DNS – Grundlagen
Das Domain Name System übersetzt Hostnamen in IP-Adressen. Du lernst, wie DNS funktioniert, welche Record-Typen es gibt und wie du Probleme diagnostizierst.
Was ist DNS – und warum brauchen wir es?
Stell dir vor, du musst dir für jede Website, die du aufrufst, eine vierstellige Zahlenkombination merken – 172.217.16.4 für Google, 31.13.93.35 für Facebook, und so weiter. Das wäre schlicht nicht praktikabel. Genau deshalb gibt es das Domain Name System (DNS): Es ist das Telefonbuch des Internets.
DNS übersetzt lesbare Hostnamen wie google.com oder intranet.firma.ch in IP-Adressen, mit denen Netzwerkgeräte tatsächlich kommunizieren. Der Prozess nennt sich Namensauflösung (englisch: name resolution).
Als IT-Allrounder im KMU bist du mit DNS täglich konfrontiert – egal ob jemand nicht auf eine Website kommt, Mails gebounced werden, oder du eine neue Domain einrichtest. DNS verstehen ist keine Option, es ist Grundvoraussetzung.
Wie eine DNS-Abfrage abläuft
Wenn du im Browser www.firma.ch eingibst, passiert im Hintergrund folgendes:
- Lokaler Cache: Dein Computer prüft zuerst seinen eigenen DNS-Cache. Ist der Eintrag dort, geht es direkt weiter.
- Hosts-Datei: Windows schaut in
C:\Windows\System32\drivers\etc\hosts– manuelle Einträge hier haben Vorrang. - Resolver (DNS-Client): Der PC fragt den konfigurierten DNS-Server (meist der Router oder ein AD-DC im Firmennetz).
- Rekursive Auflösung: Kennt dieser Server die Antwort nicht, fragt er seinerseits andere Server:
- Root-Nameserver (13 weltweit, z.B.
a.root-servers.net) – kennen die Top-Level-Domain-Server - TLD-Nameserver (z.B. für
.chzuständig: Switch) – kennen den autoritativen Nameserver der Domain - Autoritativer Nameserver der Domain – hat die endgültige Antwort mit dem gewünschten Record
- Root-Nameserver (13 weltweit, z.B.
- Der Resolver gibt die IP zurück und speichert sie für die Dauer der TTL im Cache.
DNS-Record-Typen im Überblick
Jede Domain hat eine Zone – eine Sammlung von DNS-Einträgen (Records). Die wichtigsten Typen:
| Typ | Funktion | Beispiel |
|---|---|---|
| A | Hostname → IPv4-Adresse | web.firma.ch → 185.1.2.3 |
| AAAA | Hostname → IPv6-Adresse | web.firma.ch → 2a00::1 |
| CNAME | Alias → anderer Hostname | www.firma.ch → web.firma.ch |
| MX | Mailserver für die Domain | firma.ch → mail.firma.ch (Prio 10) |
| TXT | Texteinträge (frei) | SPF, DKIM, DMARC, Domainverifizierung |
| NS | Nameserver der Zone | firma.ch → ns1.provider.ch |
| PTR | IP → Hostname (Reverse DNS) | 3.2.1.185 → web.firma.ch |
| SOA | Start of Authority, Zonen-Metadaten | Serial, Refresh, Retry, Expire |
| SRV | Service-Locator | z.B. Lync/Teams, SIP |
A-Record: Der häufigste Record. Verknüpft einen Namen direkt mit einer IPv4-Adresse. Pro Hostname sind mehrere A-Records möglich (Load Balancing / Redundanz).
CNAME: Alias auf einen anderen Namen, nie direkt auf eine IP. Wichtig: Auf einem MX-Record darf kein CNAME stehen – das ist laut RFC nicht zulässig und führt zu Mailproblemen.
MX-Record mit Priorität: Mehrere MX-Records sind möglich. Niedrigere Prioritätszahl = bevorzugter Server. Fällt der primäre Mailserver aus, übernimmt der mit der nächsthöheren Zahl.
# Beispiel Zone firma.ch
firma.ch. 3600 IN MX 10 mail1.firma.ch.
firma.ch. 3600 IN MX 20 mail2.firma.ch.
TTL – Time to Live
Jeder DNS-Record hat eine TTL in Sekunden. Sie legt fest, wie lange ein Resolver (oder dein Browser-Cache) den Eintrag zwischenspeichern darf, bevor er ihn neu abfragen muss.
| TTL | Bedeutung | Wann sinnvoll |
|---|---|---|
| 300 (5 Min.) | Sehr kurz, kaum gecacht | Kurz vor einer Migration |
| 3600 (1 Std.) | Standard | Normale produktive Zonen |
| 86400 (1 Tag) | Lang, sehr gecacht | Sehr stabile, selten geänderte Records |
Mail-Security: SPF, DKIM und DMARC
Drei TXT-Records sind für die Mail-Zustellbarkeit entscheidend. Fehlen sie, landen Mails im Spam – oder werden gar nicht angenommen.
SPF – Sender Policy Framework
Legt fest, welche Server berechtigt sind, Mails für deine Domain zu versenden.
firma.ch. TXT "v=spf1 include:spf.protection.outlook.com ~all"
include:– Welche externen Dienste dürfen Mails senden (Exchange Online, Mailchimp, usw.)~all– Alle anderen Server: Softfail (wird als Spam markiert, aber angenommen)-all– Alle anderen Server: Hardfail (Mail wird abgelehnt) – strenger, empfohlen
DKIM – DomainKeys Identified Mail
Jede ausgehende Mail wird vom Mailserver mit einem privaten Schlüssel signiert. Im DNS liegt der öffentliche Schlüssel, den der empfangende Server zur Verifikation nutzt.
selector1._domainkey.firma.ch. TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
Der Selektor (hier selector1) erlaubt mehrere DKIM-Keys parallel – wichtig bei Diensten wie Mailchimp oder Exchange Online.
DMARC – Domain-based Message Authentication, Reporting & Conformance
Definiert, was passieren soll, wenn SPF oder DKIM fehlschlagen:
_dmarc.firma.ch. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.ch"
p=none– Nur monitoring, keine Aktionp=quarantine– In Spam verschiebenp=reject– Ablehnen
DNS im Windows-Netzwerk (Active Directory)
In einer AD-Umgebung läuft DNS immer auf dem Domain Controller. Die interne Domain (z.B. firma.local oder firma.ch) wird dort verwaltet. Clients sind so konfiguriert, dass sie den DC als primären DNS-Server nutzen.
Warum ist das wichtig? AD ist auf DNS angewiesen – ohne funktionierende Namensauflösung:
- Kein Domänen-Login möglich
- GPOs werden nicht angewendet
- Replikation zwischen DCs schlägt fehl
Wenn ein Domänen-PC plötzlich mit Problemen kämpft, prüf zuerst: Kommt er an seinen DNS-Server?
# DNS-Konfiguration des Clients anzeigen
Get-DnsClientServerAddress
# DNS-Cache des Clients leeren
Clear-DnsClientCache
# Aktuellen Cache anzeigen
Get-DnsClientCache
DNS diagnostizieren: Die wichtigsten Befehle
nslookup (Windows, klassisch)
# Einfache A-Record-Abfrage
nslookup firma.ch
# Bestimmten Record-Typ abfragen
nslookup -type=MX firma.ch
nslookup -type=TXT firma.ch
nslookup -type=NS firma.ch
nslookup -type=AAAA firma.ch
# Einen bestimmten DNS-Server direkt befragen (Bypass lokaler Cache)
nslookup firma.ch 8.8.8.8
# Interaktiven Modus starten
nslookup
> set type=ANY
> firma.ch
> exit
Resolve-DnsName (PowerShell – moderner, empfohlen)
# Einfache Abfrage
Resolve-DnsName firma.ch
# MX-Records
Resolve-DnsName firma.ch -Type MX
# TXT-Records (SPF/DKIM/DMARC prüfen)
Resolve-DnsName firma.ch -Type TXT
Resolve-DnsName _dmarc.firma.ch -Type TXT
Resolve-DnsName selector1._domainkey.firma.ch -Type TXT
# Anderen DNS-Server direkt befragen
Resolve-DnsName firma.ch -Server 8.8.8.8
# Reverse Lookup (IP → Hostname)
Resolve-DnsName 185.1.2.3 -Type PTR
ipconfig (DNS-Cache)
# DNS-Cache anzeigen
ipconfig /displaydns
# DNS-Cache leeren (wichtig nach DNS-Änderungen)
ipconfig /flushdns
# IP + DNS neu beziehen (DHCP)
ipconfig /release
ipconfig /renew
Typische DNS-Probleme und Lösungsansätze
Problem: Hostname lässt sich nicht auflösen
# Schritt 1: Kann der PC den DNS-Server überhaupt erreichen?
Test-NetConnection -ComputerName 192.168.1.1 -Port 53
# Schritt 2: Direkt beim öffentlichen DNS fragen (Google)
Resolve-DnsName firma.ch -Server 8.8.8.8
# Schritt 3: Cache leeren
ipconfig /flushdns
# Schritt 4: DNS-Client-Dienst neu starten
Restart-Service -Name Dnscache
Problem: Mail landet im Spam
- SPF prüfen:
Resolve-DnsName firma.ch -Type TXT– istv=spf1vorhanden? - DKIM prüfen:
Resolve-DnsName selector1._domainkey.firma.ch -Type TXT - DMARC prüfen:
Resolve-DnsName _dmarc.firma.ch -Type TXT - Online-Tool: MXToolbox – zeigt alle Mail-Records auf einen Blick
Problem: DNS-Änderung ist noch nicht sichtbar
- TTL des alten Eintrags abwarten (z.B. bei 3600 kann es bis zu 1 Stunde dauern)
- Cache lokal leeren:
ipconfig /flushdns - Beim autoritativen Nameserver direkt nachfragen:
# Zuerst den autoritativen NS herausfinden Resolve-DnsName firma.ch -Type NS # Dann diesen direkt befragen Resolve-DnsName firma.ch -Server ns1.provider.ch
Problem: Interne Hostnamen funktionieren nicht (AD-Umgebung)
# DNS-Server des Clients prüfen – muss der DC sein
Get-DnsClientServerAddress -AddressFamily IPv4
# Verbindung zum DC/DNS-Server testen
Test-NetConnection -ComputerName DC01 -Port 53
# Netzwerkkonfiguration prüfen
ipconfig /all
Öffentliche DNS-Server im Vergleich
Manchmal musst du für Tests oder als Fallback einen öffentlichen DNS-Server nutzen:
| Anbieter | IPv4 | Besonderheit |
|---|---|---|
8.8.8.8 / 8.8.4.4 | Schnell, sehr verbreitet | |
| Cloudflare | 1.1.1.1 / 1.0.0.1 | Datenschutzfokus, sehr schnell |
| Quad9 | 9.9.9.9 | Blockiert bekannte Malware-Domains |
| OpenDNS | 208.67.222.222 | Filteroptionen für Unternehmen |
Weiterlernen
- Cloudflare: Was ist DNS? (deutsch) – umfassende Einführung von einem der grössten DNS-Betreiber weltweit
- RFC 1034 – Domain Names: Concepts and Facilities – das offizielle Originaldokument (englisch)
- MXToolbox – DNS & Mail-Check – prüft SPF, DKIM, DMARC, Blacklists online
- Microsoft: Resolve-DnsName Dokumentation – offizielle Cmdlet-Referenz
- IANA: Root Servers – Liste der 13 Root-Nameserver weltweit
- Hostinger: Was ist DNS? – umfassender Leitfaden – gut geschriebener Überblick auf Deutsch
Verwandte Themen: DHCP – Grundlagen · TCP/IP Grundlagen · Active Directory – Grundlagen · Troubleshooting-Methodik
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …