Wofür ist die Seriennummer (Serial)?

Das Serial ermöglicht sekundären Servern zu erkennen, ob eine neuere Zonenversion existiert. Es muss bei jeder Zonenänderung inkrementiert werden.

Welches Format sollte ich für das Serial verwenden?

Das empfohlene Format ist JJJJMMTTNN (Jahr, Monat, Tag, Nummer). Zum Beispiel 2025012801 für die erste Änderung am 28. Januar 2025.

Was bedeuten Refresh, Retry und Expire?

Refresh gibt an, wann ein Sekundärer den Primären prüft. Retry ist die Verzögerung zwischen Versuchen nach einem Fehler. Expire definiert, wann ein Sekundärer die Zone aufgibt, wenn er sich nicht synchronisieren kann.

Was ist der Minimum-TTL im SOA?

Der Minimum-TTL (oder Negative TTL) definiert, wie lange negative Antworten (nicht existierende Domain) gecacht werden. Es ist nicht der Standard-TTL für andere Records.

Kann es mehrere SOA-Records in einer Zone geben?

Nein, es gibt nur einen SOA-Record pro Zone, immer am Apex. Delegierte Subdomains haben ihren eigenen SOA in ihrer dedizierten Zone.

SOA-Record-Abfrage (Start of Authority)

Analysieren Sie die Metadaten und Synchronisierungseinstellungen Ihrer DNS-Zone

Probleme mit der DNS-Synchronisierung? Überprüfen Sie den SOA-Record, um Ihre Zoneneinstellungen zu verstehen und Replikationsprobleme zu diagnostizieren.

Host

Typ

Resolver

Iterativer Trace

Im iterativen Tracemodus wird der Resolver ignoriert.

Propagationstest

Fragt mehrere öffentliche Resolver ab, um die Antworten zu vergleichen.

Zonen-Metadaten

Sehen Sie den primären Server, den administrativen Kontakt und die Seriennummer, die Ihre Zonenversion identifiziert.

Multi-Resolver

Vergleichen Sie Antworten von Google, Cloudflare und Quad9, um Serial-Propagierungsprobleme zu erkennen.

Sync-Parameter

Analysieren Sie Refresh-, Retry- und Expire-Werte, die die Synchronisierung zwischen primären und sekundären Servern steuern.

TTL und negativer Cache

Überprüfen Sie den Minimum-TTL, der definiert, wie lange negative Antworten (NXDOMAIN) gecacht werden.

Kostenlos und unbegrenzt

Testen Sie so viele Domains wie nötig. Keine Anmeldung erforderlich.

Wie Sie die Optionen der DNS-Suchmaschine effektiv nutzen

Was ist der iterative Trace?

Der Trace führt die Auflösung Schritt für Schritt aus. Der Resolver fragt zuerst die Root-Server ab, dann die des TLD (.com, .fr, .eu) und anschließend die autoritativen Server der Zielzone. In jedem Schritt zeigt die Seite den abgefragten Server, die Antwort, den RCODE und die Latenz an.

1. Root
Ermittlung der TLD-Server für den angefragten Namen.
2. TLD
Verweis auf die NS der Zone (Delegation).
3. Autoritative Server
Endgültige Antwort (oder Fehler) mit TTL und Latenz.

Wozu dient das?

Antworten nach Resolvern und Regionen vergleichen
Einen warmen Cache, einen zu langen TTL oder eine unvollständige Delegation erkennen
Einen Latenzunterschied oder einen unerwarteten RCODE erklären

Tipp: Lassen Sie den Trace für schnelle Checks deaktiviert; aktivieren Sie ihn, wenn Sie untersuchen oder ein Ticket/Post‑Mortem vorbereiten.

Was ist der klassische Trace?

Der klassische Trace befragt nur den ausgewählten Resolver (UDP oder DoH) und zeigt die Antwort so, wie sie von diesem Netzpunkt wahrgenommen wird. Sie erhalten den RCODE, die Antwortsektionen sowie die Latenz auf dem Abschnitt Client → Resolver.

1. Gewählter Resolver
Verwendet das Preset oder die individuelle Konfiguration, um die Anfrage genau wie Ihr Dienst auszuführen.
2. Protokoll beibehalten
Respektiert das ausgewählte Transportprotokoll (UDP, TCP oder DoH), um das reale Verhalten nachzustellen.
3. Detaillierte Antwort
Zeigt die Bereiche Question, Answer und Authority/Additional, sofern vorhanden, mitsamt TTL und hilfreichen Metadaten.

Warum nutzen?

Die Sicht eines bestimmten Resolvers prüfen, bevor Sie die Delegation verdächtigen
Zwischengespeicherte Werte und die Wirkung eines TTL oder Flushs bestätigen
Eine Auflösung dokumentieren, wie sie ein Client oder Microservice erlebt

Tipp: Lassen Sie die Option für den iterativen Trace deaktiviert, wenn Sie einen bestimmten Resolver auditieren; aktivieren Sie sie anschließend, um den Pfad Root → TLD → Autoritativ zu vergleichen.

Wie funktioniert der Propagationstest?

Der Test befragt parallel eine Reihe öffentlicher Resolver (Google, Cloudflare, Quad9, OpenDNS, ISPs …) und gruppiert die Antworten nach Inhalt und RCODE. Sie sehen sofort, wer die Aktualisierung bereits übernommen hat.

1. Multipoint-Resolver
Aktiviert die Propagations-Presets, um mehrere Akteure weltweit abzufragen.
2. Automatischer Vergleich
Gruppiert identische Antworten und hebt Abweichungen oder resolver-spezifische Fehler hervor.
3. Verwertbare Zusammenfassung
Liefert eine klare Übersicht, die Resolverliste, deren Latenzen und den Status jeder Gruppe.

Wann einsetzen?

Verfolgen, wie sich eine DNS-Änderung weltweit verbreitet
Veraltete Caches erkennen und über einen gezielten Flush entscheiden
Einen Propagationsstatus in einem Ticket oder Post-Mortem teilen

Tipp: Während des Propagationstests ist die Resolverauswahl gesperrt. Deaktivieren Sie den Modus, um zur Einzelanalyse zurückzukehren.

Was ist ein SOA-Record?

Ein SOA-Record (Start of Authority) definiert die Autorität einer DNS-Zone. Er enthält wesentliche Zoneninformationen: primärer Server, administrativer Kontakt, Seriennummer und Synchronisierungsparameter.

SOA-Record-Struktur:

Feld	Beschreibung	Beispiel
MNAME	Primärer DNS-Server	`ns1.provider.com.`
RNAME	Administrativer Kontakt (E-Mail)	`hostmaster.captaindns.com.`
Serial	Zonen-Versionsnummer	`2025012801`
Refresh	Prüfintervall (Sek)	`7200`
Retry	Verzögerung nach Fehler (Sek)	`900`
Expire	Zonenaufgabe (Sek)	`1209600`
Minimum	Negativer Cache (Sek)	`3600`

SOA-Record-Beispiel

captaindns.com.  3600  IN  SOA  ns1.provider.com. hostmaster.captaindns.com. (
    2025012801  ; Serial
    7200        ; Refresh (2 Stunden)
    900         ; Retry (15 Minuten)
    1209600     ; Expire (14 Tage)
    3600        ; Minimum TTL (1 Stunde)
)

RNAME-Kontakt-Erklärung

Der Kontakt wird als DNS-Name geschrieben: hostmaster.captaindns.com. entspricht der E-Mail hostmaster@captaindns.com. Der erste Punkt ersetzt das @-Symbol.

Empfohlene Werte

Parameter	Empfohlener Wert	Erklärung
Refresh	3600-7200	Prüfung alle 1-2 Stunden
Retry	600-900	Wiederholung nach 10-15 Minuten
Expire	604800-1209600	Aufgabe nach 1-2 Wochen
Minimum	300-3600	Negativer Cache 5 Min bis 1 Stunde

Serial-Format

Das JJJJMMTTNN-Format wird empfohlen:

2025012801 = 28. Januar 2025, Änderung Nr. 1
2025012802 = 28. Januar 2025, Änderung Nr. 2

Wichtige Regeln

SOA-Eindeutigkeit

Regel	Erklärung
Nur ein SOA	Immer am Zonen-Apex
Mit NS-Records	SOA und NS koexistieren am Apex
Kein CNAME	Apex kann kein CNAME sein

Best Practices

Praxis	Warum
Serial inkrementieren	Bei jeder Änderung erforderlich
Gültiger Kontakt	Um Benachrichtigungen zu erhalten
Ausreichendes Expire	Verhindert Zonenverlust bei Sekundären

Häufige Probleme

Serial nicht inkrementiert

Sekundäre aktualisieren nicht, weil das Serial unverändert ist.

Inkrementieren Sie das Serial in der Zone
Laden Sie die Zone auf dem Primären neu
Überprüfen Sie die Propagierung

Synchronisierung fehlgeschlagen

Ein sekundärer Server zeigt ein altes Serial.

Überprüfen Sie den Netzwerkzugang zwischen Primär und Sekundär
Kontrollieren Sie die Zonentransfer-Berechtigungen
Warten Sie auf einen Refresh-Zyklus

Zone von Sekundär aufgegeben

Sekundärer hat das Ablaufzeitlimit überschritten.

Überprüfen Sie, ob der Primäre erreichbar ist
Erhöhen Sie den Expire-Wert bei Bedarf
Erzwingen Sie einen Zonentransfer

Befehlszeilenüberprüfung

Linux/Mac

dig SOA captaindns.com

Serials auf verschiedenen Servern vergleichen:

dig SOA captaindns.com @ns1.provider.com +short
dig SOA captaindns.com @ns2.provider.com +short

Windows

nslookup -type=soa captaindns.com

Ergänzende Tools

Tool	Zweck
NS-Record-Abfrage	Autoritative Server prüfen
A-Record-Abfrage	Primärserver-IP prüfen
DNS-Propagierungsprüfung	Weltweite Propagierung prüfen

Nützliche Ressourcen

RFC 1035 - DNS-Spezifikation (SOA-Format)
RFC 2308 - Negative Caching (Minimum TTL)