Du gibst eine Webadresse ein. Millisekunden später erscheint eine Webseite. Das ist DNS, das hinter den Kulissen arbeitet und eine Webseite wie bestsiteever.com in die numerische IP-Adresse 66.249.70.11 übersetzt, auf deren Basis Computer letztlich Server finden.
Ohne DNS müsstest du dir Zahlenfolgen für jede Webseite merken, die du besuchst. Schlimmer noch, wenn DNS ausfällt, werden Webseiten nicht geladen, E-Mails werden zurückgesendet und Apps stellen keine Verbindung mehr zu ihren Servern her.
Hier erfährst du, was DNS tatsächlich tut und warum es für jeden wichtig ist, der eine Webseite betreibt oder Verbindungsprobleme behebt.
DNS-Abfrage: So funktioniert die DNS-Resolution
Die DNS-Abfrage erfolgt jedes Mal, wenn du eine Webseite besuchst. Dein Browser benötigt eine IP-Adresse. Es überprüft drei Stellen, bevor es das Internet befragt.
Erster Halt: Die Dateien deines Hosts. Diese reine Textdatei ordnet Domainnamen IP-Adressen direkt auf deinem Betriebssystem zu. Betrachte es als ein persönliches Telefonbuch, das alles andere überschreibt.
Zweiter Halt: Dein Cache. Browser und Internetdienstanbieter speichern DNS-Einträge vorübergehend. Wenn du kürzlich eine Webseite besucht hast, befindet sich die IP-Adresse wahrscheinlich genau dort. Du musst nicht weiter suchen.
Wenn lokale Quellen leer sind, läuft die DNS-Auflösung auf Hochtouren. Dein Computer sendet eine DNS-Anfrage über ein Netzwerk von Servern, die speziell für diese Aufgabe entwickelt wurden.
Der gesamte Prozess dauert Millisekunden. Du wirst es nicht bemerken, es sei denn, etwas geht schief. Dann stehst du vor einem Timeout-Fehler, während dein Browser nach einer IP-Adresse sucht, die nie ankommt.
DNS-Servertypen: Rekursiv vs. Autoritativ
Wenn du eine Webseite besuchst, arbeiten vier DNS-Server zusammen. Jeder hat eine bestimmte Aufgabe.
Der DNS-Resolver fungiert als dein Mittelsmann. Es empfängt deine Anfrage und sucht an allen übrigen Orten. Die meisten Anwender nutzen den Resolver ihres ISPs, ohne es zu wissen. Einige wechseln aus Geschwindigkeitsgründen zu Google oder Cloudflare.
Root-Nameserver stehen an der Spitze der DNS-Hierarchie. Du speicherst keine IP-Adressen. Stattdessen verweisen sie auf den richtigen Top-Level-Domain-Server, je nachdem, ob du nach einer .com-, .org- oder .net-Adresse suchst.
TLD-Nameserver verwalten alle Domains innerhalb ihrer Erweiterung. Der .com-Server weiß, wo sich der autorisierende Nameserver jeder .com-Domäne befindet. Das Gleiche gilt für .org, .net und jede andere Erweiterung.
Der autoritative Nameserver enthält die eigentliche Antwort. Es speichert die IP-Adresse für die spezifische Domain, nach der du suchst. Sobald der Resolver diesen Server findet, erhält er die IP-Adresse und sendet sie an deinen Browser zurück.
Rekursive DNS-Server übernehmen die Suche. Die endgültige Antwort liefern autoritative DNS-Server. Der erste Typ stellt Fragen. Der zweite Typ beantwortet sie.
Nachdem eine IP-Adresse einmal gefunden wurde, speichert der rekursive Resolver sie zwischen. Wenn das nächste Mal jemand nach derselben Domain fragt, springt der Resolver direkt zur Antwort. Dieses DNS-Caching verkürzt die Suchzeit von Hunderten von Millisekunden auf nahezu augenblicklich.
Was sind Nameserver und wie funktionieren sie?
Domain-Nameserver speichern alle DNS-Einträge für eine bestimmte Domain. Wenn jemand deine Webseite besucht, antworten diese Server mit den von Browsern benötigten Informationen, damit diese sich mit deinem Hosting-Server verbinden können.
Jede Domain benötigt aus Redundanzgründen mindestens zwei Nameserver. Sie sehen selbst wie Domainnamen aus:
ns1.example-dnsprovider.com
ns2.example-dnsprovider.com
Wenn du Hosting und eine Domain von derselben Firma kaufst, werden Nameserver automatisch festgelegt. Du kaufst separat? Dann musst du die Nameserver manuell aktualisieren, um deine Domain auf dein Hosting zu verweisen.
Nameserver-Abfragetools zeigen dir, welche Nameserver derzeit deine Domain kontrollieren. Diese Tools fragen das globale DNS-System ab und melden, was sie finden. Verwende sie, um Änderungen zu überprüfen oder Probleme zu beheben.
Verschiedene Anbieter verwenden unterschiedliche Nameserver-Adressen. Dein Registrar stellt dir ein Set zur Verfügung. Dein Webhoster stellt ein weiteres zur Verfügung. Content Delivery Networks stellen ein drittes zur Verfügung. Jedes Set bietet unterschiedliche Fähigkeiten und Funktionen.
So änderst du DNS-Nameserver
Du kannst nur Nameserver ändern, auf denen deine Domain registriert ist. Melde dich im Control Panel deines Domain-Registrars an und suche nach den DNS- oder Nameserver-Einstellungen.
Die meisten Registrare organisieren das unter Domainverwaltung oder Domaineinstellungen. Suche nach Optionen wie „Nameserver“, „DNS-Einstellungen“ oder „Nameserver-Verwaltung“.
Du siehst zwei Optionen: Standard-Nameserver verwenden oder benutzerdefinierte eingeben. Standard-Nameserver gehören deinem Registrar. Benutzerdefinierte Nameserver stammen von deinem Hosting-Anbieter oder CDN.
Nameserver-Adressen erhältst du bei der Anmeldung von deinem Hosting-Provider. Sie sehen etwa so aus wie ns1.yourhost.com und ns2.yourhost.com. Kopiere diese genau. Ein Tippfehler bringt alles zum Erliegen.
Nach dem Speichern der Änderungen beginnt die DNS-Propagation. Deine neuen Nameserverinformationen werden über DNS-Server weltweit verteilt. Dies dauert zwischen wenigen Minuten bis zu 24 Stunden.
Sobald Nameserver auf deinen Hosting-Anbieter verweisen, verwaltest du alle DNS-Einstellungen über dein Hosting Control Panel und nicht über deinen Registrar. Dazu gehören A-Einträge, MX-Einträge und alles andere.
DNS-Zonenverwaltung und DNS-Einträge
Eine DNS-Zone ist ein Teil des Domainnamensraums, der von einer bestimmten Organisation oder einem bestimmten Administrator verwaltet wird. Die Zone deiner Domain enthält alle DNS-Einträge, die steuern, wie der Datenverkehr deine Server erreicht.
DNS-Einstellungen befinden sich in Zonendateien. Diese Dateien enthalten Einträge, die dem Internet mitteilen, wohin verschiedene Arten von Verkehr gesendet werden sollen. E-Mails werden an Mailserver gesendet. Der Webverkehr geht an Webserver. Jeder Datensatztyp dient einem bestimmten Zweck.
Die meisten Hosting-Anbieter stellen dir einen DNS-Zonen-Editor zur Verfügung. Mit diesem Tool kannst du DNS-Einträge hinzufügen, ändern oder löschen, ohne Rohzonendateien zu berühren. Du findest Optionen zum Erstellen von A-Einträgen, CNAME-Einträgen, MX-Einträgen und mehr.
Arten von DNS-Einträgen bestimmen, was jeder Eintrag tut:
- A-Einträge verweisen Domains auf IPv4-Adressen
- CNAME-Einträge erstellen Aliase zwischen Domains
- MX-Einträge leiten E-Mails an Mailserver weiter
- TXT-Einträge speichern Textinformationen wie SPF-Daten
- SRV-Einträge verbinden Dienste mit spezifischen Ports
Änderungen an deiner DNS-Zone lösen eine Propagation aus. Neue Datensätze verbreiten sich über mehrere Stunden hinweg über globale DNS-Server. In dieser Zeit sehen einige Besucher alte Einträge, während andere neue sehen.
DNS A-Eintragskonfiguration
Ein A-Eintrag weist einen Domainnamen einer IPv4-Adresse zu. Wenn jemand deine Domain eingibt, teilt dieser Eintrag seinem Computer mit, welchen Server er kontaktieren soll.
Das Format ist einfach. Ein Hostname oder @-Symbol (das deine Root-Domain darstellt) zeigt auf eine IP-Adresse wie 104.19.187.120. Das war’s.
Die meisten Domains haben mindestens zwei A-Einträge. Eine für die Root-Domain (example.com) und eine für www (www.example.com). Beide zeigen normalerweise auf dieselbe IP-Adresse.
Du kannst mehrere A-Einträge zum Lastausgleich oder zur Sicherung hinzufügen. Wenn ein Server ausfällt, leitet DNS den Datenverkehr automatisch an einen anderen weiter. Das erfordert eine spezielle Konfiguration, bietet jedoch Redundanz.
AAAA-Einträge funktionieren genau wie A-Einträge, verwenden jedoch IPv6-Adressen anstelle von IPv4. Mit der Umstellung des Internets auf IPv6 fügen immer mehr Webseiten neben ihren A-Einträgen auch AAAA-Einträge hinzu.
TTL (Time-to-Live) steuert, wie lange DNS-Server deinen A-Eintrag zwischenspeichern. Setze den Wert auf 3600 für eine Stunde, 14400 für vier Stunden oder 86400 für einen Tag. Niedrigere Werte bedeuten schnellere Propagation, wenn du den Server änderst. Höhere Werte reduzieren die DNS-Abfragelast.
Einrichtung und Verwendung von CNAME-Einträgen
Ein CNAME-Eintrag erstellt einen Alias. Es verweist einen Domainnamen auf einen anderen Domainnamen statt direkt auf eine IP-Adresse.
Angenommen, du möchtest, dass blog.yourdomain.com und shop.yourdomain.com auf main.yoursuperdomain.com verweisen. Erstelle einen CNAME für jede Subdomain, die auf main verweist. Wenn sich die IP-Adresse von main ändert, werden beide Aliase automatisch aktualisiert. Es ist nicht erforderlich, mehrere A-Datensätze zu bearbeiten.
DNS-CNAME-Einträge dürfen nicht in deiner Root-Domain vorhanden sein. Du kannst sie nur für Subdomains verwenden. Das ist eine Einschränkung des DNS-Protokolls. Bleibe für deine Root-Domain bei A-Einträgen.
Wenn jemand einen CNAME-Alias besucht, folgen DNS-Resolver einer Kette. Sie sehen den CNAME-Eintrag, suchen nach der Zieldomain und finden dann den A-Eintrag dieser Domain, um die endgültige IP-Adresse zu erhalten. Dies fügt eine zusätzliche Abfrage hinzu, vereinfacht aber die Verwaltung.
Content Delivery Netzwerke lieben CNAME-Einträge. Sie geben dir einen CNAME, der auf ihr Netzwerk verweist. Wenn du Server aktualisierst oder die Infrastruktur ändern musst, kümmern wir uns darum. Dein CNAME ändert sich nie.
MX-Eintrag für E-Mail-Routing
MX-Einträge teilen dem Internet mit, wohin E-Mails für deine Domain gesendet werden sollen. Ohne sie werden Nachrichten an [email protected] an die Absender zurückgesendet.
Jeder MX-Eintrag besteht aus zwei Teilen: einer Mailserveradresse und einer Prioritätsnummer. Die Priorität bestimmt, welcher Server zuerst E-Mails empfängt. Niedrigere Zahlen haben Vorrang.
Stelle deinen primären Mailserver auf Priorität 10 ein. Stelle die Backup-Server auf 20, 30 und so weiter ein. Wenn der Server mit der Priorität 10 ausfällt, versuchen die Absender es mit der Priorität 20. Wenn dies fehlschlägt, versuchen sie es mit Priorität 30.
Verwendest du E-Mail-Services von Drittanbietern wie Google Workspace? Sie stellen spezifische MX-Einträge zum Hinzufügen bereit. Du löschst die Standard-MX-Einträge deines Hosting-Anbieters und ersetzt sie durch die von Google. Normalerweise insgesamt fünf Datensätze mit jeweils unterschiedlichen Prioritäten.
MX-Eintrags-Abfragetools überprüfen deine Konfiguration. Sie fragen DNS-Server ab und zeigen an, welche Mailserver für deine Domain eingerichtet sind. Verwende diese, um Probleme bei der E-Mail-Zustellung zu beheben.
Falsche MX-Einträge verursachen E-Mail-Chaos. Nachrichten gehen verloren, werden zurückgewiesen oder landen im Spam-Ordner. Überprüfe jedes Zeichen noch einmal, wenn du Mailserveradressen eingibst.
TXT-Eintrag und SPF-Konfiguration
TXT-Einträge speichern Textinformationen zu deiner Domain. Sie beeinflussen nicht das Routing oder die Verbindungen. Stattdessen liefern sie Daten an E-Mail-Systeme, Verifizierungsdienste und Sicherheitstools.
SPF-Einträge befinden sich direkt in TXT-Einträgen. SPF steht für Sender Policy Framework. Es listet auf, welche Server E-Mails im Namen deiner Domain versenden können.
Ein grundlegender SPF-Eintrag sieht so aus:
v=spf1 include:_spf.mail.myprovider.com ~allDadurch wird der empfangende Server angewiesen, zu prüfen, ob eingehende E-Mails mit deinen autorisierten Absendern übereinstimmen. Das ~all am Ende legt fest, was mit Nachrichten zu tun ist, die die Überprüfung nicht bestehen. ~all bedeutet Soft Fail (als verdächtig markieren). -all bedeutet Hard Fail (vollständig ablehnen).
Die Domainüberprüfung erfordert ebenfalls TXT-Einträge. Wenn du deine Domain mit einem Drittanbieterdienst verbindest, erhältst du von diesem einen bestimmten TXT-Wert zum Hinzufügen. Das beweist, dass du die Domain kontrollierst.
DNS-TXT-Abfragetools prüfen, welche Texteinträge für deine Domain vorhanden sind. Verwende sie, um SPF-Einträge, DKIM-Signaturen oder Bestätigungscodes zu überprüfen.
Du kannst mehrere TXT-Einträge haben. Füge einen für SPF, einen für die Domainüberprüfung und einen für die DMARC-Richtlinie hinzu. Jedes dient einem anderen Zweck und es kommt nicht zu Konflikten.
SRV-Eintrag Setup
SRV-Einträge verbinden bestimmte Dienste mit Servern und Ports. Im Gegensatz zu A-Einträgen, die nur auf IP-Adressen verweisen, enthalten SRV-Einträge Protokollinformationen und Portnummern.
Das Format wird schnell technisch. Ein typischer SRV-Eintrag für Instant Messaging sieht so aus:
_xmpp-client._tcp.example.comDieses Unterstrich-Präfix gibt den Dienst (xmpp-client) und das Protokoll (tcp) an. Der Eintrag gibt dann Priorität, Gewichtung, Port und Zielserver an.
Die Priorität funktioniert wie bei MX-Einträgen. Niedrigere Zahlen werden zuerst ausprobiert. Das Gewicht hilft, die Last zwischen Servern mit der gleichen Priorität auszugleichen.
Die meisten Webseiten benötigen keine SRV-Einträge. Sie kommen häufig bei VoIP-Diensten, Instant-Messaging-Servern und bestimmten Anwendungsprotokollen vor. Dein Hosting-Anbieter erstellt sie nicht standardmäßig.
Beim Einrichten von Diensten, die SRV-Einträge erfordern, gibt dir der Dienstanbieter genaue Werte zur Eingabe vor. Kopiere sie sorgfältig. Ein falsches Zeichen unterbricht die Verbindung.
Tools zur DNS-Propagation und -Überprüfung
Unter DNS-Propagation versteht man die Zeit, die DNS-Änderungen benötigen, um sich auf allen Servern weltweit zu verbreiten. Ändere einen A-Eintrag oder wechsle die Nameserver und warte, bis die Weitergabe abgeschlossen ist.
Die Standardangabe lautet 24 bis 48 Stunden. Die Realität? Die meisten Änderungen breiten sich innerhalb weniger Stunden aus. Einige sind in wenigen Minuten fertig. Das hängt von den TTL-Einstellungen und den DNS-Servern ab, die du überprüfst.
Während der Propagation sehen verschiedene Personen unterschiedliche Versionen deiner DNS-Einträge. Jemand in New York sieht möglicherweise deine neue IP-Adresse, während jemand in Tokio immer noch die alte sieht. Dies führt zu vorübergehenden Inkonsistenzen, die jedoch nicht vermieden werden können.
Tools zur DNS-Propagationssprüfung fragen Server auf der ganzen Welt ab und zeigen dir, welche aktualisiert wurden. Gib deine Domain ein und das Tool meldet Ergebnisse von Dutzenden von Standorten.
Deine Webseite bleibt während der Propagation zugänglich. Einige Besucher landen auf deinem alten Server. Andere erreichen deinen neuen. Solange Inhalte an beiden Orten vorhanden sind, sieht niemand Ausfallzeiten.
Verringere die TTL-Werte, bevor du Änderungen vornimmst. Stelle die TTL auf 300 (fünf Minuten) pro Tag ein, bevor du den Server wechselst. Dies verkürzt die Zeit, die Server alte Datensätze zwischenspeichern. Erhöhe nach Abschluss der Propagation die TTL wieder auf den Normalwert.
Überprüfe die DNS-Propagation mit mehreren Tools. Verwende WhatsMyDNS, DNS Checker oder ähnliche Dienste. Sie zeigen Echtzeit-Updates, während sich deine Änderungen weltweit verbreiten.
DNSSEC: DNS-Sicherheitserweiterungen erklärt
DNSSEC fügt DNS-Einträgen kryptografische Signaturen hinzu. Diese Signaturen stellen sicher, dass DNS-Antworten von legitimen Servern stammen und während der Übertragung nicht manipuliert wurden.
Standard-DNS verfügt über keine Authentifizierung. Angreifer können Anfragen abfangen und gefälschte Antworten senden, die dich auf bösartige Webseiten weiterleiten. DNSSEC verhindert dies, indem es bei jeder Antwort gültige Signaturen verlangt.
Wenn DNSSEC aktiviert ist, verfügt jede Zone über kryptografische Schlüssel. Öffentliche Schlüssel werden in DNS-Einträgen veröffentlicht. Private Schlüssel bleiben sicher auf dem Nameserver. Der Nameserver signiert die Antworten mit dem privaten Schlüssel. Resolver verifizieren die Signaturen mit dem öffentlichen Schlüssel.
Nicht jeder Registrar oder DNS-Anbieter unterstützt DNSSEC. Erkundige dich bei deinem Anbieter, bevor du davon ausgehst, dass es verfügbar ist. Einige bieten es kostenlos an. Andere berechnen dafür zusätzliche Gebühren. Einige bieten es überhaupt nicht an.
Die Aktivierung von DNSSEC erfordert eine Koordination zwischen deinem Registrar und dem DNS-Anbieter. Du generierst Schlüssel, fügst Einträge zu deiner Zone hinzu und registrierst DS-Einträge bei deinem Registrar. Mach einen Schritt falsch und DNS funktioniert überhaupt nicht mehr.
DNSSEC-Prüftools überprüfen deine Konfiguration. Sie testen, ob Signaturen korrekt validiert werden und ob die Vertrauenskette bis zur Root-Zone reicht.
Die DNS-Sicherheit verbessert sich mit DNSSEC, die Akzeptanz bleibt jedoch begrenzt. Viele große Webseiten nutzen es noch nicht. Die Technologie funktioniert, aber die Komplexität der Implementierung verlangsamt den breiten Einsatz.
Warum DNS für deine Webseite wichtig ist
Die DNS-Leistung beeinflusst die Geschwindigkeit deiner Webseite. Langsame DNS-Suchen dauern Hunderte von Millisekunden, bevor Besucher überhaupt eine Verbindung zu deinem Server herstellen. Mehrere Suchvorgänge für unterschiedliche Ressourcen vervielfachen die Verzögerung.
Die E-Mail-Zustellung hängt von der korrekten DNS-Konfiguration ab. Falsche MX-Einträge bedeuten unzustellbare Nachrichten. Fehlende SPF-Einträge führen dazu, dass deine E-Mails im Spam landen. DMARC-Richtlinien schützen deine Domain vor Identitätsdiebstahl, erfordern jedoch eine ordnungsgemäße DNS-Einrichtung.
Wenn DNS ausfällt, stoppt alles. Webseiten laden nicht. E-Mails schlagen fehl. Apps können keine Verbindung zu APIs herstellen. Benutzer sehen Fehler „DNS-Server nicht erreichbar“ und geben deiner Seite die Schuld, nicht ihrem Resolver.
DNS-Serverausfälle treten auf. Anbieter haben Ausfallzeiten. DDoS-Angriffe zielen auf die DNS-Infrastruktur ab. Die Verwendung mehrerer Nameserver verteilt das Risiko. Wenn einer ausfällt, halten andere deine Seite zugänglich.
Falsch konfiguriertes DNS führt eher zu einer langsamen Leistung als zu einem vollständigen Ausfall. Seiten werden geladen, aber es dauert ewig. Es treten zeitweise Verbindungsprobleme auf. Diese Probleme frustrieren Anwender, ohne dass klare Fehlermeldungen angezeigt werden.
Die Geschäftskontinuität erfordert DNS-Redundanz. Verwende Premium-DNS-Dienste, wenn die Verfügbarkeit wichtig ist. Sie bieten mehrere globale Präsenzpunkte, DDoS-Schutz und eine schnellere Lösung als Basisanbieter.
So überprüfst du DNS-Einstellungen und -Einträge
Dein Computer speichert DNS-Einträge lokal im Cache. Überprüfe, was gespeichert ist, indem du deine Eingabeaufforderung oder dein Terminal öffnest.
Gib unter Windows ipconfig /displaydns ein und drücke die Eingabetaste. Die Ausgabe zeigt jeden DNS-Eintrag, der derzeit auf deinem System zwischengespeichert ist.
Auf Mac oder Linux variiert der DNS-Cache-Speicherort je nach System und Version. Einige speichern es in mDNSResponder. Andere haben überhaupt keinen persistenten Cache.
Durch das Leeren des DNS-Cache werden alte Einträge gelöscht und dein Computer gezwungen, neue DNS-Server abzufragen. Dadurch werden Probleme behoben, die durch veraltete zwischengespeicherte Daten verursacht werden.
Windows: ipconfig /flushdns
Mac: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Linux: sudo systemd-resolve --flush-caches
Online-DNS-Prüftools bieten detailliertere Informationen. Sie fragen autoritative Nameserver direkt ab und zeigen, welche Einträge global existieren, nicht nur, was lokal zwischengespeichert ist.
Überprüfe die DNS-Einträge für deine Domain auf Webseiten wie DNSChecker.org oder MXToolbox. Gib deine Domain ein und wähle den Datensatztyp. Diese Tools fragen Server weltweit ab und zeigen die Ergebnisse sofort an.
Die Behebung von DNS-Problemen erfordert oft, die von dir konfigurierte Einstellung mit den tatsächlich veröffentlichten Einträgen zu vergleichen. Verwende Prüftools, um zu sicherzustellen, dass die Änderungen korrekt weitergegeben wurden. Wenn die Einträge nicht den Erwartungen entsprechen, liegt das Problem in deiner DNS-Zonen-Konfiguration oder den Nameserver-Einstellungen.
