Delegieren von DNS-Zonen mit Azure DNS

  • Artikel

Mit Azure DNS können Sie eine DNS-Domäne hosten und die DNS-Zoneneinträge verwalten. Um Ihre Domäne in Azure zu hosten, muss die Zone in Azure erstellt und an die autorisierenden DNS-Server von Azure mit einer Domänenregistrierungsstelle delegiert werden. Azure DNS ist keine Domänenregistrierungsstelle. In diesem Artikel wird die Funktionsweise der Domänendelegierung und die Domänendelegierung an Azure DNS beschrieben.

Siehe auch Tutorial: Hosten Ihrer Domäne in Azure DNS.

Funktionsweise der DNS-Delegierung

Domänen und Zonen

Das Domain Name System (DNS) ist eine Hierarchie von Domänen. Die Hierarchie beginnt mit der root-Domäne, deren Name einfach „.“ lautet. Darunter befinden sich Domänen der obersten Ebene, z. B. com, net, org, uk oder jp. Unter diesen Domänen der obersten Ebene befinden sich die Domänen der zweiten Ebene (beispielsweise org.uk oder co.jp). Und so weiter. Die Domänen in der DNS-Hierarchie sind als separate DNS-Zonen vorhanden. Diese Zonen sind global verteilt und werden von DNS-Namenservern in der ganzen Welt gehostet.

DNS-Zone: Eine öffentliche DNS-Zone hat einen eindeutigen Namen (z. B. contoso.com) und besteht aus einer Sammlung von Ressourceneinträgen. Die DNS-Zone hostet DNS-Ressourceneinträge unterschiedlicher Typen. Beispiel: Die Domäne contoso.com kann DNS-Einträge wie mail.contoso.com (für einen E-Mail-Server) und www.contoso.com (für eine Website) enthalten.

Domänenregistrierungsstelle: Eine Domänenregistrierungsstelle ist eine Organisation, die Internetdomänennamen (öffentlich) bereitstellen kann. Sie überprüfen, ob die Internetdomäne, die Sie verwenden möchten, verfügbar ist, und stellen die Möglichkeit zum Kauf bereit. Wenn Sie einen Domänennamen registrieren, sind Sie rechtlich der Besitzer dieser Domäne. Wenn Sie bereits über eine Internetdomäne verfügen, können Sie Ihre aktuelle Domänenregistrierungsstelle verwenden, um diese Domäne an Azure DNS zu delegieren.

Eine Liste von anerkannten Domänenregistrierungsstellen finden Sie unter ICANN-Accredited Registrars (Von der ICANN anerkannte Registrierungsstellen).

Auflösung und Delegierung

Es gibt zwei Arten von DNS-Server:

  • Ein autoritativer DNS-Server hostet DNS-Zonen. Er antwortet nur auf DNS-Abfragen nach Einträgen für diese Zonen.
  • Ein rekursiver DNS-Server hostet keine DNS-Zonen. Er reagiert auf alle DNS-Abfragen durch Aufrufen der autoritativen DNS-Server, um die benötigten Daten zu erfassen.

Azure DNS stellt einen autoritativen DNS-Dienst bereit. Ein öffentlicher rekursiver DNS-Dienst wird nicht bereitgestellt. Informationen zum privaten DNS-rekursiven Dienst von Azure finden Sie unter Was ist Azure DNS Private Resolver. Standardmäßig werden Cloud Services und virtuelle Computer in Azure automatisch für die Verwendung eines rekursiven DNS-Diensts konfiguriert, der separat als Teil der Infrastruktur von Azure bereitgestellt wird. Informationen zum Ändern dieser DNS-Einstellungen finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

DNS-Clients in PCs und mobilen Geräten rufen in der Regel einen rekursiven DNS-Server auf, um DNS-Abfragen auszuführen, die die Clientanwendungen benötigen.

Wenn ein rekursiver DNS-Server eine Abfrage für einen DNS-Eintrag erhält, z. B. www.contoso.com, muss er zuerst nach dem autoritativen Namenserver suchen, der die Domäne contoso.com hostet. Um den Namenserver zu finden, beginnt er mit den Stammnamenservern und sucht von dort aus die Namenserver, welche die Domäne com hosten. Anschließend fragt er die com-Namenserver ab, um den Namenserver zu suchen, der die Domäne contoso.com hostet. Anschließend kann er diese Namenserver nach www.contoso.com abfragen.

Dieses Verfahren wird als Auflösen des DNS-Namens bezeichnet. Streng genommen umfasst die DNS-Auflösung weitere Schritte wie das Verfolgen von CNAMEs, aber für die Funktionsweise der DNS-Delegierung ist dies nicht relevant.

Wie verweist eine übergeordnete Zone auf die Namenserver für eine untergeordnete Zone? Hierfür wird eine besondere Art von DNS-Eintrag verwendet: ein so genannter NS-Eintrag. (NS steht hier für Namenserver.) Die Stammzone enthält beispielsweise NS-Einträge für com und zeigt die Namenserver für die Domäne com an. Die Domäne enthält wiederum com-NS-Einträge für contoso.com, die Anzeigenamenserver für die contoso.com-Domäne anzeigen. Das Einrichten der NS-Einträge für eine untergeordnete Zone in einer übergeordneten Zone wird Delegieren der Domäne genannt.

Die folgende Abbildung zeigt eine DNS-Beispielabfrage. Die Zonen contoso.net und partners.contoso.net sind öffentliche DNS-Domänen, die an die autorisierende DNS-Server von Azure delegiert wurden.

Ein konzeptionelles Diagramm, das eine niedrige DNS-Delegierung zeigt.

  1. Der Client fordert www.partners.contoso.net von seinem lokalen DNS-Server an.
  2. Da der lokale DNS-Server nicht über den Eintrag verfügt, sendet er eine Anforderung an seinen Stammnamenserver.
  3. Der Stammnameserver verfügt nicht über den Eintrag, kennt jedoch die Adresse des .net-Namensservers, der dem lokalen DNS-Server bereitgestellt wird.
  4. Der lokale DNS-Server sendet die Anforderung an den .net-Namenserver.
  5. Der .net-Namenserver verfügt zwar nicht über den Eintrag, kennt jedoch die Adresse des contoso.net-Namenservers. In diesem Fall antwortet er mit der Adresse des Namenservers für die in Azure DNS gehostete DNS-Domäne.
  6. Der lokale DNS-Server sendet die Anforderung an den Namenserver für die in Azure DNS gehostete contoso.net-Domäne.
  7. Die Zone contoso.net verfügt nicht über den Eintrag, kennt aber den Namenserver für partners.contoso.net und antwortet mit der Adresse. In diesem Fall handelt es sich um eine in Azure DNS gehostete DNS-Domäne.
  8. Der lokale DNS-Server sendet die Anforderung an den Namenserver für die partners.contoso.net-Domäne.
  9. Die partners.contoso.net-Zone hat den A-Eintrag für www und antwortet mit der IP-Adresse.
  10. Der lokale DNS-Server gibt die IP-Adresse an den Client weiter.
  11. Der Client stellt eine Verbindung mit der Website www.partners.contoso.net her.

Jede Delegierung umfasst eigentlich zwei Kopien der NS-Einträge: eine in der übergeordneten Zone, die auf die untergeordnete Zone verweist, und eine in der untergeordneten Zone selbst. Die Zone contoso.net enthält die NS-Einträge für contoso.net (neben den NS-Einträgen in net). Diese Einträge werden als autoritative NS-Einträge bezeichnet und befinden sich an der Spitze der untergeordneten Zone.

Nächste Schritte

Erfahren Sie, wie Sie Ihre Domäne an Azure DNS delegieren.