Zum Inhalt springen
sw
en

Tippe um zu suchen

Netzwerk

DNS – Grundlagen

Das Domain Name System übersetzt Hostnamen in IP-Adressen. Du lernst, wie DNS funktioniert, welche Record-Typen es gibt und wie du Probleme diagnostizierst.

8 Min Lesezeit Anfänger Zuletzt aktualisiert:

Was ist DNS – und warum brauchen wir es?

Stell dir vor, du musst dir für jede Website, die du aufrufst, eine vierstellige Zahlenkombination merken – 172.217.16.4 für Google, 31.13.93.35 für Facebook, und so weiter. Das wäre schlicht nicht praktikabel. Genau deshalb gibt es das Domain Name System (DNS): Es ist das Telefonbuch des Internets.

DNS übersetzt lesbare Hostnamen wie google.com oder intranet.firma.ch in IP-Adressen, mit denen Netzwerkgeräte tatsächlich kommunizieren. Der Prozess nennt sich Namensauflösung (englisch: name resolution).

Als IT-Allrounder im KMU bist du mit DNS täglich konfrontiert – egal ob jemand nicht auf eine Website kommt, Mails gebounced werden, oder du eine neue Domain einrichtest. DNS verstehen ist keine Option, es ist Grundvoraussetzung.


Wie eine DNS-Abfrage abläuft

Wenn du im Browser www.firma.ch eingibst, passiert im Hintergrund folgendes:

  1. Lokaler Cache: Dein Computer prüft zuerst seinen eigenen DNS-Cache. Ist der Eintrag dort, geht es direkt weiter.
  2. Hosts-Datei: Windows schaut in C:\Windows\System32\drivers\etc\hosts – manuelle Einträge hier haben Vorrang.
  3. Resolver (DNS-Client): Der PC fragt den konfigurierten DNS-Server (meist der Router oder ein AD-DC im Firmennetz).
  4. Rekursive Auflösung: Kennt dieser Server die Antwort nicht, fragt er seinerseits andere Server:
    • Root-Nameserver (13 weltweit, z.B. a.root-servers.net) – kennen die Top-Level-Domain-Server
    • TLD-Nameserver (z.B. für .ch zuständig: Switch) – kennen den autoritativen Nameserver der Domain
    • Autoritativer Nameserver der Domain – hat die endgültige Antwort mit dem gewünschten Record
  5. Der Resolver gibt die IP zurück und speichert sie für die Dauer der TTL im Cache.

DNS-Record-Typen im Überblick

Jede Domain hat eine Zone – eine Sammlung von DNS-Einträgen (Records). Die wichtigsten Typen:

TypFunktionBeispiel
AHostname → IPv4-Adresseweb.firma.ch → 185.1.2.3
AAAAHostname → IPv6-Adresseweb.firma.ch → 2a00::1
CNAMEAlias → anderer Hostnamewww.firma.ch → web.firma.ch
MXMailserver für die Domainfirma.ch → mail.firma.ch (Prio 10)
TXTTexteinträge (frei)SPF, DKIM, DMARC, Domainverifizierung
NSNameserver der Zonefirma.ch → ns1.provider.ch
PTRIP → Hostname (Reverse DNS)3.2.1.185 → web.firma.ch
SOAStart of Authority, Zonen-MetadatenSerial, Refresh, Retry, Expire
SRVService-Locatorz.B. Lync/Teams, SIP

A-Record: Der häufigste Record. Verknüpft einen Namen direkt mit einer IPv4-Adresse. Pro Hostname sind mehrere A-Records möglich (Load Balancing / Redundanz).

CNAME: Alias auf einen anderen Namen, nie direkt auf eine IP. Wichtig: Auf einem MX-Record darf kein CNAME stehen – das ist laut RFC nicht zulässig und führt zu Mailproblemen.

MX-Record mit Priorität: Mehrere MX-Records sind möglich. Niedrigere Prioritätszahl = bevorzugter Server. Fällt der primäre Mailserver aus, übernimmt der mit der nächsthöheren Zahl.

# Beispiel Zone firma.ch
firma.ch.    3600  IN  MX  10  mail1.firma.ch.
firma.ch.    3600  IN  MX  20  mail2.firma.ch.

TTL – Time to Live

Jeder DNS-Record hat eine TTL in Sekunden. Sie legt fest, wie lange ein Resolver (oder dein Browser-Cache) den Eintrag zwischenspeichern darf, bevor er ihn neu abfragen muss.

TTLBedeutungWann sinnvoll
300 (5 Min.)Sehr kurz, kaum gecachtKurz vor einer Migration
3600 (1 Std.)StandardNormale produktive Zonen
86400 (1 Tag)Lang, sehr gecachtSehr stabile, selten geänderte Records

Mail-Security: SPF, DKIM und DMARC

Drei TXT-Records sind für die Mail-Zustellbarkeit entscheidend. Fehlen sie, landen Mails im Spam – oder werden gar nicht angenommen.

SPF – Sender Policy Framework

Legt fest, welche Server berechtigt sind, Mails für deine Domain zu versenden.

firma.ch.  TXT  "v=spf1 include:spf.protection.outlook.com ~all"
  • include: – Welche externen Dienste dürfen Mails senden (Exchange Online, Mailchimp, usw.)
  • ~all – Alle anderen Server: Softfail (wird als Spam markiert, aber angenommen)
  • -all – Alle anderen Server: Hardfail (Mail wird abgelehnt) – strenger, empfohlen

DKIM – DomainKeys Identified Mail

Jede ausgehende Mail wird vom Mailserver mit einem privaten Schlüssel signiert. Im DNS liegt der öffentliche Schlüssel, den der empfangende Server zur Verifikation nutzt.

selector1._domainkey.firma.ch.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0..."

Der Selektor (hier selector1) erlaubt mehrere DKIM-Keys parallel – wichtig bei Diensten wie Mailchimp oder Exchange Online.

DMARC – Domain-based Message Authentication, Reporting & Conformance

Definiert, was passieren soll, wenn SPF oder DKIM fehlschlagen:

_dmarc.firma.ch.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.ch"
  • p=none – Nur monitoring, keine Aktion
  • p=quarantine – In Spam verschieben
  • p=reject – Ablehnen

DNS im Windows-Netzwerk (Active Directory)

In einer AD-Umgebung läuft DNS immer auf dem Domain Controller. Die interne Domain (z.B. firma.local oder firma.ch) wird dort verwaltet. Clients sind so konfiguriert, dass sie den DC als primären DNS-Server nutzen.

Warum ist das wichtig? AD ist auf DNS angewiesen – ohne funktionierende Namensauflösung:

  • Kein Domänen-Login möglich
  • GPOs werden nicht angewendet
  • Replikation zwischen DCs schlägt fehl

Wenn ein Domänen-PC plötzlich mit Problemen kämpft, prüf zuerst: Kommt er an seinen DNS-Server?

# DNS-Konfiguration des Clients anzeigen
Get-DnsClientServerAddress

# DNS-Cache des Clients leeren
Clear-DnsClientCache

# Aktuellen Cache anzeigen
Get-DnsClientCache

DNS diagnostizieren: Die wichtigsten Befehle

nslookup (Windows, klassisch)

# Einfache A-Record-Abfrage
nslookup firma.ch

# Bestimmten Record-Typ abfragen
nslookup -type=MX firma.ch
nslookup -type=TXT firma.ch
nslookup -type=NS firma.ch
nslookup -type=AAAA firma.ch

# Einen bestimmten DNS-Server direkt befragen (Bypass lokaler Cache)
nslookup firma.ch 8.8.8.8

# Interaktiven Modus starten
nslookup
> set type=ANY
> firma.ch
> exit

Resolve-DnsName (PowerShell – moderner, empfohlen)

# Einfache Abfrage
Resolve-DnsName firma.ch

# MX-Records
Resolve-DnsName firma.ch -Type MX

# TXT-Records (SPF/DKIM/DMARC prüfen)
Resolve-DnsName firma.ch -Type TXT
Resolve-DnsName _dmarc.firma.ch -Type TXT
Resolve-DnsName selector1._domainkey.firma.ch -Type TXT

# Anderen DNS-Server direkt befragen
Resolve-DnsName firma.ch -Server 8.8.8.8

# Reverse Lookup (IP → Hostname)
Resolve-DnsName 185.1.2.3 -Type PTR

ipconfig (DNS-Cache)

# DNS-Cache anzeigen
ipconfig /displaydns

# DNS-Cache leeren (wichtig nach DNS-Änderungen)
ipconfig /flushdns

# IP + DNS neu beziehen (DHCP)
ipconfig /release
ipconfig /renew

Typische DNS-Probleme und Lösungsansätze

Problem: Hostname lässt sich nicht auflösen

# Schritt 1: Kann der PC den DNS-Server überhaupt erreichen?
Test-NetConnection -ComputerName 192.168.1.1 -Port 53

# Schritt 2: Direkt beim öffentlichen DNS fragen (Google)
Resolve-DnsName firma.ch -Server 8.8.8.8

# Schritt 3: Cache leeren
ipconfig /flushdns

# Schritt 4: DNS-Client-Dienst neu starten
Restart-Service -Name Dnscache

Problem: Mail landet im Spam

  1. SPF prüfen: Resolve-DnsName firma.ch -Type TXT – ist v=spf1 vorhanden?
  2. DKIM prüfen: Resolve-DnsName selector1._domainkey.firma.ch -Type TXT
  3. DMARC prüfen: Resolve-DnsName _dmarc.firma.ch -Type TXT
  4. Online-Tool: MXToolbox – zeigt alle Mail-Records auf einen Blick

Problem: DNS-Änderung ist noch nicht sichtbar

  • TTL des alten Eintrags abwarten (z.B. bei 3600 kann es bis zu 1 Stunde dauern)
  • Cache lokal leeren: ipconfig /flushdns
  • Beim autoritativen Nameserver direkt nachfragen:
    # Zuerst den autoritativen NS herausfinden
    Resolve-DnsName firma.ch -Type NS
    # Dann diesen direkt befragen
    Resolve-DnsName firma.ch -Server ns1.provider.ch

Problem: Interne Hostnamen funktionieren nicht (AD-Umgebung)

# DNS-Server des Clients prüfen – muss der DC sein
Get-DnsClientServerAddress -AddressFamily IPv4

# Verbindung zum DC/DNS-Server testen
Test-NetConnection -ComputerName DC01 -Port 53

# Netzwerkkonfiguration prüfen
ipconfig /all

Öffentliche DNS-Server im Vergleich

Manchmal musst du für Tests oder als Fallback einen öffentlichen DNS-Server nutzen:

AnbieterIPv4Besonderheit
Google8.8.8.8 / 8.8.4.4Schnell, sehr verbreitet
Cloudflare1.1.1.1 / 1.0.0.1Datenschutzfokus, sehr schnell
Quad99.9.9.9Blockiert bekannte Malware-Domains
OpenDNS208.67.222.222Filteroptionen für Unternehmen

Weiterlernen


Verwandte Themen: DHCP – Grundlagen · TCP/IP Grundlagen · Active Directory – Grundlagen · Troubleshooting-Methodik

Videos

YouTube
Das DNS PROTOKOLL (einfach erklärt) | Domain Name System | #Netzwerktechnik
YouTube
Was ist das DNS (Domain Name System)? Einfach erklärt.

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben