Antworten auf Ihre häufigsten Fragen

Einrichtung eines lokalen DNS-Resolvers

Grundlegende Informationen

Die hier beschriebene Kombination aus gewählter Software und Konfiguration stellt keinen allgemeingültigen Standard dar. Je nach Infrastruktur, Anforderungen und persönlicher Präferenz existieren alternative Lösungswege mit anderen technischen Ansätzen.

Wir setzen auf Bind, da es auch unter Plesk der Standard ist und sowohl für den Betrieb als lokaler Resolver als auch als autoritativer Nameserver eine sehr solide Basis bietet.

Voraussetzungen

  • Für den Betrieb mit IPv6-Unterstützung muss zwingend eine öffentliche IPv6-Adresse am Server konfiguriert sein. Diese kann bei Bedarf im Mein-Hosting-Panel unter Dashboard > IP-Adressen kostenlos bestellt werden.

Wichtige Hinweise

  • Kein IPv6 ohne öffentliche Adresse: Wird Bind als eigener Resolver genutzt und mit IPv6-Unterstützung gestartet, ohne dass eine öffentliche IPv6-Adresse konfiguriert ist, kann dies zu starken Verzögerungen oder Abbrüchen bei der Namensauflösung führen.
  • Für den Zugriff auf interne VPN-Ressourcen sind ggf. manuelle Anpassungen in der DNS-Konfiguration erforderlich.

Ubuntu 24 mit Plesk

Schritt 1: IPv4-only-Modus konfigurieren (optional)

Falls Sie keine öffentliche IPv6-Adresse nutzen, müssen Sie Bind anweisen, nur IPv4 zu verwenden:

# Datei öffnen
sudo nano /etc/default/named

# Den Parameter -4 am Ende der OPTIONS-Zeile ergänzen
OPTIONS=" ... -4"

# Dienst neu starten
sudo systemctl restart named

Schritt 2: Plesk DNS-Einstellungen anpassen

Passen Sie in Plesk unter Tools & Einstellungen > DNS-Einstellungen > Serverweite Einstellungen folgende Parameter an:

max-recursion-queries 1000;
Der Standardwert wäre für produktive Umgebungen viel zu gering und führt selbst bei komplexeren Einzelabfragen, wie bei DNSBL, direkt zu Abbrüchen. Eine Erhöhung stellt sicher, dass Rekursionen auch bei komplexen und parallelen Abfragen abgeschlossen werden.
max-cache-size 256M;
Da der Server normalerweise nicht als dedizierter Resolver fungiert, limitieren wir den Cache. Standardmäßig würde Bind bis zu 90 % des verfügbaren RAMs belegen.

Schritt 3: systemd-resolved deaktivieren

Ubuntu 24 verwendet standardmäßig systemd-resolved zur dynamischen Verwaltung der /etc/resolv.conf und betreibt einen lokalen Stub-Resolver auf 127.0.0.53:53. Um den Server auf einen eigenen DNS-Resolver umzustellen und automatische Änderungen der Konfiguration zu verhindern, muss die dynamische Verwaltung der /etc/resolv.conf deaktiviert und in eine statische Verwaltung überführt werden. Zusätzlich ist der Dienst systemd-resolved zu deaktivieren.

# Statische resolv.conf erstellen
sudo rm -f /etc/resolv.conf &&
sudo tee /etc/resolv.conf <<EOF
nameserver 127.0.0.1
options edns0 trust-ad
EOF

# Dienst deaktivieren und maskieren
sudo systemctl disable --now systemd-resolved
sudo systemctl mask systemd-resolved

Schritt 4: Konfiguration testen

Testen Sie die rekursive Auflösung nach der Konfiguration wie folgt:

# DNS-Cache des Bind-Servers leeren
sudo rndc flush

# DNS-Abfrage testen und Zeit messen
time nslookup 2.0.0.127.zen.spamhaus.org
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: 2.0.0.127.zen.spamhaus.org
Address: 127.0.0.10
Name: 2.0.0.127.zen.spamhaus.org
Address: 127.0.0.2
Name: 2.0.0.127.zen.spamhaus.org
Address: 127.0.0.4

real 0m0.433s
user 0m0.007s
sys 0m0.012s

Als Ergebnis sollten auch ohne Cache zügig mehrere IP-Adressen (typischerweise im Bereich 127.0.0.x) zurückgegeben werden und die Abfrage über den Server 127.0.0.1 erfolgt sein. Da der Resolver ohne Forwarder arbeitet und diese komplexere Namensauflösung iterativ über die gesamte DNS-Hierarchie selbst durchführen muss, kann die erste Abfrage schon mal über eine Sekunde benötigen.

otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de