Zwei DNS-Provider trotz DNSSEC?

[Bob.Dig]

Diese Woche gab es einen ärgerlichen Ausfall bei Cloudflare und meine Domain war nicht erreichbar, angeblich war ein Switch schuld. 😉
Nun frage ich mich, ob ich einen weiteren DNS-Provider nutzen kann als "Backup". Ich nutze aber auch DNSSEC und das kann man wohl nicht auf einen zweiten ausweiten.
Folgende Fragen dazu:

1. Normalerweise werden die ersten beiden eingetragenen DNS-Server genutzt?
2. Erst wenn diese nun nicht antworten, dann würden weitere DNS-Server abgefragt?
3. Diese würden wiederum nicht DNSSEC bestehen, was würde dies praktisch bedeuten, dass vermutlich meine Domain gar nicht aufgelöst wird oder (da vielleicht DNSSEC kaum beachtet wird) trotzdem aufgelöst wird?

 

[wirelessy]

Wieso sollte es nicht gehen, bei gleichem Key?

Schau dir mal das DNS Master/Slave-Konstrukt an.

 

[snaxilian]

Der Ausfall bei Cloudflare betraf afaik Dashboard und die API aber nicht den eigentlichen DNS Dienst.

Zu deinen Fragen 1 & 2: Ja und nein bzw. es kommt drauf an. Die Stichworte sind iterative und rekursive DNS Auflösungen.

Für DNSSEC + Multi-Provider gibt es den ein oder anderen Ansatz aber afaik bisher nur als IETF Draft. Ein bisschen Hintergrundlektüre dazu: https://ns1.com/blog/the-promise-of-multi-signer-dnssec

Entweder musst du selbst zwei oder mehr authoritative DNS Server in unterschieldichen AS betreiben, z.B. bei zwei unterschiedlichen Providern aber dann bist du eben 24x7 dafür verantwortlich, dass die Dienste laufen und erreichbar sind.
Ein Managed DNS Provider in Anspruch nehmen und bei einem anderen Provider weitere authoritative Slave Server zu betreiben wird vermutlich kein kommerzieller Provider machen. Zu viel Aufwand und Support notwendig, so etwas würde ich auch nicht machen wollen ^^

Die Frage ist eher: Betreibst du einen so super hoch kritischen Dienst der 24x7x365 erreichbar sein muss oder kannst du es verkraften wenn eine gewisse kurze Zeit mal der Dienst nicht verfügbar ist?

 

[Bob.Dig]

Entweder musst du selbst zwei oder mehr authoritative DNS Server in unterschieldichen AS betreiben, z.B. bei zwei unterschiedlichen Providern aber dann bist du eben 24x7 dafür verantwortlich, dass die Dienste laufen und erreichbar sind.

Mir sagen die ganzen Fachworte nix. Nehmen wir an, ich geh zu meinem Domainhoster und trage neben den Cloudflare Servern noch zwei andere ein, vermutlich dann ohne DNSSEC, schlimm oder sinnlos?

Die Frage ist eher: Betreibst du einen so super hoch kritischen Dienst der 24x7x365 erreichbar sein muss oder kannst du es verkraften wenn eine gewisse kurze Zeit mal der Dienst nicht verfügbar ist?

Nein, aber mein TS und mein nebenher E-Mail-Server waren diese Zeit nicht erreichbar gewesen, was ärgerlich ist.

 

[snaxilian]

Also nein du betreibst keine superduperwichtigen immer verfügbar sein müssenden Dienste, zumal Email im Protokoll bereits eingebaut hat, dass Server mal nicht erreichbar sind und probieren mehrfach eine erneute Zustellung.

Wikipedia oder das Elektronik Kompendium erklären die Begriffe rund um DNS Auflösung netterweise recht gut, da brauch ich das nicht auch machen

Das was du vor hast klappt so nicht und ist Gefrickel zumal es im DNS Protokoll Möglichkeiten zur Redundanz bietet und nennt sich Secondary DNS. Cloudflare z.B. kann als secondary DNS genutzt werden, siehe hier: https://support.cloudflare.com/hc/d...ch-Secondary-DNS-ein-und-wie-verwalte-ich-es-

 

[Bob.Dig]

Secondary DNS ist für Domains für Enterprise-Pläne verfügbar.

 

[snaxilian]

Ja, und? Entweder es ist dir so wichtig bzw ein Ausfall so ärgerlich, dass du Geld dafür in die Hand nimmst oder eben nicht. Secondary bzw. Slave DNS ist auf jeden Fall das, was du suchst. Dann musst eben andere Anbieter finden, die diese Funktionalität kostenlos anbieten oder selbst weitere bzw. eigene DNS-Server hosten mit allem was dann dazu gehört. Hetzner bietet auch reine Slave DNS an aber vermutlich möchten die dafür auch etwas Geld sehen.