SOA: der Ausweis der DNS-Zone
Der SOA-Eintrag (Start of Authority) ist der erste und wichtigste Eintrag jeder DNS-Zone. Er enthält die grundlegenden Metadaten, die den Betrieb der Zone steuern: wer der primäre Nameserver ist, wer der Administrator ist, die Seriennummer, die Änderungen verfolgt, und die Parameter, die die Synchronisierung zwischen primären und sekundären Nameservern regeln. Jede DNS-Zone muss genau einen SOA-Eintrag haben — er ist gemäß den RFC-Spezifikationen obligatorisch.
Obwohl er oft von Administratoren übersehen wird, die sich auf A-, MX- und CNAME-Einträge konzentrieren, hat der SOA-Eintrag einen direkten Einfluss auf die Geschwindigkeit der DNS-Änderungspropagierung und die Systemresilienz. Falsch konfigurierte SOA-Parameter können Verzögerungen bei der Propagierung verursachen, veraltete DNS-Zonen auf sekundären Nameservern und in extremen Fällen den Verlust der Autorität durch sekundäre Nameserver.
Anatomie des SOA-Eintrags
Die Seriennummer ist ein Zähler, der bei jeder Änderung an der Zone inkrementiert wird. Sekundäre Nameserver vergleichen die Seriennummer des Primären mit ihrer eigenen: Ist die des Primären höher, laden sie die neue Version der Zone herunter (Zonentransfer). Die gebräuchlichste Konvention ist das Format JJJJMMTTNN (Datum + laufende Nummer), aber jede aufsteigende Ganzzahl funktioniert. Wenn Sie vergessen, die Seriennummer nach einer Änderung zu inkrementieren, aktualisieren sich die Sekundären nicht.
Refresh gibt an, wie oft (in Sekunden) der sekundäre Nameserver prüft, ob sich die Seriennummer des Primären geändert hat. Retry ist das Intervall zwischen den Versuchen, wenn der Refresh fehlschlägt. Expire ist die maximale Zeit, nach der, wenn der Primäre nicht erreichbar ist, der Sekundäre aufhört, für die Zone zu antworten (er betrachtet sie als veraltet). Das Feld Minimum TTL (oder Negative Cache TTL) gibt an, wie lange Resolver negative Antworten (NXDOMAIN — nicht existierende Domain) zwischenspeichern.
Empfohlene SOA-Werte
Die optimalen Werte hängen vom Kontext ab. Für Zonen mit häufigen Änderungen: Refresh 300-900s, Retry 60-300s. Für stabile Zonen: Refresh 3600-7200s, Retry 900s. Expire sollte immer deutlich höher als Refresh sein (7-14 Tage), um sicherzustellen, dass die Sekundären die Zone auch bei längeren Ausfällen des Primären weiter bereitstellen. Ein Negative Cache TTL von 3600s ist ein guter Standardwert — zu hoch und entfernte Subdomains bleiben zu lange als „Phantom" bestehen.
Verwenden Sie SOA Lookup, um die Parameter Ihrer Zone zu überprüfen und mit den Best Practices zu vergleichen. Kombinieren Sie die Prüfung mit NS Lookup, um zu verifizieren, dass die im SOA aufgeführten Nameserver mit den tatsächlich delegierten übereinstimmen, und mit DNS Health Check für eine vollständige Konsistenzprüfung der Zone. Der SOA ist selten die direkte Ursache für benutzersichtbare Probleme, aber falsche Parameter können die Auswirkungen anderer Probleme verstärken.
Ein Detail, das oft für Verwirrung sorgt, ist das E-Mail-Format des Administrators im SOA: admin.beispiel.com ist keine URL, sondern eine E-Mail-Adresse, bei der der erste Punkt das @ ersetzt. Also entspricht admin.beispiel.com der Adresse admin@beispiel.com. Wenn die Adresse einen Punkt vor dem @ enthält, wird er mit einem Backslash escaped: max\.mustermann.beispiel.com entspricht max.mustermann@beispiel.com. Dieses Legacy-Format ist eine der Eigenheiten des DNS, die aus den 1980er Jahren stammen.