DNS-Abfrage: Wie Domainnamen funktionieren
· 12 Min. Lesezeit
Inhaltsverzeichnis
- Was ist DNS und warum es wichtig ist
- Wie DNS funktioniert: Der vollständige Auflösungsprozess
- DNS-Eintragstypen erklärt
- DNS-Abfragebefehle und Tools
- DNS-Caching und TTL verstehen
- DNS-Sicherheit: Bedrohungen und Schutz
- Häufige DNS-Probleme und Lösungen
- DNS-Leistung optimieren
- Fortgeschrittene DNS-Konzepte
- Häufig gestellte Fragen
- Verwandte Artikel
Was ist DNS und warum es wichtig ist
Das Domain Name System (DNS) wird oft als das „Telefonbuch des Internets" bezeichnet, und das aus gutem Grund. Jedes Mal, wenn Sie eine Website besuchen, eine E-Mail senden oder einen Internetdienst nutzen, arbeitet DNS im Hintergrund, um für Menschen lesbare Domainnamen in maschinenlesbare IP-Adressen zu übersetzen.
Ohne DNS müssten Sie sich Zahlenfolgen wie 172.217.14.206 merken, anstatt einfach google.com in Ihren Browser einzugeben. Dieser Übersetzungsdienst ist so grundlegend für die Funktionsweise des Internets, dass ganze Teile des Webs unzugänglich werden, wenn DNS ausfällt.
DNS funktioniert als verteiltes Datenbanksystem, bei dem Millionen von Servern weltweit zusammenarbeiten, um täglich Milliarden von Abfragen aufzulösen. Diese dezentrale Architektur macht das Internet sowohl skalierbar als auch widerstandsfähig und ermöglicht es ihm, massive Verkehrslasten zu bewältigen und gleichzeitig Redundanz aufrechtzuerhalten.
Kurztipp: DNS ist nicht nur für Websites. Es wird für E-Mail-Zustellung (MX-Einträge), Service-Discovery, Lastverteilung und sogar Spam-Prävention verwendet. DNS zu verstehen ist für jeden, der mit vernetzten Systemen arbeitet, unerlässlich.
Wie DNS funktioniert: Der vollständige Auflösungsprozess
Wenn Sie einen Domainnamen in Ihren Browser eingeben, entfaltet sich in Millisekunden eine komplexe Ereigniskette. Dieser Prozess, genannt DNS-Auflösung, umfasst mehrere Server und Caching-Ebenen, die zusammenarbeiten, um die benötigte IP-Adresse zu liefern.
Schritt-für-Schritt DNS-Auflösung
- Browser-Cache-Prüfung: Ihr Browser prüft zunächst seinen eigenen Cache auf kürzlich aufgelöste IP-Adressen. Moderne Browser speichern DNS-Einträge für kurze Zeit (typischerweise 60 Sekunden bis einige Minuten) zwischen, um wiederholte Besuche derselben Website zu beschleunigen.
- Betriebssystem-Cache: Wenn der Browser-Cache keinen Treffer hat, geht die Abfrage zum DNS-Resolver-Cache Ihres Betriebssystems. Dieser Cache speichert DNS-Einträge für alle Anwendungen auf Ihrem System, nicht nur für Ihren Webbrowser. Unter Windows können Sie diesen Cache mit
ipconfig /displaydnsanzeigen. - Router-Cache: Viele Heim- und Büro-Router unterhalten ebenfalls ihren eigenen DNS-Cache. Dies bietet eine weitere Ebene der Geschwindigkeitsoptimierung, bevor Abfragen Ihr lokales Netzwerk verlassen.
- ISP-DNS-Resolver: Wenn lokale Caches keine Antwort haben, erreicht Ihre Abfrage den DNS-Resolver Ihres Internetdienstanbieters (auch rekursiver Resolver genannt). Dieser Server wird automatisch konfiguriert, wenn Ihr Gerät sich über DHCP mit dem Netzwerk verbindet.
- Root-Nameserver: Der Resolver des ISP kontaktiert eines der 13 Root-Nameserver-Systeme (tatsächlich Hunderte von Servern, die Anycast-Routing verwenden). Diese Server kennen nicht die IP-Adresse spezifischer Domains, aber sie wissen, wo die autoritativen Server für jede Top-Level-Domain (TLD) zu finden sind.
- TLD-Nameserver: Der Root-Server leitet die Abfrage an den entsprechenden TLD-Nameserver weiter. Zum Beispiel gehen Abfragen für
.com-Domains an .com-TLD-Server, während.org-Abfragen an .org-Server gehen. Diese Server verwalten Informationen darüber, welche autoritativen Nameserver jede Domain innerhalb ihrer TLD verwalten. - Autoritative Nameserver: Schließlich erreicht die Abfrage den autoritativen Nameserver der Domain, der vom Domain-Inhaber konfiguriert wird. Dieser Server enthält die tatsächlichen DNS-Einträge, die die Domain ihrer IP-Adresse und anderen Informationen zuordnen.
- Antwort und Caching: Die IP-Adresse wandert durch die Kette zurück, wobei jeder Server das Ergebnis gemäß dem Time To Live (TTL)-Wert des Eintrags zwischenspeichert. Ihr Browser erhält die IP-Adresse und kann nun eine Verbindung zum Webserver herstellen.
Dieser gesamte Prozess wird typischerweise in 20-120 Millisekunden abgeschlossen, kann aber viel schneller sein, wenn zwischengespeicherte Ergebnisse verfügbar sind. Sie können die DNS-Auflösungsgeschwindigkeit mit unserem DNS-Abfrage-Tool testen, um zu sehen, wie schnell verschiedene DNS-Server antworten.
Profi-Tipp: Die erste DNS-Abfrage für eine Domain ist aufgrund des Cachings immer langsamer als nachfolgende Abfragen. Deshalb fühlen sich Websites bei wiederholten Besuchen oft schneller an, selbst wenn Sie Ihren Browser-Cache löschen.
Rekursive vs. iterative DNS-Abfragen
DNS-Abfragen gibt es in zwei Varianten: rekursiv und iterativ. Das Verständnis des Unterschieds hilft zu erklären, wie DNS-Server miteinander kommunizieren.
Rekursive Abfragen legen die Last, die Antwort zu finden, auf den DNS-Server. Wenn Ihr Computer eine rekursive Abfrage an den Resolver Ihres ISP sendet, ist dieser Server dafür verantwortlich, die gesamte Kette zu verfolgen, bis er eine definitive Antwort erhält. Der Resolver erledigt die ganze Arbeit und gibt entweder die IP-Adresse oder einen Fehler zurück.
Iterative Abfragen werden zwischen DNS-Servern verwendet. Wenn der Resolver Ihres ISP einen Root-Server abfragt, erhält er eine Weiterleitung zum nächsten Server in der Kette statt einer endgültigen Antwort. Der Resolver fragt dann diesen Server ab, erhält eine weitere Weiterleitung und fährt fort, bis er den autoritativen Nameserver erreicht.
DNS-Eintragstypen erklärt
DNS-Einträge sind Anweisungen, die auf autoritativen Nameservern gespeichert sind und Informationen über eine Domain bereitstellen. Verschiedene Eintragstypen dienen unterschiedlichen Zwecken, vom Verweisen von Domains auf Server bis zur Überprüfung der E-Mail-Authentizität.
| Eintragstyp | Zweck | Beispiel |
|---|---|---|
A |
Ordnet Domain einer IPv4-Adresse zu | example.com → 192.0.2.1 |
AAAA |
Ordnet Domain einer IPv6-Adresse zu | example.com → 2001:db8::1 |
CNAME |
Erstellt Alias, der auf eine andere Domain verweist | www.example.com → example.com |
MX |
Gibt Mailserver für Domain an | example.com → mail.example.com (Priorität 10) |
TXT |
Speichert Textinformationen (SPF, DKIM, Verifizierung) | "v=spf1 include:_spf.google.com ~all" |
NS |
Delegiert Subdomain an Nameserver | example.com → ns1.example.com |
PTR |
Reverse-DNS-Abfrage (IP zu Domain) | 192.0.2.1 → example.com |
SRV |
Gibt Standort von Diensten an | _sip._tcp.example.com → sipserver.example.com:5060 |
CAA |
Gibt an, welche CAs Zertifikate ausstellen können | 0 issue "letsencrypt.org" |
A- und AAAA-Einträge: Die Grundlage
A-Einträge sind der grundlegendste DNS-Eintragstyp und ordnen Domainnamen direkt IPv4-Adressen zu. Wenn Sie eine Website besuchen, sucht Ihr Browser typischerweise zuerst nach dem A-Eintrag, um die IP-Adresse des Servers zu finden.
AAAA-Einträge (ausgesprochen „Quad-A") dienen demselben Zweck für IPv6-Adressen. Während das Internet zu IPv6 übergeht, fügen immer mehr Domains AAAA-Einträge neben ihren A-Einträgen hinzu, um beide Protokolle zu unterstützen.
CNAME-Einträge: Domain-Aliase
CNAME-Einträge (Canonical Name) erstellen Aliase, die auf andere Domainnamen verweisen. Sie werden häufig verwendet, um www.example.com auf example.com zu verweisen oder um mehrere Subdomains auf einen einzelnen Server zu verweisen.
Eine wichtige Einschränkung: CNAME-Einträge können nicht mit anderen Eintragstypen unter demselben Namen koexistieren. Das bedeutet, Sie können keinen CNAME und einen MX-Eintrag für dieselbe Domain haben, weshalb CNAMEs typischerweise für Subdomains statt für Root-Domains verwendet werden.
MX-Einträge: E-Mail-Routing
MX-Einträge (Mail Exchange) teilen E-Mail-Servern mit, wohin E-Mails für Ihre Domain zugestellt werden sollen. Jeder MX-Eintrag enthält einen Prioritätswert – niedrigere Zahlen bedeuten höhere Priorität. Wenn der primäre Mailserver nicht verfügbar ist, versuchen Absender Server mit höheren Prioritätswerten.
Zum Beispiel verwendet Google Workspace mehrere MX-Einträge mit unterschiedlichen Prioritäten, um die E-Mail-Zustellung auch dann sicherzustellen, wenn ein Server ausfällt. Sie können die MX-Einträge Ihrer Domain mit unserem MX-Abfrage-Tool überprüfen.
TXT-Einträge: Verifizierung und Sicherheit
TXT-Einträge speichern beliebige Textdaten und sind für E-Mail-Sicherheit und Domain-Verifizierung unverzichtbar geworden. Häufige Verwendungen umfassen:
- SPF-Einträge: Geben an, welche Server E-Mails im Namen Ihrer Domain senden können
- DKIM-Einträge: Stellen öffentliche Schlüssel für die E-Mail-Signaturverifizierung bereit
- DMARC-Einträge: Definieren Richtlinien für den Umgang mit fehlgeschlagener E-Mail-Authentifizierung
- Domain-Verifizierung: Beweisen Domain-Eigentum gegenüber Diensten wie Google Search Console
- Website-Verifizierung: Bestätigen Eigentum für verschiedene Webdienste und Plattformen
Profi-Tipp: TXT-Einträge haben ein Limit von 255 Zeichen pro Zeichenkette, aber Sie können mehrere Zeichenketten in einem einzelnen Eintrag verketten. Lange DKIM-Schlüssel verwenden oft diese Technik, um in die DNS-Beschränkungen zu passen.
DNS-Abfragebefehle und Tools
Ob Sie Verbindungsprobleme beheben, DNS-Änderungen überprüfen oder Domain-Konfigurationen untersuchen – mehrere Kommandozeilen-Tools und Online-Dienste können Ihnen helfen, DNS-Einträge abzufragen.
Kommandozeilen-DNS-Tools
nslookup ist das am weitesten verbreitete DNS-Abfrage-Tool, das mit Windows, macOS und den meisten Linux-Distributionen mitgeliefert wird. Die grundlegende Verwendung ist einfach:
nslookup example.com
nslookup -type=MX example.com
nslookup example.com 8.8.8.8Der erste Befehl führt eine grundlegende A-Eintrag-Abfrage durch. Der zweite fragt speziell MX-Einträge ab. Der dritte fragt mit Googles DNS-Server (8.8.8.8) statt Ihrem Standard-Resolver ab.
dig (Domain Information Groper) ist leistungsfähiger und liefert detaillierte Ausgaben. Es ist das bevorzugte Tool für DNS-Profis und standardmäßig auf macOS und Linux verfügbar:
dig example.com
dig example.com MX
dig example.com +short
dig @8.8.8.8 example.com
dig example.com +traceDas +short-Flag liefert eine prägnante Ausgabe mit nur der Antwort. Das +trace-Flag zeigt den vollständigen Auflösungspfad von Root-Servern zu autoritativen Nameservern, was für die Fehlerbehebung von unschätzbarem Wert ist.
host ist eine einfachere Alternative zu dig und liefert saubere Ausgaben ohne zusätzliche Details:
host example.com
host -t MX example.com
host -a example.comOnline-DNS-Abfrage-Tools
Webbasierte DNS-Tools bieten Vorteile gegenüber Kommandozeilen-Dienstprogrammen, einschließlich der Möglichkeit, von meh