Nameserver erklärt: DNS für Einsteiger

Was ist DNS?

DNS steht für Domain Name System — und ist im Grunde das Telefonbuch des Internets. Menschen merken sich Domainnamen wie wunschdomain.de, Computer arbeiten mit IP-Adressen wie 192.168.1.1. DNS übersetzt zwischen beiden.

Jedes Mal, wenn du eine URL in deinen Browser eingibst, fragt dein Computer einen DNS-Server, wo diese Domain liegt. Dieser Server antwortet mit der IP-Adresse des Servers, auf dem die Website gehostet wird. Dein Browser verbindet sich dann mit dieser IP.

Was ist ein Nameserver?

Ein Nameserver ist ein Server, der DNS-Anfragen beantwortet. Genauer: Er verwaltet die DNS-Einträge (Records) einer Domain und teilt anderen Servern mit, wo diese Domain hinzielt.

Stell dir DNS wie eine riesige, verteilte Datenbank vor. Jede Domain hat einen oder mehrere Nameserver, die als Anlaufstelle für Fragen zu dieser Domain dienen:

"Wo ist beispiel.de?" → Nameserver antwortet: "IP 123.456.78.90"
"Wohin soll ich E-Mails für beispiel.de schicken?" → MX-Record sagt: "mail.anbieter.de"

Wie funktioniert DNS? Der Weg einer Anfrage

Wenn du beispiel.de in deinen Browser eingibst, passiert folgendes:

Der DNS-Resolution-Prozess

Dein Browser prüft zuerst seinen lokalen Cache. Hat er die IP bereits? Fertig — direkt zur IP.

DNS-Resolver deines ISPs (z.B. Telekom) wird gefragt. Der Resolver prüft seinen Cache — falls vorhanden, antwortet er direkt.

Root-Nameserver — falls der Resolver nichts hat, fragt er den Root-Server (13 weltweit). Der Root kennt die Nameserver der .de-Zone.

.de-Nameserver — der Root leitet weiter zum DENIC-Nameserver (für alle .de-Domains). Der weiß, welche Nameserver für beispiel.de zuständig sind.

Autoritativer Nameserver — der für beispiel.de zuständige Server antwortet mit der IP-Adresse. Diese wird zurück zum Browser geleitet.

Der ganze Prozess dauert typischerweise 20–100 Millisekunden. Mit DNS-Caching (Browsers, Resolver) geht es noch schneller — die meisten Anfragen werden aus dem Cache bedient.

DNS-Caching: Warum Änderungen Zeit brauchen

Jede Station in der DNS-Kette cached die Antwort eine Zeitlang (TTL — Time To Live). Wenn du deine Nameserver änderst, sehen manche Nutzer die alte Konfiguration noch bis zu 48 Stunden, weil ihr Resolver noch die alte Antwort zwischenspeichert. Die TTL-Einstellungen deiner Domain bestimmen, wie lange das dauert.

Die wichtigsten DNS-Record-Typen

Im DNS verwaltest du verschiedene Typen von Einträgen. Hier die wichtigsten:

A-Record

beispiel.de →

192.168.1.1

Verbindet einen Domainnamen mit einer IPv4-Adresse. Das ist der wichtigste Record — er sagt dem Browser, wo deine Website liegt.

AAAA-Record

beispiel.de →

2001:0db8:85a3::8a2e:0370:7334

Wie der A-Record, aber für IPv6-Adressen. IPv6 ist der Nachfolger von IPv4 — noch nicht überall verbreitet, aber auf dem Vormarsch.

CNAME-Record

www.beispiel.de →

beispiel.de

Erstellt einen Alias — eine Domain verweist auf eine andere. Nützlich für Subdomains wie shop.beispiel.de → mein-shop.anbieter.de.

MX-Record

beispiel.de →

mail.anbieter.de (Priorität: 10)

Sagt, wohin E-Mails für deine Domain geschickt werden sollen. Mehrere MX-Records mit unterschiedlichen Prioritäten sorgen für Ausfallsicherheit.

TXT-Record

beispiel.de →

"v=spf1 include:sender.de ~all"

Kann beliebige Textinformationen speichern. Wird für SPF (E-Mail-Authentifizierung), DKIM und DMARC verwendet.

Was sind Nameserver?

Nameserver sind die Server, die all diese DNS-Einträge verwalten. Wenn du eine Domain registrierst, bekommst du vom Registrar (z.B. United Domains, Ionos, Namecheap) einen oder zwei Nameserver zugewiesen — meist die des Registrars selbst.

Um deine Website auf einem anderen Hosting-Anbieter zu betreiben, musst du die Nameserver ändern. Das ist der entscheidende Schritt, den viele Anfänger überspringen.

Nameserver ändern: Schritt für Schritt

Du willst deine Domain von Registrar A zu Hosting-Anbieter B umziehen? Hier die典型的 Schritte:

Finde die Nameserver deines Hosting-Anbieters: In deinem Hosting-Dashboard stehen sie — typischerweise so etwas wie ns1.anbieter.de und ns2.anbieter.de.
Logge dich beim Registrar ein: Dort, wo du deine Domain registriert hast.
Navigiere zu den DNS-/Nameserver-Einstellungen: Je nach Registrar unter "Domain verwalten", "DNS-Einstellungen" oder "Nameserver ändern".
Trage die neuen Nameserver ein: Meist zwei Felder — für ns1 und ns2. Speichere.
Warte auf Propagierung: 2–48 Stunden, bis alle DNS-Server weltweit die Änderung kennen.

Nameserver vs. DNS-Einträge

Das sind zwei verschiedene Dinge! Die Nameserver bestimmen, wer die DNS-Einträge verwaltet. Wenn du die Nameserver änderst, ändert sich, wo du die A-Records und MX-Einträge konfigurierst. Beide Einstellungen können auch分开 sein — manche Registrar erlauben, die Nameserver beim Registrar zu lassen, aber die DNS-Einträge beim Hosting-Anbieter zu verwalten (Delegierung).

Die häufigsten Fehler

Fehler	Folge	Lösung
Tippfehler im A-Record	Website lädt nicht	IP-Adresse doppelt prüfen
TTL zu hoch eingestellt	Änderungen brauchen Tage	TTL vor Änderungen auf 300s setzen
Alte Nameserver nicht entfernt	Verwirrung, welche Konfiguration gilt	Immer nur die aktiven NS setzen
MX-Record-Priorität vergessen	E-Mails gehen verloren	Priorität prüfen, ggf. Backup-MX setzen
CNAME und A-Record gleichzeitig	Konflikte, unvorhersehbares Verhalten	Nur einen Record-Typ pro Subdomain

DNS-Propagierung verstehen und beschleunigen

Wenn du deine Nameserver änderst, vergehen typischerweise 2–48 Stunden, bis alle DNS-Server weltweit die neue Konfiguration kennen. Das liegt am DNS-Caching — jede Station speichert die alte Antwort für die Dauer der TTL (Time To Live) zwischen.

Warum dauert es so lange?

Das DNS-System ist hierarchisch und verteilt. Zwischen deinem Browser und dem Zielserver liegen mehrere Caching-Ebenen:

Browser-Cache: Dein Browser speichert DNS-Einträge (je nach Browser 0–60 Sekunden).
Betriebssystem-Cache: Windows, macOS und Linux cachen DNS-Responses für die Dauer der TTL oder bis zu 24 Stunden.
ISP-Resolver: Dein Internet-Provider (Telekom, Vodafone, 1&1) cached DNS-Responses ebenfalls. TTL-Einstellungen sind oft konfigurierbar, aber standardmäßig 1–4 Stunden.
Recursive Resolver: Öffentliche Resolver wie 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google) cachen ebenfalls — aber respektieren TTLs genauer als ISPs.

TTL verstehen

Jeder DNS-Eintrag hat eine TTL — eine Zeitangabe, die den Resolvern sagt: "Cachet diese Antwort für X Sekunden." Wenn du einen DNS-Eintrag ändern willst, stelle die TTL vorher auf einen niedrigen Wert (300–600 Sekunden). Dann ändere den Eintrag. Nach der Änderung setze die TTL wieder auf einen höheren Wert (3600–86400 Sekunden).

Praktisches Beispiel: A-Record ändern

Schritt 1 (2 Tage vorher): Setze die TTL des A-Records auf 300 (5 Minuten). Warte 2 Tage, damit alle alten Caches ablaufen.

Schritt 2: Ändere den A-Record auf die neue IP.

Schritt 3: Setze die TTL auf 3600–7200 (1–2 Stunden). Das beschleunigt zukünftige Änderungen und reduziert DNS-Queries an deinen Server.

Tools zur Propagierungsprüfung

Um zu prüfen, ob die Änderung schon global angekommen ist, nutze:

DNSChecker.org: Zeigt dir an, von welchen weltweiten Standorten aus deine DNS bereits aktualisiert ist — als visueller Globus mit farbigen Punkten.
WhatsMyDNS.net: Prüft von ~30 globalen Servern aus die DNS-Records deiner Domain. Wenn 80 % + übereinstimmen, ist die Propagierung weitgehend abgeschlossen.
Cloudflare DNS: Nutze den 1.1.1.1 resolver mit dig @1.1.1.1 beispiel.de — zeigt dir die neueste Version ohne lokalen Cache.
Google DNS: dig @8.8.8.8 beispiel.de — another global resolver without local cache.

# Prüfe aktuelle DNS von Cloudflares Resolver
dig @1.1.1.1 A beispiel.de

# Prüfe von Googles Resolver
dig @8.8.8.8 A beispiel.de

# Zeigt auch TTL der Antwort
dig +ttlid @1.1.1.1 A beispiel.de

Erzwungene Flushes (wenn du Zugriff hast)

Manchmal willst du die lokale DNS-Cache sofort löschen — z.B. auf deinem eigenen Server oder bei der Fehlersuche:

Windows: ipconfig /flushdns im cmd (als Admin)
macOS: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Linux: sudo systemd-resolve --flush-caches oder je nach Distro sudo service nscd restart

DNSSEC: DNS-Sicherheit erklärt

DNS wurde in den 1980er Jahren ohne Sicherheitsüberlegungen designed — alle Antworten wurden als vertrauenswürdig angenommen. Das öffnet Angriffe wie DNS-Hijacking und Cache Poisoning. DNSSEC (DNS Security Extensions) schafft Abhilfe.

Wie funktioniert DNSSEC?

DNSSEC nutzt Public-Key-Kryptografie, um DNS-Antworten zu signieren. Jede Zone hat ein Schlüsselpaar — der private Schlüssel signiert alle Antworten, der öffentliche Schlüssel wird als DNSKEY-Record veröffentlicht.

Das Ergebnis: Wenn du eine DNS-Response empfängst, kannst du prüfen, ob sie tatsächlich vom autoritativen Nameserver stammt und nicht manipuliert wurde.

DNSSEC bei deiner Domain aktivieren

Die Aktivierung läuft in drei Schritten:

Bei deinem Registrar: Aktiviere DNSSEC in den Domain-Einstellungen. Der Registrar zeigt dir einen DS-Record (Delegation Signer), den du bei der Registry (z.B. DENIC für .de) einreichst.
DNSKEY generieren: Dein DNS-Provider (oder Registrar) generiert das Schlüsselpaar. Die meisten modernen DNS-Provider (Cloudflare, Route 53, NS1) unterstützen DNSSEC automatisch.
DS-Record einrichten: Der DS-Record enthält einen Hash deines DNSKEY und wird bei der Registry hinterlegt. Die Registry signiert dann deine Zone in der übergeordneten Hierarchie.

DNSSEC-Fehler vermeiden

Wenn du DNSSEC aktivierst, aber dann den DNS-Provider wechselst, ohne die Schlüssel zu synchronisieren, bricht deine Domain ab. Das ist ein häufiger Fehler. Prüfe immer zuerst, ob dein neuer Provider DNSSEC unterstützt, und koordiniere den Schlüsselwechsel VOR dem Umstellen der Nameserver.

DNS-Anbieter: Was du wissen solltest

Du hast drei Optionen, wo du deine DNS-Einträge verwalten kannst:

1. DNS beim Registrar (Standard)

Die meisten Registrar bieten einen kostenlosen DNS-Service an. Einfach, aber oft begrenzt: Keine Traffic-basierten Failover, kein Geo-Routing, keineAPI-Access.

Geeignet für: Einfache Websites, die keine besonderen Anforderungen haben.

2. DNS beim Hosting-Anbieter

Viele Hosting-Anbieter bieten eigene DNS-Server. Vorteil: Alles in einem Dashboard. Nachteil: Abhängigkeit — wenn du den Hosting-Anbieter wechselst, musst du alle DNS-Einträge umstellen.

Geeignet für: Einsteiger, die es einfach halten wollen.

3. Spezialisierter DNS-Provider (empfohlen)

Cloudflare, Route 53 (AWS), NS1, DNS Made Easy — diese Anbieter sind auf DNS spezialisiert. Vorteile:

Globales Anycast-Netzwerk mit 100 % Uptime-SLA
Traffic-basiertes Failover (automatische Umleitung bei Serverausfall)
Geo-Routing (Nutzer aus Deutschland werden zu europäischem Server geleitet)
Rate Limiting und DDoS-Schutz auf DNS-Ebene
Analytics: Wer fragt meine DNS ab? Woher?

Cloudflare ist für die meisten Projekte kostenlos und bietet 275+ PoPs weltweit.

Die Misch-Strategie (empfohlen)

Registriere deine Domain bei einem guten Registrar (z.B. Namecheap, Gandii), aber verwalte DNS bei Cloudflare. Das gibt dir:

Unabhängigkeit von Registrar und Hosting-Anbieter (beide können gewechselt werden, ohne DNS neu aufzusetzen)
Performance-Vorteile durch Cloudflares CDN (kostenlos)
SSL-Easy-Setup
DDOS-Schutz

Um das einzurichten: Ändere nur die Nameserver zu Cloudflare, nicht die Domain selbst. Die Registrierung bleibt beim Registrar.

TXT-Records, SPF, DKIM und DMARC

TXT-Records sind flexibel einsetzbar — der wichtigste Einsatz: E-Mail-Sicherheit.

SPF (Sender Policy Framework)

Ein SPF-Eintrag sagt anderen Mailservern: "E-Mails von dieser Domain dürfen nur von diesen Servern verschickt werden." Das verhindert Spoofing.

TXT-Record für beispiel.de:
v=spf1 include:_spf.google.com include:sendgrid.net ~all

# Erklärung:
# v=spf1          = SPF Version 1
# include:_spf.google.com  = Googles Mailserver dürfen Mails senden
# include:sendgrid.net    = SendGrid-Server dürfen Mails senden
# ~all            = Alle anderen: Softfail (Markierung als verdächtig, nicht Ablehnung)

DKIM (DomainKeys Identified Mail)

DKIM fügt eine digitale Signatur zu ausgehenden E-Mails hinzu. Der empfangende Server prüft die Signatur gegen den DKIM-Key, der als TXT-Record hinterlegt ist. Das beweist, dass die E-Mail tatsächlich von deiner Domain stammt.

Die meisten E-Mail-Provider (Google Workspace, Microsoft 365, SendGrid) stellen dir den DKIM-Key bereit. Du musst ihn nur als TXT-Record eintragen.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und sagt dem empfangenden Server, was er mit E-Mails tun soll, die weder SPF noch DKIM bestehen:

TXT-Record: _dmarc.beispiel.de:
v=DMARC1; p=quarantine; rua=mailto:postmaster@beispiel.de; ruf=mailto:postmaster@beispiel.de

# Erklärung:
# v=DMARC1       = DMARC Version 1
# p=quarantine   = E-Mails ohne Authentifizierung als Spam markieren
# rua=...         = Zusammenfassungsberichte per E-Mail
# ruf=...         = Detaillierte Failure-Berichte per E-Mail

DMARC-Berichte zeigen dir, ob jemand versucht, E-Mails in deinem Namen zu verschicken. Das ist einer der effektivsten Schutzmaßnahmen gegen Business Email Compromise (BEC).

Minimale E-Mail-Authentifizierung (heute Standard)

Mindestens diese drei Records sollten für jede Domain aktiv sein, die E-Mails empfängt oder versendet: SPF + DKIM + DMARC. Alle drei sind kostenlos und innerhalb einer Stunde eingerichtet. Die meisten E-Mail-Provider geben dir eine Schritt-für-Schritt-Anleitung.

Subdomains richtig einrichten

Eine Subdomain ist ein Unterbereich deiner Domain — blog.beispiel.de ist eine Subdomain von beispiel.de. Hier die wichtigsten Anwendungsfälle und wie du sie konfigurierst:

blog.beispiel.de →Externer Blog (z.B. Substack)

Oft willst du einen Blog extern hosten (z.B. Substack, Ghost), aber über eine eigene Subdomain erreichbar machen:

# CNAME auf subdomain des Blog-Anbieters
CNAME: blog.beispiel.de → ghost.cInstance.com

shop.beispiel.de →E-Commerce-Plattform

Viele E-Commerce-Plattformen (Shopify, WooCommerce) brauchen eine Subdomain für den Shop:

# A-Record auf die IP des Shops
A: shop.beispiel.de → 23.45.67.89

# Oder CNAME wenn der Anbieter eine vorgibt
CNAME: shop.beispiel.de → my-shop.myshopify.com

api.beispiel.de →Eigene API

Für eine eigene API nutzt du einen A-Record, der auf den Server zeigt:

A: api.beispiel.de → SERVER_IP
# Optional: CAA-Record für TLS-Zertifikate
CAA: api.beispiel.de → letsencrypt.org

Wildcard-Subdomains

Mit einem Wildcard-CNAME (*.beispiel.de) fängst du alle nicht explizit definierten Subdomains ab — nützlich für SaaS-Produkte, bei denen Kunden ihre eigene Subdomain haben:

CNAME: *.beispiel.de → customer-platform.com

Fortgeschrittene Fehlerbehebung

Hier die häufigsten Probleme und wie du sie systematisch löst:

Problem: Website funktioniert, aber E-Mails nicht

Das ist fast immer ein MX-Record-Problem. Prüfe in dieser Reihenfolge:

MX-Record vorhanden? → dig MX beispiel.de
MX-Record zeigt auf erreichbaren Server? → dig A mail.anbieter.de
Firewall des Mail-Servers offen? → teste mit telnet mail.anbieter.de 25
Reverse DNS (PTR-Record) gesetzt? → dig -x SERVER_IP

Problem: Website lädt alte Version (Staging-Look)

Das ist DNS-Caching. Lösung:

Browser-Cache leeren (Ctrl+Shift+R oder Cmd+Shift+R)
DNS-Cache des OS leeren (siehe oben)
TTL-Check: dig +ttlid A beispiel.de — zeigt dir, wie lange der aktuelle Cache noch gilt
Warte — oder wechsle zu einem globalen Resolver (1.1.1.1 oder 8.8.8.8) zum Testen

Problem: SSL-Zertifikat funktioniert nicht nach DNS-Umstellung

Let's Encrypt und andere CAs validieren Domains per DNS. Wenn der DNS-Record nicht korrekt auf den Server zeigt, schlägt die Validierung fehl. Prüfe:

A-Record zeigt auf den richtigen Server
Beide (www und ohne www) zeigen auf den Server
Der Server antwortet auf Port 80 (für HTTP-01 Challenge) oder Port 443 (für TLS-ALPN-01)

Problem: DDoS auf DNS — сайт nicht erreichbar

Wenn dein DNS-Anbieter angegriffen wird, sind alle Domains betroffen, die ihn nutzen. Deshalb: Nimm einen spezialisierten DNS-Provider mit DDoS-Schutz (Cloudflare, Route 53). Cloudflares Basic-Plan ist kostenlos und schützt vor den meisten Angriffen.

DNS automatisieren mit API

Wenn du viele Domains oder häufige Änderungen hast, lohnt sich eine automatisierte DNS-Verwaltung. Die meisten modernen DNS-Provider bieten APIs:

Cloudflare API — Grundlagen

# DNS-Record per API erstellen (curl)
curl -X POST "https://api.cloudflare.com/client/v4/zones/ZONE_ID/dns_records" \\
  -H "Authorization: Bearer DEIN_API_TOKEN" \\
  -H "Content-Type: application/json" \\
  --data '{"type":"A","name":"blog.beispiel.de","content":"192.168.1.1","ttl":3600}'

# Bestehende Records auflisten
curl -X GET "https://api.cloudflare.com/client/v4/zones/ZONE_ID/dns_records" \\
  -H "Authorization: Bearer DEIN_API_TOKEN"

Mit der Cloudflare-API kannst du z.B. automatische Failover-Scripts schreiben: Wenn dein Hauptserver nicht erreichbar ist, ändert ein Cronjob den A-Record auf die IP des Backup-Servers. Das ist das Fundament für eine hochverfügbare Website-Architektur.

Multi-Provider-DNS für maximale Verfügbarkeit

Für geschäftskritische Anwendungen lohnt sich der Einsatz von zwei DNS-Providern gleichzeitig. Das funktioniert, indem du bei der Registry zwei verschiedene Nameserver-Sätze einträgst — einen von Cloudflare, einen von Route 53.

Das DNS-System fragt bei jeder Anfrage einen der beiden NS-Sätze an (Load-Balancing auf Registry-Ebene). Wenn ein Provider ausfällt, antwortet der andere. Die Availability steigt damit auf 99,999%+.

Allerdings: Beide Provider müssen die gleiche DNS-Zone haben. Du synchronisierst die Records entweder manuell oder per API. Tools wie NS1 oder DNS Made Easy bieten Multi-Provider-Sync out of the box.

Tools zum Testen deiner DNS-Konfiguration

Bevor du panisch wirst, weil deine Website nach einer Änderung nicht lädt, nutze diese kostenlosen Tools:

dig — Kommandozeilen-Tool, zeigt dir alle DNS-Records einer Domain. Installiert auf jedem Linux/Mac-System.
nslookup — Ähnlich wie dig, auf Windows und Mac verfügbar.
WhatsMyDNS.net — Online-Tool, das deine DNS-Records von verschiedenen worldwide Standorten aus prüft.
DNSChecker.org — Visuelle Darstellung der DNS-Propagierung weltweit.

# Beispiel: DNS-Records für beispiel.de prüfen
dig A beispiel.de
dig MX beispiel.de
dig NS beispiel.de

#nameserver-Einträge prüfen
nslookup -type=NS beispiel.de

Unser Fazit

Nameserver und DNS sind kein Hexenwerk — aber essentiell. Wenn du verstehst, wie DNS funktioniert, sparst du dir unzählige Stunden Support-Tickets und Panik, wenn mal etwas nicht lädt. Die wichtigsten Punkte:

DNS übersetzt Domainnamen in IP-Adressen
Nameserver sind die Server, die deine DNS-Einträge verwalten
Änderungen propagieren über 2–48 Stunden — Geduld!
TTL vor Änderungen heruntersetzen beschleunigt den Prozess
Nutze Online-Tools, um deine Konfiguration zu prüfen

Domain und Hosting aus einer Hand

Registriere deine Domain und verbinde sie direkt mit deinem Hosting — alles über ein Dashboard.

Domain registrieren