DNS Server erklärt: So funktioniert das Telefonbuch des Internets

Ein DNS Server funktioniert wie ein Telefonbuch für das Internet. Statt Namen mit Telefonnummern zu verknüpfen, verbindet er Domainnamen mit IP-Adressen. Wenn du beispielsweise google.com aufrufst, fragt dein Browser einen DNS Server nach der zugehörigen IP-Adresse wie 142.250.185.46. Erst mit dieser Information kann dein Gerät die richtige Website laden.

Ohne funktionierenden DNS Server bleibt deine Website unerreichbar, selbst wenn dein Hosting-Server einwandfrei läuft. Die IP-Adresse deines Servers existiert zwar, aber niemand kann sie über deinen Domainnamen finden. Diese Abhängigkeit macht DNS zu einem kritischen Bestandteil jeder Webhosting-Infrastruktur.

Dein Hosting-Provider stellt die Server-Ressourcen bereit und weist deinem Account eine IP-Adresse zu. Der DNS Server sorgt dafür, dass Besucher diese IP-Adresse erreichen, wenn sie deinen Domainnamen eingeben. Beide Systeme müssen zusammenarbeiten, damit deine Website online ist.

Die DNS-Auflösung durchläuft einen präzisen Prozess, der normalerweise in Millisekunden abläuft. Jeder Schritt baut auf dem vorherigen auf und führt von deiner Anfrage bis zur fertigen Website-Darstellung.

Der Ablauf beginnt, sobald du eine Domain in deinen Browser eingibst:

1. Dein Gerät sendet die Anfrage an einen DNS-Resolver (meist von deinem Internetprovider)
2. Der Resolver leitet die Anfrage an einen Root-Server weiter
3. Der Root-Server antwortet mit der Adresse des zuständigen TLD-Servers (.de, .com, .org)
4. Der Resolver fragt den TLD-Server nach der Domain
5. Der TLD-Server liefert die Adresse des autoritativen Nameservers für diese Domain
6. Der Resolver kontaktiert den autoritativen Nameserver
7. Der autoritative Server antwortet mit der IP-Adresse des Ursprungsservers
8. Der Resolver sendet die IP-Adresse zurück an dein Gerät
9. Dein Browser verbindet sich mit dem Ursprungsserver unter dieser IP-Adresse
10. Der Ursprungsserver liefert die Website-Daten aus

Dieser mehrstufige Prozess erklärt, warum DNS-Probleme die Ladezeit deiner Website deutlich verlängern können. Wenn ein Server in dieser Kette langsam reagiert oder ausfällt, verzögert sich der gesamte Ablauf. Bei Hosting-Wechseln oder DNS-Änderungen kann es außerdem vorkommen, dass verschiedene Nutzer unterschiedliche IP-Adressen erhalten, bis alle Cache-Einträge aktualisiert sind.

DNS-Infrastruktur besteht aus mehreren Servertypen mit unterschiedlichen Rollen. Im Hosting-Control-Panel oder bei der Domain-Verwaltung begegnen dir autoritative und rekursive Server, die jeweils spezifische Aufgaben im Auflösungsprozess übernehmen.

Autoritative Nameserver sind die offizielle Quelle für alle Informationen zu deiner Domain. Sie speichern die Zonendatei mit sämtlichen DNS-Records: A-Records für die Website-IP, MX-Records für E-Mail-Server, CNAME-Records für Subdomains und weitere Einträge.

Wenn du in deinem Hosting-Control-Panel DNS-Einstellungen änderst, bearbeitest du die Zonendatei auf dem autoritativen Nameserver. Diese Änderungen werden dann weltweit verbreitet. Anbieter wie ALL-INKL, Hetzner und IONOS stellen autoritative Nameserver bereit, die typischerweise Namen wie ns1.provider.de und ns2.provider.de tragen.

Nicht-autoritative Server liefern DNS-Informationen aus zweiter Hand. Sie haben keine eigene Zonendatei, sondern speichern Antworten anderer Server in ihrem Cache. Diese zwischengespeicherten Daten beschleunigen wiederholte Anfragen erheblich.

Der Cache funktioniert mit einem TTL-Wert (Time-to-Live), der festlegt, wie lange eine Information gültig bleibt. Ein TTL von 3600 Sekunden bedeutet, dass der Server die Daten eine Stunde lang speichert, bevor er sie erneut abfragt. Niedrige TTL-Werte sorgen für schnellere Updates, erhöhen aber die Serverlast.

Rekursive Server sind die Vermittler im DNS-System. Sie durchlaufen den kompletten 10-Schritte-Prozess und fragen nacheinander Root-, TLD- und autoritative Server ab, bis sie die gesuchte IP-Adresse gefunden haben. Danach speichern sie das Ergebnis im Cache für zukünftige Anfragen.

Die meisten Internetprovider betreiben eigene rekursive DNS-Server für ihre Kunden. Alternativ kannst du öffentliche Dienste wie Google DNS oder Cloudflare nutzen. Diese Server beeinflussen nicht die DNS-Einstellungen deiner gehosteten Website, sondern nur dein eigenes Surf-Verhalten.

Root-Server bilden die oberste Ebene der DNS-Hierarchie. Weltweit existieren über 100 Root-Server unter Aufsicht des ICANN Root Server System Advisory Committee. Sie kennen die Adressen aller TLD-Server und leiten Anfragen an die richtige Top-Level-Domain weiter.

TLD-Server verwalten spezifische Domain-Endungen wie .de, .com oder .org. Die DENIC ist beispielsweise für alle .de-Domains zuständig. Diese Server kennen die autoritativen Nameserver für jede registrierte Domain unter ihrer TLD und leiten Anfragen entsprechend weiter.

Professionelle Hosting-Infrastruktur setzt auf mindestens zwei Nameserver pro Domain. Der Primary Nameserver (Master) enthält die Original-Zonendatei mit allen DNS-Einträgen. Hier nimmst du Änderungen vor, wenn du IP-Adressen oder andere Records aktualisierst.

Secondary Nameserver (Slave) synchronisieren sich automatisch mit dem Primary Server. Sie enthalten identische Kopien der Zonendatei und antworten auf DNS-Anfragen genauso wie der Master. Falls der Primary Server ausfällt oder überlastet ist, übernehmen die Secondary Server nahtlos die Anfragen.

Diese Redundanz verhindert, dass deine Website bei technischen Problemen unerreichbar wird. Seriöse Hosting-Provider platzieren Primary und Secondary Server an geografisch getrennten Standorten. Dadurch bleiben deine DNS-Daten selbst bei lokalen Stromausfällen oder Netzwerkstörungen verfügbar. Gute Hosting-Pakete inkludieren Secondary Nameserver als Standard-Feature ohne Aufpreis.

DNS-Resolver speichern erfolgreiche Anfragen temporär im Cache. Wenn du eine Website zum zweiten Mal besuchst, muss der Resolver nicht erneut Root-, TLD- und autoritative Server abfragen. Er nutzt die gespeicherte IP-Adresse direkt, was die Ladezeit erheblich verkürzt.

Die Time-to-Live (TTL) bestimmt, wie lange ein Cache-Eintrag gültig bleibt. Ein TTL-Wert von 3600 Sekunden bedeutet, dass der Resolver die gespeicherte IP-Adresse eine Stunde lang verwendet. Nach Ablauf dieser Zeit holt er sich die Information neu vom autoritativen Nameserver.

Für Website-Betreiber hat die TTL praktische Konsequenzen. Wenn du deinen Hosting-Provider wechselst und die IP-Adresse deiner Domain änderst, sehen Besucher erst nach Ablauf der TTL die neue Adresse. Dieser Prozess heißt DNS-Propagierung. Bei einem TTL von 86400 Sekunden (24 Stunden) kann es einen ganzen Tag dauern, bis alle Nutzer weltweit auf deinen neuen Server zugreifen.

Vor einem geplanten Provider-Wechsel solltest du die TTL mehrere Tage vorher auf 300 bis 600 Sekunden reduzieren. Dadurch verkürzt sich die Propagierungszeit deutlich und der Übergang verläuft reibungsloser. Nach erfolgreichem Umzug kannst du die TTL wieder auf einen höheren Wert setzen, um die Serverlast zu reduzieren.

Dein Internetprovider stellt standardmäßig rekursive DNS-Server bereit, die deine Browser-Anfragen auflösen. Diese unterscheiden sich grundlegend von den autoritativen Nameservern deiner gehosteten Website. Öffentliche DNS-Dienste bieten Alternativen zu Provider-DNS mit unterschiedlichen Schwerpunkten bei Geschwindigkeit, Sicherheit und Datenschutz.

Cloudflare betreibt DNS-Server unter den Adressen 1.1.1.1 (primär) und 1.0.0.1 (sekundär). Der Dienst konzentriert sich auf Geschwindigkeit und Datenschutz. Über 200 Serverstandorte weltweit sorgen für kurze Antwortzeiten. Cloudflare löscht DNS-Anfragen nach 24 Stunden und speichert keine dauerhaften Nutzerprofile.

Google Public DNS nutzt die leicht merkbaren Adressen 8.8.8.8 (primär) und 8.8.4.4 (sekundär). Der Dienst gilt als sehr zuverlässig und performant. Google speichert DNS-Daten 48 Stunden lang, was länger ist als bei datenschutzfokussierten Alternativen. Die globale Infrastruktur sorgt für stabile Auflösungszeiten.

Quad9 verwendet 9.9.9.9 als primäre und 149.112.112.112 als sekundäre Adresse. Der Dienst legt besonderen Wert auf Sicherheit und blockiert automatisch Domains, die mit Malware-Blockierung, Phishing oder anderen Bedrohungen in Verbindung stehen. Über 145 Serverstandorte verteilen sich weltweit. Quad9 speichert keine IP-Adressen von Nutzern.

Ein Wechsel der rekursiven DNS-Server betrifft nur deine eigenen Geräte und Router, nicht die DNS-Einstellungen deiner gehosteten Website. Drei Hauptgründe sprechen für einen solchen Wechsel.

Performance-Verbesserung steht oft im Vordergrund. Öffentliche DNS-Server können schneller antworten als Provider-DNS, aber das gilt nicht pauschal. Die tatsächliche Geschwindigkeit hängt von deinem Standort und der Serververteilung ab. Ein Geschwindigkeitstest vor dem Wechsel zeigt, ob sich die Änderung lohnt.

Sicherheitsfeatures bieten einen klaren Mehrwert. DNS-Dienste wie Quad9 oder AdGuard blockieren automatisch Domains mit Malware, Phishing oder Betrugsversuchen. Diese Filter greifen, bevor dein Browser überhaupt eine Verbindung aufbaut. Für Nutzer ohne separate Sicherheitssoftware ist das ein wirksamer Schutz.

Umgehung von Netzsperren ist der dritte Grund. Manche Internetprovider blockieren bestimmte Websites auf DNS-Ebene. Alternative DNS-Server ignorieren diese Sperren und lösen alle Domains auf. Dieser Aspekt ist besonders in Ländern mit Internetzensur relevant.

DNS-Einstellungen lassen sich auf verschiedenen Ebenen anpassen. Die Konfiguration auf einzelnen Geräten betrifft nur dieses Gerät, während Router-Änderungen alle verbundenen Geräte im Netzwerk beeinflussen.

Öffne die Systemsteuerung und navigiere zu „Netzwerk und Internet“. Wähle „Netzwerkverbindungen anzeigen“ und klicke mit rechts auf deine aktive Verbindung. Wähle „Eigenschaften“ und doppelklicke auf „Internetprotokoll Version 4 (TCP/IPv4)“.

Aktiviere die Option „Folgende DNS-Serveradressen verwenden“. Trage die primäre DNS-Adresse (z.B. 1.1.1.1) in das erste Feld und die sekundäre Adresse (z.B. 1.0.0.1) in das zweite Feld ein. Bestätige mit „OK“ und schließe alle Fenster. Die Änderung wirkt sofort.

Router-Konfiguration ändert DNS für alle Geräte im Heimnetzwerk gleichzeitig. Öffne deinen Browser und gib die Router-IP ein (meist 192.168.1.1 oder 192.168.0.1). Melde dich mit deinen Admin-Zugangsdaten an.

Suche den Bereich „Internet“, „WAN“ oder „DNS-Einstellungen“. Die genaue Bezeichnung variiert je nach Router-Modell. Ersetze die automatisch bezogenen DNS-Adressen durch deine gewünschten Server. Speichere die Änderungen und starte den Router neu. Alle verbundenen Geräte nutzen danach die neuen DNS-Server.

Im Hosting-Control-Panel (cPanel, Plesk oder DirectAdmin) verwaltest du die autoritativen Nameserver deiner Domain, nicht deine eigenen rekursiven DNS-Server. Hier konfigurierst du A-Records, die deine Domain mit der Server-IP verbinden, CNAME-Records für Subdomains und MX-Records für E-Mail-Server.

Diese Einstellungen sind relevant, wenn du deinen Hosting-Provider wechselst oder spezielle Konfigurationen vornimmst. Die Änderungen betreffen, wie die Welt deine Website findet, nicht wie du selbst im Internet surfst. Hosting-Provider stellen diese Verwaltungsoberfläche als Teil ihres Service bereit.

DNS-Infrastruktur ist ein beliebtes Angriffsziel. Erfolgreiche Attacken können deine Website unerreichbar machen oder Besucher auf gefälschte Seiten umleiten. Mehrere Sicherheitsmechanismen schützen vor diesen Bedrohungen.

Bei DNS-Spoofing schleusen Angreifer gefälschte DNS-Antworten in den Cache eines Resolvers ein. Nutzer, die deine Domain aufrufen, landen dann auf einer Phishing-Seite statt auf deiner echten Website. Die gefälschte Seite sieht oft täuschend echt aus und sammelt Zugangsdaten oder Zahlungsinformationen.

Cache Poisoning funktioniert ähnlich, zielt aber direkt auf die zwischengespeicherten Daten ab. Einmal vergiftete Caches verbreiten falsche Informationen an alle Nutzer, bis der TTL-Wert abläuft. Deine echte Website bleibt dabei völlig unangetastet, aber niemand kann sie über den Domainnamen erreichen.

DNSSEC (Domain Name System Security Extensions) signiert DNS-Antworten kryptografisch. Jede Antwort enthält eine digitale Signatur, die Resolver überprüfen können. Gefälschte Antworten ohne gültige Signatur werden abgelehnt. Das System funktioniert ähnlich wie SSL-Zertifikate für verschlüsselte Verbindungen.

Moderne Hosting-Provider unterstützen DNSSEC für gehostete Domains. Die Aktivierung erfolgt meist über das Control-Panel mit wenigen Klicks. DNSSEC-Support ist ein Qualitätsmerkmal, das zeigt, dass ein Anbieter Sicherheit ernst nimmt. Die Implementierung verursacht minimale Performance-Einbußen, bietet aber erheblichen Schutz.

DNS-Server sind häufige Ziele von DDoS-Angriffen. Angreifer überfluten die Server mit Millionen gefälschter Anfragen, bis die Infrastruktur zusammenbricht. Wenn deine autoritativen Nameserver offline gehen, können neue Besucher deine Website nicht mehr erreichen.

Professionelle Hosting-Provider setzen auf verteilte DNS-Infrastruktur mit Anycast-Routing. Anfragen werden automatisch auf viele Server weltweit verteilt. Selbst bei massiven Angriffen bleiben genügend Server verfügbar, um legitime Anfragen zu beantworten. DDoS-Mitigation auf DNS-Ebene ist besonders für geschäftskritische Websites unverzichtbar.

Wenn dein autoritativer Nameserver ausfällt, können neue Besucher deine Website nicht mehr finden. Der DNS-Resolver erhält keine Antwort auf seine Anfrage und meldet einen Fehler. Der Browser zeigt eine Meldung wie „Server nicht gefunden“ oder „DNS-Fehler“, obwohl dein Hosting-Server selbst einwandfrei funktioniert.

Besucher mit gecachten DNS-Daten können deine Website noch erreichen, solange ihr Cache nicht abgelaufen ist. Bei einem TTL-Wert von 3600 Sekunden funktionieren diese Zugriffe noch eine Stunde lang. Danach versucht auch ihr Resolver, die DNS-Informationen zu aktualisieren und scheitert am ausgefallenen Server.

Secondary Nameserver verhindern dieses Szenario. Wenn der Primary Server ausfällt, übernehmen die Secondary Server automatisch alle Anfragen. DNS-Resolver kontaktieren einfach den nächsten verfügbaren Nameserver aus der Liste. Für Besucher bleibt der Ausfall unsichtbar.

Für geschäftliche Websites bedeuten selbst kurze DNS-Ausfälle direkten Umsatzverlust. Kunden können nicht bestellen, Kontaktformulare funktionieren nicht und das Vertrauen in die Marke leidet. DNS-Ausfälle bei großen Anbietern haben in der Vergangenheit gezeigt, wie abhängig moderne Websites von funktionierender DNS-Infrastruktur sind. Hochwertige Hosting-Pakete bieten SLA-Garantien für DNS-Verfügbarkeit von 99,9 Prozent oder mehr.

Ein Hosting-Wechsel erfordert sorgfältige DNS-Planung. Die Nameserver-Änderung ist der kritische Moment, in dem deine Domain vom alten zum neuen Provider umzieht. Gute Vorbereitung verhindert Ausfallzeiten.

Reduziere den TTL-Wert deiner Domain mehrere Tage vor dem Umzug auf 300 bis 600 Sekunden. Diese Änderung nimmst du im Control-Panel deines aktuellen Providers vor. Niedrige TTL-Werte sorgen dafür, dass DNS-Änderungen schneller weltweit verbreitet werden.

Notiere alle wichtigen DNS-Records vom alten Provider. Erstelle Screenshots oder Textdateien mit A-Records, AAAA-Records, MX-Records, CNAME-Records und TXT-Records. Diese Informationen brauchst du, um die DNS-Konfiguration beim neuen Provider identisch nachzubauen. Besonders E-Mail-Einstellungen (MX-Records) dürfen nicht verloren gehen.

Melde dich bei deinem Domain-Registrar an. Das ist oft, aber nicht immer, identisch mit deinem Hosting-Provider. Suche den Bereich „DNS-Verwaltung“, „Nameserver“ oder „Domain-Einstellungen“. Hier siehst du die aktuellen Nameserver, meist zwei Adressen wie ns1.alterprovider.de und ns2.alterprovider.de.

Ersetze diese Adressen durch die Nameserver deines neuen Providers. Die neuen Adressen findest du in den Zugangsdaten oder im Control-Panel des neuen Hosters. Trage beide Nameserver ein (z.B. ns1.neuerprovider.de und ns2.neuerprovider.de) und speichere die Änderung. Manche Registrare senden eine Bestätigungs-E-Mail.

Nach der Nameserver-Änderung beginnt die DNS-Propagierung. DNS-Resolver weltweit müssen ihre gecachten Informationen aktualisieren. Je nach vorheriger TTL-Einstellung dauert dieser Prozess zwischen einer und 48 Stunden. Während dieser Übergangszeit sehen manche Nutzer noch die alte Website auf dem alten Server, andere bereits die neue Version auf dem neuen Server.

Lasse beide Server parallel laufen, bis die Propagierung vollständig abgeschlossen ist. Prüfe mit Online-Tools wie „DNS Checker“, ob die neuen Nameserver weltweit erkannt werden. Erst wenn alle Regionen auf den neuen Server zeigen, kannst du den alten Account kündigen. Diese Überlappung verhindert Ausfallzeiten und Datenverlust.

DNS-Server übersetzen Domainnamen in IP-Adressen und machen damit jede Website erreichbar. Ohne funktionierendes DNS bleibt selbst der beste Hosting-Server nutzlos. Drei Aspekte sind für Website-Betreiber entscheidend: Redundanz durch Primary und Secondary Nameserver schützt vor Ausfällen, Verständnis von TTL-Werten erleichtert Provider-Wechsel und Sicherheitsfeatures wie DNSSEC wehren Angriffe ab.

Bei der Hosting-Wahl solltest du prüfen, ob der Provider mindestens zwei geografisch getrennte Nameserver bietet und DNSSEC unterstützt. Für deine eigene Internetverbindung kannst du öffentliche DNS-Server wie Cloudflare oder Quad9 testen. Vergleiche vorher die Geschwindigkeit mit deinem Provider-DNS, denn nicht jeder alternative Server ist automatisch schneller. Achte im Tarifvergleich konkret darauf, ob Secondary Nameserver inklusive sind und ob DNSSEC ohne Aufpreis aktiviert werden kann.