Warum die DNS-Gesundheit Ihrer Domain prüfen?
Eine gut konfigurierte Domain antwortet schnell und vorhersehbar. Wenn die Parent-Delegation korrekt ist, jeder Server über IPv4 und IPv6 erreichbar ist, der SOA synchronisiert ist und die Einstellungen sauber sind, verschwinden Ausfälle.
Häufige Probleme, die das Audit erkennt:
- Lame Delegation → Ein NS antwortet nicht autoritativ, verursacht intermittierende SERVFAIL
- Veralteter Glue → Die NS-IP hat sich geändert, aber der Parent zeigt noch auf die alte Adresse
- Parent/Zone-Diskrepanz → Deklarierte NS unterscheiden sich, verursachen inkonsistente Auflösungen
- Blockiertes TCP → DNSSEC oder große Antworten werden abgeschnitten
So verwenden Sie das DNS-Audit in 3 Schritten
Schritt 1: Domain eingeben
Geben Sie Ihren Domainnamen in das Suchfeld ein (Beispiel: captaindns.com). Das Audit startet automatisch und fragt die vollständige Auflösungskette ab.
Schritt 2: Ergebnisse analysieren
Der Bericht zeigt:
- ❌ Fehler (rot): Blockierende Probleme oder Auflösungsdegradation
- ⚠️ Warnungen (orange): Empfohlene Verbesserungen
- ✅ Validiert (grün): Korrekte Konfiguration
Jedes Element enthält eine Erklärung und empfohlene Maßnahme.
Schritt 3: Probleme beheben
Folgen Sie den Empfehlungen:
- Delegation → Beim Registrar korrigieren
- Glue → NS-IPs beim Registrar aktualisieren
- Zone → NS-Records in Ihrem DNS-Server korrigieren
- TCP → Port 53 TCP in Ihren Firewalls öffnen
Was analysiert das DNS-Audit genau?
Delegation und Parent/Zone-Konsistenz
Das Audit beginnt beim Parent. Es liest die beim Registry veröffentlichte NS-Liste und vergleicht sie mit den in Ihrer Zone deklarierten NS. Eine Diskrepanz = zufällige Auflösungen.
| Prüfung | Beschreibung |
|---|---|
| NS beim Parent | Beim Registrar veröffentlichte NS-Liste |
| NS in Zone | NS-Liste im NS-Record Ihrer Zone |
| Vergleich | Warnung, wenn Listen unterschiedlich |
Glue Records
Glue sind beim Parent veröffentlichte IP-Adressen. Sie sind erforderlich, wenn ein NS innerhalb der Domain liegt, die er bedient (ns1.captaindns.com für captaindns.com).
Erkannte Probleme:
- Fehlender Glue → Auflösung schleift
- Veralteter Glue → IP geändert, Parent zeigt auf die alte
NS-Erreichbarkeit
Jeder NS-Server wird getestet:
- IPv4: Antwort über UDP und TCP
- IPv6: Antwort, wenn AAAA vorhanden
- Autorität: Antwortet der Server autoritativ?
- Rekursion: Muss auf einem Autoritativen deaktiviert sein
SOA und Synchronisation
Der SOA (Start of Authority) enthält Serial und Timer. Das Audit prüft:
- Serial: Identisch über alle NS (sonst ist ein Server zurück)
- Refresh: Wie oft Secondaries den Primary prüfen
- Retry: Verzögerung vor erneutem Versuch nach Fehler
- Expire: Dauer, bevor ein Secondary die Zone aufgibt
DNSSEC (falls aktiviert)
Wenn Ihre Domain signiert ist, prüft das Audit:
- DS beim Parent: Vorhanden und passend zu DNSKEY
- DNSKEY: Öffentliche Schlüssel in der Zone
- Signaturen: Gültig und nicht abgelaufen
Konkrete Anwendungsfälle
Fall 1: DNS-Anbietermigration
Vor der Migration:
- Audit durchführen, aktuellen Status notieren
- TTLs kritischer Records senken
Während der Migration:
- Neue NS hinzufügen
- Delegation beim Registrar aktualisieren
- Glue deklarieren, wenn Ihre NS in Ihrer Domain sind
Nach der Migration:
- Audit erneut durchführen
- Prüfen, dass Parent und Zone ausgerichtet sind
- Bestätigen, dass alle NS autoritativ antworten
Fall 2: Intermittierende Auflösungen
Symptom: Einige Benutzer sehen die Website, andere haben zufällige SERVFAIL-Fehler.
Diagnose mit Audit:
- Parent/Zone-Konsistenz prüfen
- Nach Lame Delegation suchen
- SOA-Serials über NS vergleichen
Maßnahme: Erkannte Diskrepanz beheben, NS resynchronisieren.
Fall 3: NS-IP-Änderung
Symptom: Nach Änderung einer NS-IP geht ein Teil des Traffics an die falsche Stelle.
Diagnose mit Audit:
- Glue beim Parent prüfen
- Alte IP ist möglicherweise noch veröffentlicht
Maßnahme: Glue beim Registrar aktualisieren.
FAQ - Häufig gestellte Fragen
F: Was prüft das DNS-Audit genau?
A: Das Audit prüft die Konsistenz zwischen Parent (Registry) und Zone, verifiziert, dass jeder NS autoritativ antwortet, testet IPv4/IPv6, validiert TCP, vergleicht SOA-Serials und erkennt Lame Delegations, veraltete Glue und DNSSEC-Probleme.
F: Was ist eine Lame Delegation?
A: Eine Lame Delegation tritt auf, wenn der Parent auf einen NS-Server zeigt, der für Ihre Zone nicht autoritativ antwortet. Resolver verschwenden Zeit, scheitern manchmal mit SERVFAIL. Der Begriff kommt von "lame" (lahm), weil der Server die angeforderte Zone nicht bedienen kann.
F: Was sind Glue Records?
A: Glue Records sind IP-Adressen, die auf Parent-(Registry-)Ebene veröffentlicht werden. Sie sind erforderlich, wenn Ihr NS innerhalb Ihrer eigenen Domain liegt (z.B. ns1.captaindns.com für captaindns.com). Ohne sie entsteht eine Auflösungsschleife, weil man ns1.captaindns.com auflösen müsste, indem man... ns1.captaindns.com abfragt.
F: Warum Parent/Zone-Konsistenz prüfen?
A: Wenn Parent und Zone unterschiedliche NS deklarieren, folgen Resolver je nach Cache unterschiedlichen Pfaden. Einige Benutzer sehen eine Antwort, andere eine andere, oder intermittierende Fehler. Immer beide ausrichten.
F: Ist IPv6 Pflicht?
A: Nein, aber dringend empfohlen. Mehr Netzwerke bevorzugen IPv6. Ein NS ohne AAAA kann für einige Besucher, Indexierungs-Bots oder Cloud-Dienste unerreichbar sein.
Ergänzende Tools
| Tool | Zweck |
|---|---|
| DNS-Lookup | Spezifischen Record prüfen (A, MX, TXT, etc.) |
| Propagationstest | DNS-Änderungsverbreitung verfolgen |
| SPF-Inspektor | E-Mail-Authentifizierung prüfen |
| E-Mail-Tester | SPF/DKIM/DMARC unter realen Bedingungen testen |
Nützliche Ressourcen
- RFC 1034 - Domain Names Concepts (DNS-Architektur)
- RFC 1035 - Domain Names Implementation (DNS-Spezifikation)
- RFC 4033/4034/4035 - DNSSEC (DNS-Sicherheit)
- ICANN - WHOIS Lookup (Registrar-Informationen)