Moin!

Gibt es eine Möglichkeit, das wenn ein Webserver (aus welchen Gründen auch immer) ausfällt, eine Domainanfrage aus dem Internet an diesen Server auf einen Ausweichserver umzuleiten? Der Server, den ich absichern möchte hat eine statische IP.

Das Thema Ausfallsicherheit ist komplex und vielfältig. Entscheidend zur Beantwortung der Frage "Wie verhindere ich einen Ausfall?" ist immer, was genau denn bei dem Ausfall konkret passiert. Passend zum jeweiligen Defekt gäbe es dann jeweils eine oder mehrere Lösungen, um diesen Defekt zu vermeiden bzw. seine Auswirkungen auf die Verfügbarkeit zu eliminieren.

An erster Stelle sollte daher stehen: Auf welche Weisen kann dein Server denn ausfallen?

Die Lösung, im DNS-System für die Domain einfach eine andere IP einzutragen, hat nämlich gewisse Konsequenzen auch für den allgemeinen Betrieb ohne Ausfall, die man wissen muß, und die ggf. nicht akzeptabel sein können.

DNS-Antworten werden nämlich immer für eine gewisse Zeit gespeichert. Übliche Werte für die Erlaubnis an fragende DNS-Server und deren Unterserver sind beispielsweise 4 oder 8 Stunden. Das würde bedeuten, dass deine IP-Änderung mit Pech erst nach Ablauf dieser Zeit bei den Usern ankommt - nämlich dann, wenn der User eine Sekunde vor dem Ausfall die DNS-Anfrage gestellt hat und noch die alte, gültige Antwort bekommen hat. Sein DNS-Server (meist steht der beim Provider) wird dann die alte IP für die Zeit des TTL (time to live) speichern und ohne weitere Anfrage bei DEINEM DNS-Server immer wieder herausgeben.

Die Konsequenz ist, dass der TTL-Wert auf sehr kleine Zeiten gesetzt werden muß. Das wiederum erhöht zwangsläufig den Traffic auf deinem DNS-Server und es erhöht außerdem die Antwortzeiten deines Webservers, wenn der Browser für jeden Seitenaufruf immer wieder auf die DNS-Antwort warten muß.

Und trotz dieses möglichen Mechanismus wird ein anderes Problem damit beispielsweise nicht gelöst: Session-Daten, die auf dem einen Server angefallen sind, beispielsweise ein Warenkorb, werden durch die DNS-Veränderung natürlich nicht auf den Ersatz-Server mit übertragen.

Du solltest daher genauer analysieren, welchen Level von Ausfallsicherheit du wirklich benötigst. Wenn ein Shopsystem mit entsprechenden Umsätzen und sehr hoher Verfügbarkeit gesichert werden soll, dann sind DNS-Spielereien keine Lösung - da wird es dann mindestens einen Load-Balancer und ein entsprechend kommunizierendes System dahinter erfordern - wobei als extremere Stufe auch der Load-Balancer redundant ausgeführt werden sollte.

Wenn hingegen Ausfallzeiten von einer bis zehn Minuten in Ordnung sind, dann könnte die IP-Umschaltung eine mögliche Lösung sein. Sie bringt aber natürlich trotzdem das Problem mit sich, dass erstens auch der Ersatzserver ausfallen könnte, und dass zweitens der Ersatzserver natürlich hinsichtlich des Datenbestandes auch immer aktuell gehalten werden muß - und zwar im Voraus, denn wenn der Hauptserver ausfällt, ist er ja nicht mehr erreichbar. :)

Alternativ würde ich vorschlagen, einen 24/7-Admin verfügbar zu haben, der den Server im Problemfall einfach wieder aufrichtet. Je nach Ausfallszenario (welche Probleme erwartest du eigentlich genau) sind kleine Probleme innerhalb von 10 Minuten lösbar.

Und wenn tagsüber auch eine halbe Stunde vergehen darf: Watch-System auf den Server ansetzen und die Alarme mailen lassen.

Die DNS-Umstellerei hat übrigens noch anderes Problempotential:

1. Der DNS-Server muß natürlich erreichbar sein, damit die Welt von der Umstellung erfährt. Wenn der DNS-Server hinter der gleichen gekappten Leitung liegt, wie dein Hauptserver, kann das System nicht funktionieren.

2. Welche Instanz entscheidet, dass das DNS umgeschaltet werden muß? Der Hauptserver scheidet aus. Der Ersatzserver scheidet aber auch aus - es kommt nämlich durchaus vor, dass beispielsweise Haupt- und Ersatzserver beide erreichbar sind, nur die Route von Ersatz- zum Hauptserver fällt wegen eines Defektes kurzzeitig aus. Das Gleiche gilt aber auch für jeden anderen einzelnen Rechner im Netz, der die Erreichbarkeit der zwei Server prüft. Auch der kann komplett vom Netz oder zumindest von einem oder beiden Servern abgeschnitten sein, ohne dass der Grund dafür die Erreichbarkeit insgesamt beeinträchtigen würde.

- Sven Rautenberg