DNS-Hierarchie: Von der Root-Zone bis zum autoritativen Nameserver
Das Domain Name System (DNS) ist hierarchisch und verteilt aufgebaut – kein einzelner Server kennt alle Domains der Welt. Stattdessen arbeiten mehrere Ebenen zusammen, um einen Domainnamen wie www.example.com in eine IP-Adresse zu übersetzen. Wer diese DNS-Hierarchie versteht, kann Auflösungsprobleme gezielt diagnostizieren und die Zusammenhänge zwischen Nameservern, Caching und TTL nachvollziehen.
Die vier Ebenen der DNS-Auflösung
Eine vollständige DNS-Abfrage durchläuft vier Stationen:
| Ebene | Rolle | Beispiel-Zuständigkeit |
|---|---|---|
| Resolver | Vermittler, fragt rekursiv ab | ISP- oder Public-Resolver |
| Root-Server | Verweist auf die TLD-Server | . (Root-Zone) |
| TLD-Nameserver | Verweist auf den autoritativen Server | .com, .ch, .org |
| Autoritativer Nameserver | Liefert die endgültige Antwort | example.com |
1. Der Resolver
Der rekursive Resolver ist der erste Ansprechpartner Ihres Geräts. Er übernimmt die eigentliche Arbeit: Er fragt die übrigen Ebenen nacheinander ab und liefert am Ende die fertige Antwort. Betrieben wird er typischerweise vom Internetanbieter oder von öffentlichen Diensten.
2. Der Root-Server
Kennt der Resolver die Antwort nicht aus dem Cache, fragt er einen der 13 logischen Root-Server. Diese kennen die Antwort selbst nicht, verweisen aber auf den zuständigen TLD-Nameserver – im Beispiel auf die Server der Top-Level-Domain .com.
3. Der TLD-Nameserver
Der TLD-Nameserver ist für eine Top-Level-Domain wie .com oder .ch zuständig. Er kennt für jede registrierte Domain unterhalb dieser TLD die zugehörigen autoritativen Nameserver und verweist den Resolver dorthin.
4. Der autoritative Nameserver
Der autoritative Nameserver hält die tatsächlichen DNS-Einträge der Domain – etwa den A-Record für die IP-Adresse oder den MX-Record für den Mailserver. Er liefert die verbindliche Antwort, die der Resolver an das Gerät zurückgibt.
Ein vollständiger Auflösungsablauf
Am Beispiel www.example.com:
sequenceDiagram
participant G as Gerät
participant R as Resolver
participant Root as Root-Server
participant TLD as TLD-Server (.com)
participant A as Autoritativ (example.com)
G->>R: Wie lautet die IP von www.example.com?
R->>Root: Wer ist für .com zuständig?
Root-->>R: Frag die .com-TLD-Server.
R->>TLD: Wer ist für example.com zuständig?
TLD-->>R: Frag ns1.example.com (autoritativ).
R->>A: Wie lautet die IP von www.example.com?
A-->>R: 93.184.216.34
R-->>G: 93.184.216.34 (und cacht die Antwort)
Dieser komplette Durchlauf passiert nur beim ersten Mal. Danach beantwortet der Resolver die Anfrage aus dem Cache – bis die TTL abläuft.
Caching und TTL
Jeder DNS-Eintrag besitzt eine Time to Live (TTL), die festlegt, wie lange ein Resolver die Antwort zwischenspeichern darf. Eine hohe TTL beschleunigt wiederholte Abfragen und entlastet die Nameserver, verzögert aber Änderungen. Eine niedrige TTL macht Änderungen schneller wirksam, erhöht aber die Last. Diese Abwägung ist besonders bei der DNS-Propagation nach Umzügen relevant – Details dazu im Artikel zur TTL.
Typische Fehler und ihre Ursachen
| Symptom | Mögliche Ursache in der Hierarchie |
|---|---|
| Domain weltweit nicht erreichbar | Falsche/fehlende NS-Einträge bei der Registrierung |
| Änderung wirkt nur teilweise | Alte Antwort noch im Resolver-Cache (TTL) |
| Mail kommt nicht an | Autoritativer Server liefert falschen MX-Record |
| Nur bei einem Anbieter Probleme | Resolver dieses Anbieters cacht veraltete Daten |
Für die systematische Eingrenzung solcher Probleme mit dig und nslookup hilft der DNS-Troubleshooting-Leitfaden.
Autoritativ vs. rekursiv – der zentrale Unterschied
Der häufigste Verständnisfehler ist die Verwechslung beider Servertypen. Ein rekursiver Server (Resolver) sucht die Antwort, indem er andere fragt. Ein autoritativer Server kennt die Antwort für seine Zone, weil er die Originaldaten hält. Erst das Zusammenspiel beider Typen macht das DNS zu einem skalierbaren, weltweit verteilten System.
[!TIP] Sie möchten die einzelnen Stationen einer DNS-Auflösung live nachvollziehen? Mit dem DNS Check auf balou.tools prüfen Sie Nameserver, Records und Auflösungswege Ihrer Domain.
Fazit
Die DNS-Hierarchie verteilt die Namensauflösung auf vier Ebenen: Resolver, Root-, TLD- und autoritative Nameserver. Dieses Zusammenspiel macht das System robust und skalierbar, während Caching und TTL für Geschwindigkeit sorgen. Wer die Ebenen kennt, findet die Ursache von Auflösungsproblemen deutlich schneller.
Häufig gestellte Fragen (FAQ)
Was ist ein DNS-Resolver?
Ein Resolver (auch rekursiver Nameserver) ist der Vermittler zwischen dem Endgerät und der DNS-Hierarchie. Er nimmt die Anfrage entgegen, fragt nacheinander Root-, TLD- und autoritative Nameserver ab und liefert das Ergebnis zurück. Resolver werden meist vom Internetanbieter oder von öffentlichen Diensten betrieben.
Wie viele Root-Server gibt es?
Es gibt 13 logische Root-Server-Adressen (A bis M), die jedoch über Anycast auf hunderte physische Server weltweit verteilt sind. Sie kennen nicht die Antwort auf jede Anfrage, sondern verweisen auf die zuständigen TLD-Nameserver.
Warum ist die DNS-Auflösung meist trotzdem schnell?
Weil Resolver Antworten gemäss der TTL zwischenspeichern (Caching). Die vollständige Auflösung über alle Hierarchieebenen ist nur beim ersten Mal nötig; danach beantwortet der Resolver die Anfrage direkt aus dem Cache.