Wie DNS funktioniert
Das Domain Name System (DNS) übersetzt menschenlesbare Domainnamen wie example.com in numerische IP-Adressen, die Computer verwenden, um sich gegenseitig zu finden. Jedes Mal, wenn du eine Website besuchst, läuft im Hintergrund eine Kette von DNS-Abfragen, um den eingegebenen Namen in eine Adresse umzuwandeln, mit der sich dein Browser verbinden kann.
Die DNS-Hierarchie
DNS ist als umgekehrter Baum organisiert. Jede Ebene delegiert Autorität an die darunterliegende Ebene:
- Root-Zone — die Spitze des Baums, dargestellt durch einen Punkt (
.). Betrieben von 13 Root-Server-Clustern weltweit - TLD-Nameserver — jede Top-Level-Domain (
.com,.de,.org) hat eigene Nameserver, die von der Registry betrieben werden - Autoritative Nameserver — die Nameserver, die die tatsächlichen DNS-Einträge für eine bestimmte Domain enthalten. Wenn du eine Domain registrierst und DNS über Sitequest konfigurierst, werden unsere Nameserver zur autoritativen Quelle für deine Domain
Der Auflösungsprozess
Wenn dein Browser example.com erreichen muss, passieren folgende Schritte:
- Lokaler Cache-Check — dein Betriebssystem prüft, ob es die IP-Adresse bereits von einer kürzlichen Abfrage kennt. Falls ja, wird das zwischengespeicherte Ergebnis sofort verwendet
- Rekursiver Resolver — falls die Adresse nicht gecacht ist, geht die Anfrage an einen rekursiven Resolver (meist von deinem Internetanbieter oder einem öffentlichen Dienst wie
1.1.1.1oder8.8.8.8). Die Aufgabe des Resolvers ist es, die Antwort aufzuspüren - Root-Server-Abfrage — der Resolver fragt einen Root-Server: "Wo finde ich Nameserver für
.com?" Der Root-Server antwortet mit einer Weiterleitung zu den.com-TLD-Nameservern - TLD-Abfrage — der Resolver fragt den
.com-TLD-Nameserver: "Wo finde ich Nameserver fürexample.com?" Die TLD antwortet mit den autoritativen Nameservern für diese Domain - Autoritative Abfrage — der Resolver fragt den autoritativen Nameserver: "Was ist der A-Eintrag für
example.com?" Der Nameserver antwortet mit der IP-Adresse (z. B.93.184.216.34) - Antwort — der Resolver sendet die IP-Adresse an deinen Browser zurück. Dein Browser öffnet eine Verbindung zu dieser IP und lädt die Seite
Der größte Teil dieser Kette wird in der Praxis übersprungen, da Resolver Antworten aggressiv zwischenspeichern. Eine Domain mit häufigem Traffic wird normalerweise in unter einer Millisekunde aus dem Cache aufgelöst.
Eintragstypen
DNS unterstützt viele Eintragstypen, die jeweils einem anderen Zweck dienen:
| Typ | Zweck | Beispiel |
|---|---|---|
| A | Weist einer Domain eine IPv4-Adresse zu | example.com -> 93.184.216.34 |
| AAAA | Weist einer Domain eine IPv6-Adresse zu | example.com -> 2606:2800:... |
| CNAME | Alias, der auf einen anderen Domainnamen zeigt | www -> example.com |
| MX | Leitet E-Mails an einen Mailserver | mail.example.com Priorität 10 |
| TXT | Beliebiger Text, genutzt für Verifizierung und SPF | v=spf1 include:... |
| NS | Delegiert eine Zone an bestimmte Nameserver | ns1.example.com |
| SOA | Start of Authority — Zonen-Metadaten | Serial, Refresh, Retry, Expire |
Eine praktische Anleitung zur Verwaltung dieser Einträge findest du unter DNS-Einträge.
TTL (Time to Live)
Jeder DNS-Eintrag hat einen TTL-Wert — die Anzahl der Sekunden, die ein Resolver diesen Eintrag zwischenspeichern darf, bevor er erneut prüfen muss. Gängige Werte:
- 300 Sekunden (5 Minuten) — gut für Einträge, die sich häufig ändern, z. B. während einer Migration
- 3600 Sekunden (1 Stunde) — ein sinnvoller Standard für die meisten Einträge
- 86400 Sekunden (24 Stunden) — geeignet für stabile Einträge, die sich selten ändern
Niedrigere TTL bedeutet schnellere Propagierung bei Änderungen, erzeugt aber mehr DNS-Abfragen. Höhere TTL reduziert die Abfragelast, bedeutet aber, dass Änderungen länger brauchen, um sich zu verbreiten.
Tipp: Bevor du eine Domain auf einen neuen Server migrierst, senke die TTL einen Tag vorher auf 300 Sekunden. Nach Abschluss und Überprüfung der Migration erhöhe sie wieder auf 3600 oder höher.
DNS-Propagierung
Wenn du einen DNS-Eintrag aktualisierst, tritt die Änderung nicht überall gleichzeitig in Kraft. Resolver weltweit haben den alten Eintrag gecacht und liefern ihn weiterhin aus, bis die TTL abläuft. Diese schrittweise Verteilung wird Propagierung genannt.
Die Propagierungszeit hängt vom vorherigen TTL-Wert ab. Wenn der alte Eintrag eine TTL von 86400 (24 Stunden) hatte, können einige Resolver bis zu 24 Stunden nach der Änderung die alte IP ausliefern. Deshalb ist es wichtig, die TTL vor geplanten Änderungen zu senken.
In der Praxis sehen die meisten Nutzer den neuen Eintrag innerhalb von Minuten bis wenigen Stunden.
Caching-Ebenen
DNS-Antworten werden auf mehreren Ebenen zwischengespeichert:
- Browser-Cache — Browser cachen DNS-Ergebnisse für kurze Zeit (oft 60 Sekunden)
- Betriebssystem-Cache — das OS pflegt seinen eigenen DNS-Cache
- Rekursiver Resolver-Cache — der Resolver deines Internetanbieters cached Antworten gemäß TTL
- Autoritativer Server-Cache — einige autoritative Server cachen Ergebnisse von vorgelagerten Quellen
Jede Ebene reduziert die Last auf die nächste und beschleunigt die Auflösung bei wiederholten Abfragen.
DNS-Sicherheit
Standard-DNS-Abfragen werden im Klartext gesendet und sind anfällig für Abfangen und Manipulation. Mehrere Technologien adressieren dies:
- DNSSEC — signiert DNS-Einträge digital, damit Resolver überprüfen können, dass sie nicht manipuliert wurden. Details findest du unter DNSSEC erklärt
- DNS over HTTPS (DoH) — verschlüsselt DNS-Abfragen innerhalb von HTTPS-Verbindungen
- DNS over TLS (DoT) — verschlüsselt DNS-Abfragen mittels TLS
DNSSEC schützt die Datenintegrität (Einträge wurden nicht verändert). DoH und DoT schützen die Privatsphäre (Abfragen können unterwegs nicht gelesen werden). Sie adressieren unterschiedliche Bedrohungen und können zusammen verwendet werden.
Nächste Schritte
- DNS-Einträge verwalten für deine Domains im Sitequest-Dashboard
- Erfahre mehr über DNSSEC und wie es deine Domain schützt
- Domain registrieren und DNS konfigurieren