← Zurück zum Glossar
webentwicklung

DNS

Domain Name System — das verteilte System, das Domainnamen wie example.com in IP-Adressen auflöst, die Computer tatsächlich verwenden.

Aktualisiert: 23. Februar 2026

Was ist DNS?

DNS (Domain Name System) ist das Telefonbuch des Internets: Es übersetzt menschenlesbare Domainnamen (wie beastnet.de) in IP-Adressen (wie 85.215.xxx.xxx), die Netzwerkkomponenten tatsächlich verwenden. Ohne DNS müsste jeder Nutzer IP-Adressen auswendig kennen. DNS ist ein hierarchisch aufgebautes, verteiltes System — keine zentrale Datenbank, sondern ein Netzwerk kooperierender Nameserver.

Für jeden, der Webseiten betreibt, ist DNS unvermeidlich: Jede Domain-Änderung, jeder Server-Umzug, jede E-Mail-Konfiguration läuft über DNS-Records. DNS ist auch einer der häufigsten Quellen für Ausfälle und schwer diagnostizierbare Probleme — weil Änderungen wegen Caching (TTL) nicht sofort global wirksam werden.

Kurzprofil DNS

Kurzprofil

  • Typ: Verteiltes Namensauflösungssystem (Protokoll + Infrastruktur)
  • Port: 53 (UDP und TCP)
  • Eingeführt: 1983 (RFC 882/883), heutige Form: 1987 (RFC 1034/1035)
  • Spezifikation: RFC 1034 , RFC 1035
  • Relevanz für WordPress/Web: Grundlegend

Wie funktioniert DNS?

Eine DNS-Abfrage durchläuft mehrere Stationen:

  1. Browser-Cache: Hat der Browser die IP schon im Cache (innerhalb der TTL)? → Direkt verwenden.
  2. Betriebssystem-Resolver: Lokaler DNS-Cache des OS (/etc/hosts + System-Cache).
  3. Recursive Resolver: Der DNS-Server des ISP oder ein öffentlicher Resolver (8.8.8.8 für Google, 1.1.1.1 für Cloudflare). Er übernimmt die eigentliche Arbeit.
  4. Root-Nameserver: 13 logische Root-Server kennen die Nameserver für alle Top-Level-Domains.
  5. TLD-Nameserver: Kennt die autoritativen Nameserver für .de-Domains.
  6. Autoritativer Nameserver: Der Nameserver, der die Zone example.com verwaltet — er kennt die tatsächliche IP.

Das Ergebnis wird vom Recursive Resolver für die Dauer der TTL (Time to Live) gecacht.

Wichtige DNS-Record-Typen:

  • A-Record: Domain → IPv4-Adresse (example.com → 85.215.x.x)
  • AAAA-Record: Domain → IPv6-Adresse
  • CNAME-Record: Domain → andere Domain (Alias). Wichtig: CNAME und andere Records für denselben Namen sind nicht kombinierbar — kein CNAME auf Apex-Domain (@).
  • MX Record: Mailserver für eine Domain
  • TXT-Record: Beliebige Textdaten — für SPF, DKIM, DMARC, Domain-Verifikation
  • NS-Record: Gibt an, welche Nameserver für eine Zone autoritativ sind

DNS in der Praxis

Für WordPress-Betreiber sind folgende DNS-Szenarien typisch:

Server-Migration: Ziel-IP des A-Records ändern. Die alte IP bleibt so lange aktiv, bis die TTL abgelaufen ist — bei einer TTL von 3600 Sekunden können einige Besucher noch eine Stunde auf den alten Server treffen. Empfehlung: TTL vor einer Migration auf 300 (5 Minuten) reduzieren, dann umschalten.

Subdomain für CDN:

static.example.com.  CNAME  xxxx.cdn-provider.com.

Domain-Verifikation für SSL-Zertifikate (ACME DNS-01 Challenge):

_acme-challenge.example.com.  TXT  "abc123xyz..."

Diagnose-Tools:

dig example.com A          # A-Record abfragen
dig example.com MX          # Mailserver
dig +trace example.com      # Vollständige Auflösungskette verfolgen
nslookup -type=TXT example.com  # TXT-Records
Auf einen Blick

Das Wichtigste

  • DNS übersetzt Domainnamen in IP-Adressen — hierarchisch und verteilt
  • TTL bestimmt wie lange Antworten gecacht werden — vor Migrationen auf niedrige TTL reduzieren
  • A-Record → IPv4, AAAA → IPv6, CNAME → Alias, MX → Mail, TXT → Verifikation/SPF/DKIM
  • Kein CNAME auf der Apex-Domain (@) — stattdessen ALIAS oder ANAME bei unterstützenden Anbietern
  • DNS-Propagation ist kein technisches Problem, sondern TTL-basiertes Caching

Was passiert bei DNS-Fehlkonfiguration?

Ein fehlerhafter A-Record oder ein abgelaufenes Zertifikat nach Domain-Transfer sind klassische Ursachen für vollständige Website-Ausfälle. Besonders tückisch: DNS-Probleme manifestieren sich nicht gleichzeitig für alle Nutzer — wegen unterschiedlicher TTL-Caches in verschiedenen Resolvern sehen manche Nutzer noch die alte IP, andere schon die neue.

CNAME auf Apex-Domain ist ein häufiger Fehler: example.com CNAME andere-domain.com ist laut RFC ungültig, weil CNAME alle anderen Record-Typen ausschließt — aber auf der Apex-Domain braucht man oft auch NS- und SOA-Records. Manche DNS-Anbieter bieten ALIAS/ANAME als nicht-standardisierte Workarounds.

Häufige Fragen

Was bedeutet "DNS-Propagation dauert bis zu 48 Stunden"? Die Aussage ist technisch ungenau. Was dauert, ist die Entwertung des alten Caches in den weltweiten Recursive Resolvern — abhängig von der TTL des geänderten Records. Mit TTL=300 propagiert eine Änderung in ca. 5 Minuten. Die "48 Stunden" stammen aus einer Zeit mit Standard-TTLs von 86400.

Was ist der Unterschied zwischen DNS und Domain-Registrierung? Domain-Registrierung (Registrar: DENIC, Namecheap, etc.) ist das Recht, eine Domain zu nutzen. DNS ist der technische Dienst, der Records verwaltet. Beides kann beim gleichen Anbieter sein, muss es aber nicht — Nameserver können unabhängig vom Registrar konfiguriert werden.

Was ist DNSSEC? DNSSEC (DNS Security Extensions) ergänzt DNS um kryptographische Signaturen, die sicherstellen, dass Antworten nicht manipuliert wurden. Schützt vor DNS-Spoofing und Cache-Poisoning. Wird von größeren Hosting-Anbietern und TLD-Registries unterstützt, aber noch nicht flächendeckend genutzt.

start call_