sets called zones; each zone is the complete database for a particular "pruned" subtree of the domain space. This data is called authoritative.“)
Eine DNS-Zone ist ein Teil des DNS-Namensraums, der von einer spezifischen Organisation oder Person verwaltet wird. Es handelt sich damit um eine administrative Einheit; diese ist weder gleichzusetzen mit dem Begriff der Domain noch mit einem spezifischen Nameserver. Eine DNS-Zone umfasst mindestens eine Domain sowie ggf. weitere Subdomains. Subdomänen können jedoch auch als eigene Zonen realisiert werden.
Was ist eine DNS Zone File?
Die DNS Zone File, auf Deutsch auch „Zonendatei“ genannt, ist die technische Basis für die Speicherung der DNS Informationen einer Zone. Es handelt sich dabei um eine Textdatei, die im Dateisystem eines Servers abgelegt wird. Der Aufbau einer DNS Zone File ist ebenfalls im bereits erwähnten Dokument RFC 1035 festgelegt. Per Definition ist eine Zone File zeilenbasiert aufgebaut, mit jeweils einer „Directive“ oder einem „Resource Record“ pro Zeile.
Die Directives beginnen mit einem Dollarzeichen '$' und weisen den Server an, eine Aktion durchzuführen oder eine Einstellung auf die Zone anzuwenden. Beispielsweise lassen sich mit der '$INCLUDE'-Anweisung weitere, untergeordnete Zonendateien einbinden. Dies ist nützlich, um Einträge der Zone File zu modularisieren. Normalerweise werden alle Directives am Beginn der Zone File gelistet.
Nach den Directives folgen die eigentlichen DNS-Einträge (Resource Records) für die beschriebene Zone. Dabei muss genau ein SOA-Eintrag pro DNS-Zone vorhanden sein. Dieser muss der erste Eintrag der Zonendatei sein und definiert den Aufbau der Zone sowie den Austausch der Zonendaten zwischen Nameservern. Dem SOA-Eintrag folgen weitere Resource Records. Zu den wichtigsten Resource Records zählen u. a. 'A'-Records zum Festlegen von Server-IP-Adressen, 'MX'-Records zum Definieren der Mailserver und 'NS'-Records, die autoritative Nameserver für die Zone enthalten.
Auf einen spezifischen Nameserver bezogen kann eine Zone File als beschreibbares Original vorliegen. In diesem Fall handelt es sich beim beherbergenden Server um einen Primary DNS Server. Liegt die Zone File als nicht beschreibbare Kopie vor, die von einer externen Quelle bezogen wurde, spricht man von einem Secondary DNS Server. Eine Zone File kann eine DNS-Zone autoritativ beschreiben oder Inhalte eines DNS-Caches enthalten. Schauen wir uns wiederum die Definition in der RFC 1035 an:
„Die zweite Art von Daten sind im Cache vorgehaltene Daten, die von einem lokalen Resolver akquiriert wurden. Diese Daten sind unter Umständen nicht vollständig, beschleunigen aber den wiederholten Abruf entfernter Daten. Im Cache vorgehaltene Daten werden nach Ablauf einer gewissen Zeitspanne verworfen.“ – Internet Engineering Task Force (IETF), Quelle: https://tools.ietf.org/html/rfc1035, Übersetzung: IONOS
(Original: „The second kind of data is cached data which was acquired by a local resolver. This data may be incomplete, but improves the performance of the retrieval process when non-local data is repeatedly accessed. Cached data is eventually discarded by a timeout mechanism.“)
Sollte eine Zone nicht gefunden werden – z. B. aufgrund eines technischen Fehlers in der Zonendatei – antwortet der Nameserver auf eine entsprechende Anfrage mit dem NXDOMAIN-Fehler.
Im technischen Sprachgebrauch werden die Begriffe „DNS-Zone“ und „DNS Zone File“ häufig synonym verwendet.
Welche Arten von DNS-Zonen gibt es?
Der Begriff der DNS-Zone wird für mehrere, teils recht unterschiedliche Konzepte verwendet. Wir stellen hier eine Auswahl der gebräuchlichsten Begriffe dar.
DNS Root Zone
Die DNS Root Zone ist die höchste Ebene im hierarchischen DNS-Namensraum. Sie wird im Domänennamen durch einen abschließenden Punkt präsentiert. Enthält ein Domain-Name den abschließenden Punkt, spricht man dabei auch von einem „Fully Qualified Domain Name“ (FQDN). Beispielsweise ist 'example.com.' der FQDN für die Domain 'example.com'. Beachten Sie beim FQDN den abschließenden Punkt nach dem '.com'.
Die DNS Root Zone wird auf den 13 Root-Nameservern des DNS gespiegelt und enthält Informationen zu den autoritativen Nameservern für Top-Level-Domains (TLD). Per Anfrage an einen der DNS Root Nameserver lässt sich z. B. ein autoritativer Nameserver für eine der länderspezifische Top-Level-Domains, auch bekannt als Country-Code-Top-Level-Domains (ccTLDs) finden. Heutzutage ist die DNS Root Zone mit DNSSEC signiert und damit gegen Fälschungen der DNS-Antworten abgesichert.
Die Beschränkung auf genau 13 DNS Root Nameserver ist technischer Natur. Den Root-Servern sind die Domänennamen 'a.root-servers.net' bis 'm.root-servers.net' zugeordnet. Durch den Einsatz von Anycast-Technologie steht eine weitaus höhere Anzahl physischer Server bereit, um Anfragen an die DNS Root Zone zu beantworten. Die offizielle Website der Root Server Technical Operations Association listet die Root-Server und zeigt deren geografische Lage an.
Forward DNS Zone und Reverse DNS Zone
Das bisher beschriebene Konzept der DNS-Zone und der dazugehörigen Zonendatei dient dem „Forward DNS Lookup“, d. h. der Auflösung von Domain-Namen in IP-Adressen. In der Zonendatei kommen dabei 'A'-Records zum Einsatz. Der Begriff „Forward Zone“ wird manchmal auch genutzt, um ein gänzlich anderes Konzept zu beschreiben. Dabei handelt es sich um die Weiterleitung von DNS-Anfragen von einem cachenden DNS Resolver zu einem autoritativen Nameserver. Hier wird „forward“ als Verb genutzt, wie beim „Forwarden“ einer Mail.
Analog zum Forward Lookup gibt es das "Reverse DNS Lookup". Das Adjektiv „reverse“ (zu Deutsch: „umgekehrt“) deutet darauf hin, dass der Mechanismus genau andersherum funktioniert, als vom Forward DNS Lookup gewohnt: Server-IP-Adressen werden in die dazugehörigen Domänennamen übersetzt.
Unter einer „Reverse Lookup Zone“ versteht man eine separate Zonendatei, die die Auflösung von IP-Adressen in Domain-Namen definiert. Eine Reverse-DNS-Zonendatei enthält dieselben SOA- und NS-Records wie die korrespondierende Forward-Lookup-Zonendatei. Jedoch kommen statt der 'A'-Records sogenannte 'PTR'-Records zum Einsatz. Ein 'PTR'-Record verknüpft eine IP-Adresse im Format 'z.y.x.w.in-addr.arpa.' mit dem dazugehörigen Domänennamen.
Unter einer „Reverse Lookup Zone“ versteht man eine separate Zonendatei, die die Auflösung von IP-Adressen in Domain-Namen definiert. Eine Reverse-DNS-Zonendatei enthält dieselben SOA- und NS-Records wie die korrespondierende Forward-Lookup-Zonendatei. Jedoch kommen statt der 'A'-Records sogenannte 'PTR'-Records zum Einsatz. Ein 'PTR'-Record verknüpft eine IP-Adresse im Format 'z.y.x.w.in-addr.arpa.' mit dem dazugehörigen Domänennamen.
Primary DNS Zone und Secondary DNS Zone
Wie bereits erwähnt, werden die Begriffe „DNS-Zone“ und „Zonendatei“ oft synonym verwendet. So spricht man im Zusammenhang mit Primary und Secondary DNS Servern ebenfalls von Primary und Secondary DNS Zones. Gemeint ist damit jeweils die Zonendatei, die auf einem Primary bzw. Secondary DNS Server gespeichert ist.
Was ist der Unterschied zwischen DNS-Zone und DNS-Server?
Eine DNS-Zone ist ein administratives Konzept. Zur Erinnerung: Eine DNS-Zone definiert einen Teil des DNS-Namensraums, der von einer spezifischen Organisation oder Person verwaltet wird. Demgegenüber ist ein DNS-Server ein physischer Teil der technischen Infrastruktur des Internets. Ein Server kann für eine oder mehrere Zonen autoritativ sein. Es kann sich jedoch auch um einen DNS Resolver handeln, der für keine Zone autoritativ ist und lediglich bereits beantwortete DNS-Anfragen im Cache vorhält. Daraus folgt, dass eine DNS-Zone ohne Nameserver nicht existieren kann, wohingegen ein Nameserver nicht zwingend eine DNS-Zone definiert.