Übersicht über DNS-Zonen und -Einträge
In diesem Artikel werden die wichtigen Konzepte der Domänen, DNS-Zonen, DNS-Einträge und Ressourceneintragssätze erläutert. Sie erfahren, wie sie in Azure DNS unterstützt werden.
Domänennamen
Das Domain Name System ist eine Hierarchie von Domänen. Die Hierarchie beginnt mit der root
-Domäne, deren Name einfach „.“ lautet. Darunter befinden sich Domänen der obersten Ebene, z. B. com
, net
, org
, uk
oder jp
. Unter den Domänen der obersten Ebene befinden sich die Domänen der zweiten Ebene (beispielsweise org.uk
oder co.jp
). Diese Domänen in der DNS-Hierarchie sind global verteilt und werden von DNS-Namenservern in der ganzen Welt gehostet.
Eine Domänennamen-Registrierungsstelle ist eine Organisation, von der Sie einen Domänennamen wie contoso.com
erwerben können. Das Erwerben eines Domänennamens gibt Ihnen das Recht, die DNS-Hierarchie unter diesem Namen zu steuern. Sie können z. B. der Website Ihrer Firma den Namen www.contoso.com
geben. Die Registrierungsstelle könnte die Domäne in Ihrem Auftrag auf ihren eigenen Namenservern hosten oder Ihnen gestatten, alternative Namenserver anzugeben.
Azure DNS bietet eine weltweit verteilte Infrastruktur von Namenservern mit hoher Verfügbarkeit, die Sie zum Hosten Ihrer Domäne verwenden können. Durch das Hosten Ihrer Domänen in Azure DNS stehen Ihnen für die Verwaltung Ihrer DNS-Einträge die gleichen Anmeldeinformationen, APIs und Tools wie für Ihre anderen Azure-Dienste zur Verfügung. Auch Abrechnung und Support erfolgen wie bei diesen Diensten.
Azure DNS unterstützt derzeit nicht den Kauf von Domänennamen. Ein Domänenname kann für eine Jahresgebühr über App Service-Domänen oder über die Domänennamen-Registrierungsstelle eines Drittanbieters erworben werden. Ihre Domänen können dann in Azure DNS für die Verwaltung von Einträgen gehostet werden. Weitere Informationen finden Sie unter Delegieren einer Domäne an Azure DNS.
DNS-Zonen
Eine DNS-Zone wird zum Hosten der DNS-Einträge für eine bestimmte Domäne verwendet. Wenn Sie eine Domäne in Azure DNS hosten möchten, müssen Sie eine DNS-Zone für diesen Domänennamen erstellen. Jeder DNS-Eintrag für Ihre Domäne wird dann in dieser DNS-Zone erstellt.
Beispiel: Die Domäne „contoso.com“ kann eine Reihe von DNS-Einträgen wie „mail.contoso.com“ (für einen E-Mail-Server) und „www.contoso.com“ (für eine Website) enthalten.
Beim Erstellen einer DNS-Zone in Azure DNS gilt Folgendes:
- Der Name der Zone muss innerhalb der Ressourcengruppe eindeutig sein. Außerdem darf die Zone noch nicht vorhanden sein. Andernfalls ist der Vorgang nicht erfolgreich.
- Der gleiche Zonennamen kann in einer anderen Ressourcengruppe oder einem anderen Azure-Abonnement erneut verwendet werden.
- Wenn mehrere Zonen den gleichen Namen haben, erhält jede Instanz eine andere Adresse für den Namenserver. Mit der Domänennamen-Registrierungsstelle kann nur ein Satz von Adressen konfiguriert werden.
Hinweis
Sie müssen keinen Domänennamen besitzen, um eine DNS-Zone mit diesem Domänennamen in Azure DNS zu erstellen. Sie müssen jedoch die Domäne besitzen, um die Azure DNS-Namenserver als korrekte Namenserver für den Domänennamen mit der Domänennamen-Registrierungsstelle zu konfigurieren.
Weitere Informationen finden Sie unter Delegieren einer Domäne an Azure DNS.
DNS-Datensätze
Eintragsnamen
Einträge in Azure DNS werden mit relativen Namen angegeben. Ein vollqualifizierter Domänenname (FQDN) beinhaltet den Zonennamen, ein relativer Name hingegen nicht. Der relative Eintragsname www
in der Zone contoso.com
gibt beispielsweise den vollqualifizierten Eintragsnamen www.contoso.com
an.
Ein Eintrag an der Zonenspitze ist ein DNS-Eintrag im Stamm (oder der Spitze) einer DNS-Zone. Beispiel: Ein Eintrag an der Zonenspitze der DNS-Zone contoso.com
besitzt auch den vollqualifizierten Namen contoso.com
(dies wird mitunter als reine Domäne bezeichnet). Gemäß der Konvention wird der relative Name “@“ verwendet, um Einträge an der Zonenspitze darzustellen.
Eintragstypen
Jeder DNS-Eintrag hat einen Namen und einen Typ. Datensätze werden anhand der darin enthaltenen Daten nach verschiedenen Typen unterteilt. Der häufigste Typ ist ein „A“-Eintrag, der einer IPv4-Adresse einen Namen zuordnet. Ein weiterer gängiger Typ ist ein „MX“-Eintrag, der einem E-Mail-Server einen Namen zuordnet.
Azure DNS unterstützt alle allgemeinen DNS-Eintragstypen: A, AAAA, CAA, CNAME, MX, NS, PTR, SOA, SRV und TXT. Beachten Sie, dass SPF-Datensätze mithilfe von TXT-Einträgen dargestellt werden.
Zusätzliche Datensatztypen werden unterstützt, wenn die Zone mit DNS-Sicherheitserweiterungen (DNSSEC) signiert ist, z. B. Ressourcendatensätze mit DS (Delegation Signer) und TLSA (Transport Layer Security Authentication).
DNSSEC-Ressourcendatensatztypen wie DNSKEY-, RRSIG- und NSEC3-Datensätze werden automatisch hinzugefügt, wenn eine Zone mit DNSSEC signiert ist. Diese Typen von DNSSEC-Ressourcendatensätzen können nach der Zonensignierung nicht erstellt oder geändert werden.
Ressourceneintragssätze
In einigen Fällen müssen Sie mehrere DNS-Einträge mit einem bestimmten Namen und Typ erstellen. Angenommen, die Website „www.contoso.com“ wird auf zwei verschiedenen IP-Adressen gehostet. Für diese Website sind zwei verschiedene A-Einträge erforderlich (einer für jede IP-Adresse). Hier ist ein Beispiel für eine Datensatzgruppe:
www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221
Azure DNS verwaltet alle DNS-Einträge mithilfe von Ressourceneintragssätzen. Bei Ressourceneintragssätzen handelt es sich um die Auflistung von DNS-Einträgen in einer Zone, die den gleichen Namen und den gleichen Typ aufweisen. Die meisten Ressourceneintragssätze enthalten einen einzelnen Eintrag, Beispiele wie oben, in dem eine Datensatzgruppe mehr als einen Datensatz enthält, sind aber nicht ungewöhnlich.
Angenommen, dass Sie bereits einen A-Eintrag „www“ in der Zone „contoso.com“ erstellt haben, der auf die IP Adresse „134.170.185.46“ zeigt (der erste Eintrag darüber). Um den zweiten Eintrag zu erstellen, müssen Sie diesen Eintrag zum bestehenden Ressourceneintragssatz hinzufügen, anstatt einen weiteren Ressourceneintragssatz zu erstellen.
Die Eintragstypen SOA und CNAME sind Ausnahmen. Die DNS-Standards lassen mehrere Datensätze mit demselben Namen für diese Typen nicht zu, daher können diese Ressourceneintragssätze nur einen Eintrag enthalten.
Gültigkeitsdauer
Die Gültigkeitsdauer (Time to Live, TTL) gibt an, wie lange jeder Eintrag von den Clients zwischengespeichert wird, bevor er erneut abgefragt wird. Im obigen Beispiel ist der TTL-Wert 3600 Sekunden oder 1 Stunde.
In Azure DNS wird der TTL-Wert für den Ressourceneintragssatz und nicht für jeden Eintrag angegeben. Dadurch wird der gleiche Wert für alle Einträge in diesem Ressourceneintragssatz verwendet. Sie können einen beliebigen TTL-Wert zwischen 1 und 2.147.483.647 Sekunden angeben.
Platzhalterdatensätze
Azure DNS unterstützt Platzhalterdatensätze. Platzhalterdatensätze werden für alle Abfragen mit einem übereinstimmenden Namen zurückgegeben, es sei denn, es gibt eine genauere Übereinstimmung aus einem Ressourceneintragssatz ohne Platzhalter. Azure DNS unterstützt Ressourceneintragssätze mit Platzhaltern für alle Eintragstypen mit Ausnahme von NS und SOA.
Verwenden Sie zum Erstellen eines Ressourceneintragssatzes mit Platzhaltern den Ressourceneintragssatz-Namen „*“. Sie können auch einen Namen mit „*“ als Bezeichnung an der linken Stelle verwenden, z. B. „*.foo“.
CAA-Einträge
Mit CAA-Einträgen können Domänenbesitzer angeben, welche Zertifizierungsstellen zum Ausstellen von Zertifikaten für ihre Domäne autorisiert sind. Mithilfe dieses Eintrags können Zertifizierungsstellen ein falsches Ausstellen von Zertifikaten in einigen Fällen verhindern. CAA-Einträge weisen drei Eigenschaften auf:
- Flags: Dieses Feld enthält eine ganze Zahl zwischen 0 und 255, mit der das kritische Flag dargestellt wird, das gemäß RFC6844 eine besondere Bedeutung hat.
- Tag: Eine ASCII-Zeichenfolge, bei der es sich um eine der folgenden Optionen handeln kann:
- issue: Wird verwendet, wenn Sie Zertifizierungsstellen angeben möchten, denen das Ausstellen von Zertifikaten (alle Typen) gestattet ist.
- issuewild: Wird verwendet, wenn Sie Zertifizierungsstellen angeben möchten, denen das Ausstellen von Zertifikaten (nur Platzhalterzertifikate) gestattet ist.
- iodef: Geben Sie eine E-Mail-Adresse oder einen Hostnamen an, an die bzw. den Zertifizierungsstellen eine Benachrichtigung senden können, falls die Ausstellung eines nicht autorisierten Zertifikats angefordert wird.
- Value: Der Wert für das jeweils ausgewählte Tag.
CNAME-Einträge
CNAME-Ressourceneintragssätze können nicht gleichzeitig neben anderen Ressourceneintragssätzen mit dem gleichen Namen vorhanden sein. Sie können einen CNAME-Ressourceneintragssatz z. B. nicht mit dem relativen Namen „www
“ und gleichzeitig einen A-Eintrag mit dem relativen Namen „www
“ erstellen.
Da der Zonen-Apex (name = „@“) immer die NS- und SOA-Ressourceneintragssätze während der Erstellung der Zone enthält, können Sie keinen CNAME-Ressourceneintragssatz am Zonen-Apex erstellen.
Diese Einschränkungen ergeben sich aus den DNS-Standards und sind keine Einschränkungen von Azure DNS.
NS-Einträge
Der NS-Ressourceneintragssatz am Zonen-Apex (Name „@“) wird automatisch bei jeder DNS-Zone erstellt und automatisch gelöscht, wenn die Zone gelöscht wird. Er kann nicht separat gelöscht werden.
Dieser Datensatz enthält die Namen der Azure-DNS-Namensserver, die der Zone zugewiesen sind. Sie können diesem NS-Ressourceneintragssatz weitere Namenserver hinzufügen, um das gemeinsame Hosten von Domänen mit mehr als einem DNS-Anbieter zu unterstützen. Sie können auch die Gültigkeitsdauer und die Metadaten für diesen Datensatz ändern. Das Entfernen oder Ändern der vorab aufgefüllten Azure DNS-Namenserver ist jedoch nicht zulässig.
Diese Einschränkung gilt nur für den NS-Ressourceneintragssatz am Zonen-Apex. Andere NS-Eintragssätze in Ihrer Zone (zur Delegierung von untergeordneten Zonen) können ohne Einschränkungen erstellt, geändert und gelöscht werden.
SOA-Einträge
Ein SOA-Ressourceneintragssatz wird automatisch am Apex jeder Zone (name = „@“) erstellt und automatisch gelöscht, wenn die Zone gelöscht wird. SOA-Einträge können nicht separat erstellt oder gelöscht werden.
Sie können alle Eigenschaften des SOA-Eintrags mit Ausnahme der Eigenschaft „host
“ ändern. Diese Eigenschaft wird vorkonfiguriert, um auf den primären Namen des Namenserver zu verweisen, der von Azure DNS bereitgestellt wird.
Die Seriennummer der Zone im SOA-Eintrag wird nicht automatisch aktualisiert, wenn Änderungen an den Einträgen in der Zone vorgenommen werden. Sie kann bei Bedarf manuell aktualisiert werden, indem Sie den SOA-Eintrag bearbeiten.
Hinweis
Azure DNS unterstützt derzeit die Verwendung eines Punkts (.) vor „@“ im Eintrag für das SOA-Hostmasterpostfach nicht. Beispiel: john.smith@contoso.xyz
(konvertiert in „john.smith.contoso.xyz“) und john\.smith@contoso.xyz
sind nicht zulässig.
SPF-Einträge
SPF-Einträge (Sender Policy Framework) werden verwendet, um anzugeben, welche E-Mail-Server E-Mails im Namen eines Domänennamens senden können. Es ist wichtig, SPF-Einträge korrekt zu konfigurieren, um zu verhindern, dass Empfänger Ihre E-Mail als „Junk“ markieren.
Mit den DNS RFCs wurde ursprünglich der neue Eintragstyp SPF eingeführt, um dieses Szenario zu unterstützen. Außerdem wurde die Verwendung des Eintragstyps TXT zum Angeben von SPF-Einträgen zugelassen, um ältere Namenserver zu unterstützen. Diese Mehrdeutigkeit verursachte Verwirrung, die durch RFC 7208 behoben wurde. Darin ist angegeben, dass SPF-Datensätze mit dem Eintragstyp TXT erstellt werden müssen. Außerdem ist der Eintragstyp SPF als veraltet angegeben.
SPF-Einträge werden von Azure DNS unterstützt und müssen mit dem Eintragstyp TXT erstellt werden. Der veraltete Eintragstyp SPF wird nicht unterstützt. Wenn Sie eine DNS-Zonendatei importieren, werden alle SPF-Einträge, für die der Eintragstyp SPF verwendet wird, in den Eintragstyp TXT konvertiert.
SRV-Einträge
SRV-Einträge werden von verschiedenen Diensten verwendet, um Serverstandorte anzugeben. Wenn Sie einen SRV-Eintrag in Azure DNS angeben:
- Müssen service und protocol als Teil des Namens des Eintragssatzes angegeben werden, und mit Unterstrichen vorangestellt werden, z. B. wie „_sip._tcp.name“. Bei einem Eintrag am Zonen-Apex ist es nicht nötig, „@“ im Namen des Eintrags anzugeben. Verwenden Sie einfach den Dienst und das Protokoll, z. B. „_sip._tcp“.
- Werden priority, weight, port und target als Parameter jedes Eintrags im Eintragssatz angegeben.
TXT-Einträge
TXT-Einträge werden verwendet, um Domänennamen willkürlichen Textzeichenfolgen zuzuordnen. Sie werden in mehreren Anwendungen eingesetzt, vor allem in Bezug auf die E-Mail-Konfiguration, z. B. Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM).
Gemäß den DNS-Standards kann ein einzelner TXT-Eintrag mehrere Zeichenfolgen enthalten, die jeweils eine Länge von bis zu 255 Zeichen haben können. Wenn mehrere Zeichenfolgen verwendet werden, werden sie von Clients verkettet und wie eine einzelne Zeichenfolge behandelt.
Beim Aufrufen der Azure DNS-REST-API müssen Sie jede TXT-Zeichenfolge separat angeben. Wenn Sie das Azure-Portal oder die PowerShell- oder CLI-Schnittstellen verwenden, sollten Sie nur eine Zeichenfolge pro Eintrag angeben. Diese Zeichenfolge wird bei Bedarf automatisch in Segmente mit einer Länge von 255 Zeichen unterteilt.
Die Zeichenfolgen eines DNS-Eintrags dürfen nicht mit den TXT-Einträgen in einem TXT-Ressourceneintragssatz verwechselt werden. Ein TXT-Ressourceneintragssatz kann mehrere Einträge enthalten, die wiederum jeweils mehrere Zeichenfolgen enthalten können. Azure DNS unterstützt für Zeichenfolgen eine Gesamtlänge von bis zu 4096 Zeichen pro TXT-Ressourceneintragssatz (Kombination aller Einträge).
NS-Datensätze
Ein DS-Datensatz (Delegation Signer) ist ein DNSSEC-Ressourcendatensatztyp, der verwendet wird, um eine Delegierung zu sichern. Um einen DS-Datensatz in einer Zone zu erstellen, muss die Zone zuerst mit DNSSEC signiert werden.
TLSA-Einträge
Ein TLSA-Datensatz (Transport Layer Security Authentication) wird verwendet, um ein TLS-Serverzertifikat oder einen öffentlichen Schlüssel dem Domänennamen zuzuordnen, in dem sich der Datensatz befindet. Ein TLSA-Datensatz verknüpft den öffentlichen Schlüssel (ein TLS-Serverzertifikat) mit dem Domänennamen und stellt eine zusätzliche Sicherheitsebene für TLS-Verbindungen bereit.
Um TLSA-Datensätze effektiv zu verwenden, muss DNSSEC in Ihrer Domäne aktiviert sein. Dadurch wird sichergestellt, dass die TLSA-Datensätze vertrauenswürdig sind und ordnungsgemäß überprüft werden können.
Tags und Metadaten
`Tags`
Tags sind eine Liste von Name-Wert-Paaren, die von Azure Resource Manager zum Bezeichnen von Ressourcen verwendet werden. Mithilfe von Tags ermöglicht Azure Resource Manager gefilterte Ansichten Ihrer Azure-Rechnung. Zusätzlich können Sie eine Richtlinie für bestimmte Tags festlegen. Weitere Informationen zu Tags finden Sie unter Verwenden von Tags zum Organisieren von Azure-Ressourcen.
Azure DNS unterstützt die Verwendung von Tags von Azure Resource Manager in DNS-Zonenressourcen. Tags für DNS-Ressourceneintragssätze werden nicht unterstützt, aber als Alternative werden Metadaten für DNS-Ressourceneintragssätze wie unten beschrieben unterstützt.
Metadaten
Azure DNS unterstützt das Hinzufügen von Ressourceneintragssätzen mithilfe von Metadaten als Alternative zu Tags in Ressourceneintragssätzen. Ähnlich wie Tags ermöglichen Metadaten das Zuordnen von Name-Wert-Paare zu jedem Ressourceneintragssatz. Dieses Feature kann hilfreich sein, um z. B. den Zweck jedes Ressourceneintragssatzes zu dokumentieren. Anders als Tags können Metadaten nicht verwendet werden, um Ihre Azure-Rechnung zu filtern, und sie können nicht in einer Richtlinie von Azure Resource Manager angegeben werden.
Etags
Angenommen, zwei Personen oder zwei Prozesse versuchen, einen DNS-Eintrag zur gleichen Zeit zu ändern. Welcher hat Vorrang? Und weiß die Person, die Vorrang erhalten hat, dass sie die Änderungen einer anderen Person überschrieben hat?
Azure DNS verwendet ETags, um gleichzeitige Änderungen an derselben Ressource sicher zu handhaben. ETags unterscheiden sich von Azure Resource Manager-„Tags“. Jeder DNS-Ressourcen (Zone oder Datensatzgruppe) ist ein ETag zugeordnet. Sobald eine Ressource abgerufen wird, wird auch sein ETag abgerufen. Beim Aktualisieren einer Ressource können Sie auswählen, dass die ETags wieder zurückgegeben werden sollen, damit Azure DNS überprüfen kann, ob das ETag auf dem Server übereinstimmt. Da jedes Update einer Ressource dazu führt, dass das ETag erneut generiert wird, weist eine Nichtübereinstimmung des ETags darauf hin, dass eine gleichzeitige Änderung vorgenommen wurde. ETags können auch beim Erstellen einer neuen Ressource verwendet werden, um sicherzustellen, dass die Ressource noch nicht vorhanden ist.
Standardmäßig verwendet Azure DNS PowerShell ETags, um gleichzeitige Änderungen an Zonen und Datensatzgruppen zu blockieren. Der optionale Switch -Overwrite kann verwendet werden, um ETag-Überprüfungen zu unterdrücken. In diesem Fall werden gleichzeitig vorgenommene Änderungen überschrieben.
Auf der Ebene der REST-API von Azure DNS werden ETags mithilfe von HTTP-Headern angegeben. Ihr Verhalten ist in der folgenden Tabelle angegeben:
Header | Verhalten |
---|---|
Keine | PUT ist immer erfolgreich (keine Etag-Prüfung) |
If-match <etag> | PUT ist nur erfolgreich, wenn die Ressource vorhanden ist und das Etag übereinstimmt. |
If-match * | PUT ist nur erfolgreich, wenn eine Ressource vorhanden ist. |
If-none-match * | PUT ist nur erfolgreich, wenn die Ressource nicht vorhanden ist. |
Einschränkungen
Bei der Verwendung von Azure DNS gelten folgende Standardgrenzwerte:
Öffentliche DNS-Zonen
Resource | Begrenzung |
---|---|
Öffentliche DNS-Zonen pro Abonnement | 250 1 |
Datensatzgruppen pro öffentlicher DNS-Zone | 10.000 1 |
Datensätze pro Datensatzgruppe in öffentlicher DNS-Zone | 20 |
Anzahl von Aliasdatensätzen für eine einzelne Azure-Ressource | 20 |
1 Wenden Sie sich an den Azure-Support, falls Sie diese Grenzwerte erhöhen müssen.
Nächste Schritte
- Lernen Sie, wie Sie eine DNS-Zone erstellen und DNS-Einträge erstellen, um mit der Verwendung von Azure DNS zu beginnen.
- Um eine vorhandene DNS-Zone zu migrieren, sollten Sie sich zuerst darüber informieren, wie Sie eine DNS-Zonendatei importieren und exportieren.