Warum DNS-Tools verwenden?
DNS ist der erste Schritt jeder Internetverbindung. Ein DNS-Problem = unerreichbare Website, nicht zugestellte E-Mails, unmögliche SSL-Zertifikatsvalidierung. Ohne Einblick in Ihre DNS-Konfiguration arbeiten Sie blind.
Drei Situationen, in denen diese Tools unverzichtbar sind:
- Servermigration → Prüfen, dass der neue A/AAAA-Eintrag propagiert ist, bevor der alte Server abgeschaltet wird
- E-Mail-Problem → Bestätigen, dass MX, SPF, DKIM, DMARC korrekt veröffentlicht sind
- Unerreichbare Website → Diagnostizieren, ob das Problem bei DNS, Server oder Netzwerk liegt
So diagnostizieren Sie ein DNS-Problem in 3 Schritten
Schritt 1: DNS-Abfrage starten
Öffnen Sie DNS Lookup, geben Sie Ihre Domain ein und wählen Sie den Eintragstyp:
- A: IPv4-Serveradresse
- AAAA: IPv6-Adresse
- MX: Mailserver
- TXT: SPF, DKIM, DMARC, Verifizierungen
- NS: Autoritative Nameserver
Vergleichen Sie Antworten von Google DNS, Cloudflare, Quad9 und dem autoritativen Server.
Schritt 2: DNS-Gesundheit prüfen
Nutzen Sie das DNS-Audit für eine vollständige Analyse:
- Parent/Zone-Konsistenz
- Delegation und Glue-Einträge
- IPv4- und IPv6-Erreichbarkeit
- TCP-Unterstützung (erforderlich für große Antworten)
- SOA-Synchronisation zwischen Servern
Schritt 3: Propagation verfolgen
Nach einer Änderung vergleicht der Propagationstest die Antworten von Dutzenden öffentlicher Resolver. Sie sehen sofort, wer den neuen Wert hat und wer noch den alten liefert.
Was ist DNS?
DNS (Domain Name System) übersetzt Domainnamen in IP-Adressen. Wenn Sie captaindns.com eingeben, fragt Ihr Browser einen DNS-Resolver ab, der der Kette folgt:
- Root-Server → Zeigen an, wo der TLD (.com) zu finden ist
- TLD-Server → Zeigen die NS der Domain an
- Autoritative Server → Liefern die endgültige Antwort
Auflösungsbeispiel:
Abfrage: captaindns.com A
→ Root: ".com wird von a.gtld-servers.net verwaltet"
→ TLD: "captaindns.com ist an ns1.provider.com delegiert"
→ Autoritativ: "A = 203.0.113.50, TTL 3600"
Analysierte DNS-Eintragstypen
| Typ | Funktion | Beispiel |
|---|---|---|
| A | IPv4-Adresse | 203.0.113.50 |
| AAAA | IPv6-Adresse | 2001:db8::1 |
| CNAME | Alias auf einen anderen Namen | www → captaindns.com |
| MX | Mailserver | 10 mail.captaindns.com |
| TXT | Freitext (SPF, DKIM, etc.) | v=spf1 include:_spf.google.com -all |
| NS | Nameserver | ns1.captaindns.com |
| SOA | Zonenautorität | Serial, Refresh, Retry, Expire, Minimum |
| CAA | Zertifizierungsstellen | issue "letsencrypt.org" |
| PTR | Reverse-Lookup | IP → Name |
Konkrete Anwendungsfälle
Vorfall 1: Website nach Migration nicht erreichbar
Symptom: Die Website funktioniert für einige Nutzer, für andere nicht.
Diagnose:
- Führen Sie einen DNS-Lookup auf den A-Eintrag durch
- Vergleichen Sie Antworten: Google hat die neue IP, einige ISPs haben noch die alte
Maßnahme: Auf TTL-Ablauf warten oder TTL vor der nächsten Migration senken.
Vorfall 2: E-Mails nach Anbieterwechsel abgelehnt
Symptom: Ausgehende E-Mails werden mit "SPF fail" abgelehnt.
Diagnose:
- Prüfen Sie TXT mit DNS Lookup
- Alter Include ist noch vorhanden, neuer fehlt
Maßnahme: SPF-Eintrag korrigieren, auf Propagation warten, erneut testen.
Vorfall 3: SSL-Zertifikat kann nicht generiert werden
Symptom: Let's Encrypt scheitert mit "DNS problem".
Diagnose:
- Führen Sie DNS-Audit der Domain durch
- Ein NS ist lame (antwortet nicht autoritativ)
Maßnahme: Delegation beim Registrar korrigieren, auf Propagation warten.
FAQ - Häufig gestellte Fragen
F: Wie funktioniert DNS-Lookup?
A: Das Tool fragt den ausgewählten Resolver (Google, Cloudflare oder den autoritativen Server) ab und zeigt die Rohantwort mit TTL, Answer/Authority/Additional-Sektionen und Latenz an. Sie können den iterativen Trace aktivieren, um jeden Schritt der Auflösung zu sehen.
F: Was ist DNS-Propagation?
A: "Propagation" bezeichnet die Zeit, die Resolver-Caches benötigen, um abzulaufen und den neuen Wert abzurufen. Sie hängt vom TTL ab: Ein TTL von 3600 bedeutet, dass einige Resolver den alten Wert bis zu 1 Stunde nach Ihrer Änderung behalten können.
F: Warum unterscheiden sich Ergebnisse zwischen Resolvern?
A: Jeder Resolver hat seinen eigenen Cache. Wenn ein Resolver Ihre Zone vor Ihrer Änderung abgefragt hat, behält er die Antwort im Cache, bis der TTL abläuft. Deshalb sind Änderungen nicht sofort überall sichtbar.
F: Was prüft das DNS-Audit?
A: Das Audit prüft die Konsistenz zwischen Parent (Registry) und Zone, verifiziert, dass jeder NS autoritativ antwortet, testet IPv4/IPv6, validiert TCP, vergleicht SOA-Serials und erkennt Lame Delegations oder veraltete Glue-Einträge.
F: Wie kann man die Propagationszeit reduzieren?
A: Senken Sie den TTL des zu ändernden Eintrags 24-48h vor der Änderung (z.B. auf 300 Sekunden). Nehmen Sie die Änderung vor. Sobald stabil, erhöhen Sie den TTL wieder auf den Normalwert, um die Leistung zu optimieren.
Ergänzende Tools
| Tool | Zweck |
|---|---|
| SPF-Inspektor | SPF-Eintrag prüfen und korrigieren |
| DKIM-Inspektor | DKIM-Signatur und Schlüssel validieren |
| DMARC-Inspektor | DMARC-Richtlinie konfigurieren und testen |
| E-Mail-Tester | SPF/DKIM/DMARC von Ihrem Server testen |
Nützliche Ressourcen
- RFC 1035 - Domain Names (ursprüngliche DNS-Spezifikation)
- RFC 8499 - DNS Terminology (offizielles DNS-Glossar)
- Google Public DNS Documentation (Nutzungsanleitung)
- Cloudflare DNS Learning Center (DNS-Tutorials)