Eine Website lädt über IPv4 problemlos, aber einzelne Nutzer melden Timeouts. Oder ein DNS-Check zeigt neben einem A-Record auch einen AAAA-Record an. In solchen Situationen genügt es nicht, nur zu prüfen, ob der DNS-Eintrag vorhanden ist. Entscheidend ist, ob der gesamte IPv6-Weg vom Resolver über das Netzwerk bis zur Anwendung funktioniert.
Moderne Hostnamen können sowohl IPv4- als auch IPv6-Adressen besitzen. Der A-Record steht dabei für IPv4, der AAAA-Record für IPv6. DNS benennt zunächst nur ein technisches Ziel. Ob dieses Ziel tatsächlich erreichbar ist, hängt zusätzlich von Routing, Firewall, Webserver, TLS, CDN oder Reverse Proxy sowie der Anwendung ab.
Für die Praxis bedeutet das: Ein korrekter AAAA-Record kann zu einem nicht erreichbaren Server zeigen, während ein funktionierender IPv6-Server durch einen falschen DNS-Eintrag unsichtbar bleibt. Erst die getrennte Prüfung von DNS-Antwort, Netzwerkpfad und Dienst zeigt, an welcher Stelle die Verbindung scheitert.
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten
Inhaltsverzeichnis
- AAAA-Record: die IPv6-Adresse eines Hostnamens im DNS
- Dual Stack: IPv4 und IPv6 zuverlässig parallel betreiben
- Warum ein AAAA-Record allein nicht genügt: die Prüfkette bei IPv6-Problemen
- Betrieb, Sicherheit und häufige Fragen zu AAAA-Records
- FAQ zu AAAA-Records
- Was ist ein AAAA-Record?
- Warum heißt er AAAA?
- Was ist der Unterschied zwischen A und AAAA?
- Kann ein Hostname mehrere AAAA-Records haben?
- Kann ein Name gleichzeitig CNAME und AAAA sein?
- Braucht jede Webseite IPv6?
- Was ist Dual Stack?
- Warum funktioniert eine Webseite nur bei manchen Nutzern nicht?
- Warum zeigt ein DNS-Test AAAA, obwohl kein AAAA-Record angelegt wurde?
- Kann man einen AAAA-Record löschen?
- Warum muss die Firewall IPv6 separat berücksichtigen?
- Was ist der Unterschied zwischen AAAA und PTR?
- Was bedeutet die TTL beim AAAA-Record?
- FAQ zu AAAA-Records
AAAA-Record: die IPv6-Adresse eines Hostnamens im DNS
Ein AAAA-Record ist ein DNS-Ressourceneintrag, der einen Domain- oder Subdomainnamen auf eine IPv6-Adresse verweist. Er enthält eine 128 Bit lange IPv6-Adresse und ist damit das IPv6-Gegenstück zum A-Record für IPv4.
DNS übersetzt lesbare Namen wie example.com oder www.example.com in technische Zieladressen. Nutzer und Anwendungen arbeiten meist mit Hostnamen, während die Netzwerkverbindung zu einer IP-Adresse aufgebaut wird. Trennen Sie dabei die Ebenen sauber: Ein DNS-Eintrag sagt zunächst nur, welche Adresse für einen Namen ausgegeben wird. Er beweist weder, dass dort ein Webserver läuft, noch dass HTTPS oder die Anwendung korrekt antworten.
Technisch bezieht sich ein A- oder AAAA-Record immer auf den konkret abgefragten Namen. Die Zonenwurzel example.com, die Subdomain www.example.com und ein Dienstname wie api.example.com können deshalb jeweils andere Adressen und andere Recordtypen besitzen.
IPv4 und IPv6 in kurzer Einordnung
IPv4 ist die ältere und weiterhin weit verbreitete IP-Version. IPv4-Adressen sind 32 Bit lang und werden meist in vier Dezimalblöcken geschrieben, beispielsweise 192.0.2.10. Viele Hosting-, Netzwerk- und Diagnoseumgebungen sind historisch stark auf IPv4 ausgerichtet.
IPv6 verwendet 128 Bit lange Adressen und stellt damit einen erheblich größeren Adressraum bereit. Die Schreibweise besteht aus hexadezimalen Blöcken, die durch Doppelpunkte getrennt werden, etwa 2001:db8::10. Zusammenhängende Nullblöcke dürfen einmal innerhalb einer Adresse verkürzt werden.
Für DNS bedeutet diese Unterscheidung: Ein A-Record verweist auf eine IPv4-Adresse, ein AAAA-Record auf eine IPv6-Adresse. Beide Typen können für denselben Hostnamen existieren und jeweils auch mehrfach vorkommen, wenn mehrere Zieladressen bereitgestellt werden sollen.
| DNS-Eintrag | Adressfamilie | Typische Schreibweise | Was Sie daraus ableiten sollten |
|---|---|---|---|
| A-Record | IPv4, 32 Bit | 192.0.2.10 | Der Hostname liefert mindestens eine IPv4-Zieladresse. Mehrere A-Records können mehrere IPv4-Ziele bereitstellen. |
| AAAA-Record | IPv6, 128 Bit | 2001:db8::10 | Der Hostname liefert mindestens eine IPv6-Zieladresse. Mehrere AAAA-Records können mehrere IPv6-Ziele bereitstellen. |
Die in technischen Beispielen häufig verwendeten Netze 192.0.2.0/24 und 2001:db8::/32 sind für Dokumentationszwecke reserviert. Sie eignen sich deshalb zur Erklärung, sollten aber nicht als echte Serveradressen übernommen werden.
Ein Name kann mehrere technische Ziele haben
Eine Hauptdomain und ihre Subdomains können jeweils eigene DNS-Einträge besitzen. example.com kann daher auf andere Adressen zeigen als app.example.com. Für jeden Namen lassen sich A-Records, AAAA-Records oder beide Recordtypen veröffentlichen.
A- und AAAA-Record müssen nicht auf dieselbe physische Maschine zeigen. IPv4 und IPv6 können an unterschiedlichen Servern, Loadbalancern oder CDN-Kanten enden. Entscheidend ist, dass beide Wege unter dem abgefragten Hostnamen einen funktional konsistenten Dienst bereitstellen.
Mehrere A- oder AAAA-Records werden häufig für Redundanz, Lastverteilung oder geografisch verteilte Infrastruktur genutzt. DNS allein garantiert dabei jedoch weder eine gleichmäßige Lastverteilung noch eine automatische Ausfallprüfung. Welche Adresse ein Client verwendet, hängt von Resolver-Antwort, Reihenfolge, Cache und eigener Adressauswahl ab.
A- und AAAA-Records sind keine Varianten eines gemeinsamen Eintrags, sondern getrennte DNS-Typen. Ein AAAA-Record ersetzt keinen A-Record für IPv4, und ein A-Record stellt keine IPv6-Erreichbarkeit her. Möchten Sie beide Adressfamilien anbieten, benötigen Sie passende DNS-Antworten und einen funktionierenden Betriebsweg für jede davon.
DNS-Auflösung ist nicht dasselbe wie Erreichbarkeit
Der AAAA-Record beantwortet die Frage, welche IPv6-Adresse zu einem Hostnamen gehört. Er beantwortet nicht, ob die Adresse geroutet wird, ob Port 443 erreichbar ist, ob ein Webserver auf IPv6 lauscht oder ob das TLS-Zertifikat zum Hostnamen passt.
Bei einer normalen Namensauflösung fragt Ihr Gerät meist nicht direkt den autoritativen Nameserver der Domain ab. Stattdessen nutzt es einen rekursiven Resolver, etwa beim Internetanbieter, im Unternehmensnetz oder einen öffentlichen DNS-Dienst. Dieser Resolver liefert häufig eine zwischengespeicherte Antwort. Deshalb können verschiedene Nutzer vorübergehend unterschiedliche DNS-Ergebnisse sehen.
Prüfen Sie bei Unklarheiten außerdem, ob die AAAA-Antwort tatsächlich aus der autoritativen DNS-Zone stammt. In DNS64-/NAT64-Umgebungen kann ein Resolver aus einem vorhandenen A-Record eine synthetische IPv6-Adresse erzeugen. Ein lokaler DNS-Test zeigt dann eine AAAA-Antwort, obwohl der Domainbetreiber keinen entsprechenden AAAA-Record veröffentlicht hat.
Für die Fehlersuche bedeutet das: Ein angezeigter AAAA-Record ist ein Hinweis auf ein IPv6-Ziel, aber kein Verfügbarkeitsnachweis. Prüfen Sie DNS, Netzwerkpfad und Anwendung deshalb getrennt.
Dual Stack: IPv4 und IPv6 zuverlässig parallel betreiben
Dual Stack bedeutet, dass ein Dienst sowohl über IPv4 als auch über IPv6 erreichbar ist. Für eine Website heißt das in der Praxis meist: Der Hostname liefert einen A-Record und einen AAAA-Record, und beide Wege führen zu einem korrekt betriebenen Webangebot.
Dual Stack verbessert die Kompatibilität nur, wenn beide Pfade zuverlässig arbeiten. Ein funktionierender IPv4-Weg gleicht einen defekten IPv6-Pfad nicht in jedem Fall unbemerkt aus. Ebenso stellt ein vorhandener AAAA-Record allein noch keine belastbare IPv6-Konfiguration her.
Moderne Betriebssysteme und Anwendungen verwenden häufig Verfahren nach dem Happy-Eyeballs-Prinzip. Dabei werden geeignete IPv4- und IPv6-Ziele zeitlich versetzt oder nahezu parallel ausprobiert. Ein gestörter IPv6-Pfad kann dennoch Verzögerungen oder Abbrüche verursachen. Wie stark sich das bemerkbar macht, hängt vom Client, der Anwendung und der jeweiligen Netzumgebung ab.
Die vereinfachte Aussage „IPv6 wird immer zuerst verwendet“ ist daher zu grob. Betriebssysteme berücksichtigen unter anderem verfügbare Adressen, lokale Richtlinien, bekannte Erreichbarkeit und das Antwortverhalten der Gegenstelle. Für die Diagnose zählt nicht, welche Adressfamilie theoretisch bevorzugt werden sollte, sondern welcher Pfad im betroffenen Client tatsächlich genutzt wird.
Behandeln Sie Dual Stack deshalb als zwei technische Betriebswege. DNS liefert die Zieladressen, das Netz muss sie erreichen, die Firewall muss den benötigten Dienst zulassen, der Webserver muss korrekt antworten und TLS sowie Anwendung müssen zum Hostnamen passen. Erst wenn diese Kette für beide Adressfamilien funktioniert, ist Dual Stack zuverlässig umgesetzt.
Auch Messwerte sollten Sie getrennt erfassen. Eine einzige Verfügbarkeitsanzeige für den Hostnamen verschleiert, ob der Test über IPv4 oder IPv6 lief. Aussagekräftiger sind zwei Prüfungen mit eigener Erfolgsquote, eigener Antwortzeit und klar erkennbarer Adressfamilie.
Warum ein AAAA-Record allein nicht genügt: die Prüfkette bei IPv6-Problemen
Ein häufiger Irrtum lautet: Wenn im DNS ein AAAA-Record vorhanden ist, muss die Website über IPv6 funktionieren. Tatsächlich beweist der Eintrag nur, dass ein Hostname auf eine IPv6-Adresse zeigt. Ob dort der richtige Dienst antwortet, entscheidet sich erst auf den Ebenen dahinter.
Fehler wirken deshalb oft selektiv. IPv4 kann sofort laden, während bestimmte Nutzer Timeouts, falsche Inhalte oder TLS-Fehler sehen. Eine reine IPv4-Prüfung bleibt in solchen Fällen unvollständig.
Die technischen Ebenen sauber trennen
DNS liefert ein Ziel. Das Netzwerk muss dieses Ziel erreichen können. Die Firewall muss den benötigten Port zulassen. Der Webserver muss auf IPv6 lauschen und den richtigen virtuellen Host auswählen. TLS muss zum Hostnamen passen, und anschließend muss die Anwendung korrekt reagieren. Bei einem CDN oder Reverse Proxy kommt mindestens eine weitere Strecke hinzu.
Die folgende Prüfkette hilft Ihnen dabei, den Fehler einer Diagnosezone zuzuordnen. Sie zeigt, ob der AAAA-Record selbst falsch ist oder ob der IPv6-Betriebsweg erst hinter dem DNS bricht.
| Diagnosezone | Typische Beobachtung | Worauf das hindeutet | Konkrete Prüfung |
|---|---|---|---|
| 1. Autoritative DNS-Antwort | Ein Resolver zeigt eine IPv6-Adresse, andere Resolver liefern abweichende Antworten oder keinen AAAA-Record. | Die Antwort kann aus einem Cache, einer abweichenden DNS-Sicht oder einer DNS64-Umgebung stammen. | Prüfen Sie die autoritativen Nameserver direkt und vergleichen Sie deren Antwort mit öffentlichen und lokalen Resolvern. |
| 2. Zieladresse und Aktualität | Der AAAA-Record zeigt nach einem Server-, Hosting- oder CDN-Wechsel noch auf eine frühere IPv6-Adresse. | DNS verweist auf ein Ziel, das nicht mehr zur aktiven Infrastruktur gehört. | Vergleichen Sie die veröffentlichte IPv6-Adresse mit der aktuell vorgesehenen Zieladresse des Hostnamens. |
| 3. DNS-Caches und TTL | Nach einer Änderung sehen verschiedene Nutzer noch unterschiedliche IPv6-Ziele. | Resolver oder lokale Systeme verwenden noch zwischengespeicherte Antworten. | Berücksichtigen Sie die TTL und prüfen Sie nach der Änderung sowohl die autoritative Antwort als auch die sichtbaren Resolver-Antworten. |
| 4. Routing und Dienstport | IPv6-Verbindungen laufen ins Leere, während IPv4 sofort antwortet. | Der Pfad zur Zieladresse oder zum benötigten Dienst ist gestört. | Testen Sie nicht nur die Adresse allgemein, sondern ausdrücklich den benötigten TCP-Port, etwa 80 oder 443. |
| 5. IPv6-Firewall | Die Adresse ist erreichbar, aber HTTP oder HTTPS endet in einem Timeout. | IPv6-Regeln unterscheiden sich von den vorhandenen IPv4-Freigaben. | Prüfen Sie eingehende und vorgeschaltete Filter für IPv6 separat. Eine IPv4-Freigabe gilt nicht automatisch auch für IPv6. |
| 6. Webserver und virtueller Host | Die Verbindung erreicht den Server, aber der erwartete Webauftritt antwortet nicht. | Der Dienst lauscht nur auf IPv4 oder die IPv6-Bindung greift nicht für den richtigen Hostnamen. | Prüfen Sie Listener, Serverblöcke beziehungsweise virtuelle Hosts und die Zuordnung der IPv6-Adresse. |
| 7. TLS und Hostname | Über IPv6 erscheint ein falsches Zertifikat oder eine TLS-Warnung. | Der IPv6-Weg erreicht einen unpassenden TLS-Endpunkt oder den falschen virtuellen Host. | Testen Sie HTTPS mit dem ursprünglichen Hostnamen und korrekter SNI-Übermittlung, nicht nur mit der nackten IPv6-Adresse. |
| 8. CDN oder Reverse Proxy | Der öffentliche Hostname ist über IPv6 erreichbar, aber Fehler treten erst beim Abruf vom Ursprungssystem auf. | Die öffentliche IPv6-Kante funktioniert, während die Verbindung zwischen Proxy und Origin gestört ist. | Prüfen Sie Edge und Origin getrennt. Ein IPv4-only-Origin ist nicht automatisch falsch, solange der Proxy ihn in der gewählten Konfiguration zuverlässig erreicht. |
| 9. Anwendung und Backend | TLS funktioniert, aber Inhalte, APIs oder Weiterleitungen unterscheiden sich zwischen IPv4 und IPv6. | Die Transportebene arbeitet, doch Anwendung, Host-Erkennung, Weiterleitungslogik oder Backend-Zuordnung verhalten sich unterschiedlich. | Vergleichen Sie Antworten, Header, Weiterleitungen und Backend-Ziele auf beiden Wegen. |
| 10. Monitoring und Nutzerpfade | Das Monitoring meldet Verfügbarkeit, während nur Nutzer aus bestimmten Netzen Probleme sehen. | Die Überwachung testet nur IPv4 oder nutzt einen anderen Netzpfad als die betroffenen Nutzer. | Überwachen Sie IPv4 und IPv6 getrennt und beziehen Sie bei selektiven Fehlern Provider, Region und Zugangsnetz in die Analyse ein. |
DNS und HTTPS getrennt prüfen
Mit dig AAAA example.com fragen Sie gezielt nach IPv6-Adressen. Die Ausgabe zeigt unter anderem die Antwort, die TTL und den verwendeten Resolver. Möchten Sie einen bestimmten Resolver prüfen, geben Sie ihn ausdrücklich an, beispielsweise mit dig @1.1.1.1 AAAA example.com.
Für eine autoritative Prüfung ermitteln Sie zunächst die zuständigen Nameserver über eine NS-Abfrage und fragen anschließend einen dieser Server direkt. So unterscheiden Sie den tatsächlich veröffentlichten Zoneneintrag von Antworten, die noch aus einem Resolver-Cache stammen.
nslookup eignet sich ebenfalls für eine schnelle Kontrolle, zeigt aber je nach Betriebssystem weniger Details als dig. Entscheidend ist nicht das verwendete Werkzeug, sondern dass Sie den abgefragten Recordtyp, den Resolver und die zurückgelieferte Adresse nachvollziehen können.
Mit curl -6 https://example.com/ erzwingen Sie einen Abruf über IPv6. Damit prüfen Sie nicht nur DNS, sondern auch Verbindungsaufbau, TLS und HTTP-Antwort. Ein erfolgreicher DNS-Test bei gleichzeitig scheiterndem curl -6-Aufruf grenzt das Problem auf den Betriebsweg hinter der Namensauflösung ein.
Möchten Sie eine bestimmte IPv6-Adresse testen, ohne den öffentlichen AAAA-Record zu ändern, können Sie bei geeigneten Werkzeugen Hostname und Zieladresse gezielt verknüpfen. Bei curl eignet sich dafür beispielsweise --resolve. Der Hostname bleibt dadurch für TLS, SNI und HTTP erhalten, während die Verbindung zu der vorgegebenen Adresse aufgebaut wird.
Testen Sie HTTPS möglichst mit dem vorgesehenen Hostnamen. Ein Aufruf nur über die nackte IPv6-Adresse kann an Zertifikatsprüfung, SNI oder virtueller Hostzuordnung scheitern, obwohl der Dienst unter dem Domainnamen korrekt konfiguriert ist.
Ein erfolgreicher Ping beweist ebenfalls nicht, dass die Website funktioniert. ICMPv6 und TCP-Port 443 sind unterschiedliche Protokolle und können getrennt gefiltert werden. Umgekehrt kann HTTPS funktionieren, obwohl Echo-Anfragen blockiert werden. Prüfen Sie deshalb immer den tatsächlich benötigten Dienst.
Verwechseln Sie den AAAA-Record außerdem nicht mit der Rückwärtsauflösung. AAAA ordnet einen Namen einer IPv6-Adresse zu. Die umgekehrte Zuordnung einer IPv6-Adresse zu einem Namen erfolgt über PTR-Records unter ip6.arpa.
Typische Fehlerbilder im Betrieb
Besonders tückisch sind Fälle, in denen DNS und TLS formal korrekt aussehen, die Anwendung über IPv6 aber anders reagiert als über IPv4. Dann liegt der Fehler häufig in der Webserver-Zuordnung, einer Weiterleitung, einer Proxy-Strecke oder einem nachgelagerten Dienst.
Ein klassisches Muster ist der veraltete AAAA-Record nach einer Infrastrukturänderung. Während der A-Record bereits auf das neue Ziel zeigt, verweist AAAA noch auf eine frühere IPv6-Adresse. Nutzer erreichen dann je nach verwendetem Pfad unterschiedliche Systeme oder laufen in einen Timeout.
Ein weiterer Fehler entsteht, wenn der Webserver zwar auf IPv6 lauscht, aber nicht dieselbe Hostkonfiguration verwendet wie auf IPv4. Dann antwortet beispielsweise eine Standardseite, ein falscher Mandant oder ein unpassendes Zertifikat. Der Netzwerkpfad funktioniert in diesem Fall, die Zuordnung des Hostnamens jedoch nicht.
Auch Firewalls werden bei IPv6 leicht unterschätzt. Eine Freigabe für Port 443 über IPv4 bedeutet nicht automatisch, dass HTTPS über IPv6 erlaubt ist. Umgekehrt kann ein Dienst über IPv6 unerwartet offen sein, wenn Regeln nur für IPv4 gepflegt wurden.
Bei einem CDN oder Reverse Proxy muss nicht jede Teilstrecke dieselbe Adressfamilie verwenden. Die öffentliche Kante kann IPv6 anbieten und den Ursprung über IPv4 erreichen. Das ist technisch zulässig. Problematisch wird es erst, wenn der veröffentlichte IPv6-Zugang funktioniert, der Proxy aber das Origin-System nicht zuverlässig erreicht oder dort eine abweichende Anwendungskonfiguration vorfindet.
Auch interne Abhängigkeiten können selektiv ausfallen. Die Startseite lädt möglicherweise, während API-Aufrufe, Login, Zahlungsfunktion oder Mediendateien scheitern. Prüfen Sie in solchen Fällen nicht nur den öffentlichen Webserver, sondern auch interne DNS-Namen, Backend-Verbindungen, Weiterleitungen und Sicherheitsregeln.
Warum selektive Ausfälle schwer zu erkennen sind
Ein defekter IPv6-Weg führt nicht zwingend zu einem vollständigen Ausfall. Manche Anwendungen wechseln schnell auf IPv4, andere reagieren träger oder brechen ab. Deshalb können Ladezeiten und Fehlermeldungen selbst bei demselben Hostnamen unterschiedlich ausfallen.
Zusätzlich unterscheiden sich die Netzpfade. Unternehmensnetze, Mobilfunkanbieter, private Anschlüsse und einzelne Provider können IPv6 unterschiedlich routen oder filtern. Wenn nur bestimmte Nutzer betroffen sind, spricht das nicht gegen ein technisches Problem. Es weist vielmehr auf einen Pfad hin, den Ihre eigenen Tests bislang nicht abdecken.
Ein erfolgreicher Test aus dem eigenen Büro oder Rechenzentrum belegt deshalb nur, dass dieser eine Pfad funktioniert. Für belastbare Aussagen benötigen Sie Messpunkte aus verschiedenen Netzen oder zumindest getrennte Prüfungen über unterschiedliche Resolver und Zugangswege.
Erfassen Sie bei Nutzerbeschwerden möglichst den Zeitpunkt, den betroffenen Hostnamen, den Internetanbieter, die verwendete IPv6-Adresse und die konkrete Fehlermeldung. Diese Angaben helfen deutlich mehr als die pauschale Rückmeldung „Die Website geht nicht“.
AAAA behalten, korrigieren oder vorübergehend entfernen?
Zeigt der AAAA-Record auf eine falsche oder veraltete IPv6-Adresse, korrigieren Sie den DNS-Eintrag. Ist die Adresse korrekt, aber Routing, Firewall, Webserver, TLS oder Anwendung funktionieren nicht zuverlässig, liegt die Störung hinter dem DNS.
Kann IPv6 kurzfristig nicht stabil bereitgestellt werden, kann das vorübergehende Entfernen des AAAA-Records vertretbar sein. Der Hostname liefert dann keine veröffentlichte IPv6-Zieladresse mehr und wird in der Regel nur noch über IPv4 erreicht.
Das Entfernen ist jedoch keine Reparatur des IPv6-Pfads, sondern eine bewusste Deaktivierung dieses Zugangswegs. Dokumentieren Sie deshalb, warum der Record entfernt wurde, und legen Sie fest, welche technischen Voraussetzungen vor einer erneuten Aktivierung erfüllt sein müssen.
Berücksichtigen Sie bei jeder Änderung die eingestellte TTL sowie Resolver- und Client-Caches. Eine korrigierte oder entfernte Adresse verschwindet nicht zwangsläufig sofort aus allen Antworten. Prüfen Sie deshalb nach Ablauf der relevanten Cache-Zeiten erneut.
Planen Sie einen Server- oder CDN-Wechsel, können Sie die TTL rechtzeitig vor der Umstellung reduzieren. Eine kurzfristige Änderung unmittelbar vor dem Umzug hilft dagegen nur begrenzt, weil ältere Antworten mit der vorherigen TTL bereits in Resolver-Caches liegen können.
Der Grundsatz bleibt: Ein AAAA-Record benennt ein IPv6-Ziel. Belastbar ist die Konfiguration erst, wenn der gesamte IPv6-Betriebsweg zum vorgesehenen Dienst passt.
Betrieb, Sicherheit und häufige Fragen zu AAAA-Records
IPv6 ist nicht automatisch sicherer oder unsicherer als IPv4. Entscheidend ist, ob Sie Routing, Firewall, Freigaben und Monitoring für beide Adressfamilien bewusst betreiben. Prüfen Sie IPv6 separat, statt von vorhandenen IPv4-Regeln auf denselben Schutzumfang zu schließen.
Verlassen Sie sich dabei nicht auf die Annahme, IPv4 sei allein durch Network Address Translation geschützt. NAT ersetzt keine Firewall. Umgekehrt bedeutet eine global adressierbare IPv6-Adresse nicht automatisch, dass ein Gerät ungeschützt erreichbar ist. Entscheidend bleiben zustandsbehaftete Filterregeln und bewusst freigegebene Dienste.
Betreiben Sie einen Dienst im Dual Stack, sollte auch das Monitoring beide Wege getrennt prüfen. Andernfalls kann eine Statusseite Verfügbarkeit melden, obwohl Nutzer über IPv6 Timeouts, falsche Antworten oder TLS-Probleme erhalten.
Berücksichtigen Sie IPv6 außerdem in Protokollierung, Zugriffskontrolle und Auswertung. Systeme, die nur IPv4-Adressen erwarten oder speichern, können Einträge abschneiden, falsch gruppieren oder Regeln nicht korrekt anwenden. Prüfen Sie deshalb, ob Webserver, Sicherheitswerkzeuge und Analyseplattformen IPv6-Adressen vollständig verarbeiten.
FAQ zu AAAA-Records
Was ist ein AAAA-Record?
Ein AAAA-Record ist ein DNS-Eintrag, der einen Hostnamen auf eine 128 Bit lange IPv6-Adresse verweist.
Warum heißt er AAAA?
Der A-Record speichert eine 32 Bit lange IPv4-Adresse, die IPv6-Adresse im AAAA-Record umfasst 128 Bit und damit viermal so viele Bits. Die Bezeichnung wird deshalb häufig als „Quad-A“ ausgesprochen.
Was ist der Unterschied zwischen A und AAAA?
Ein A-Record verweist auf eine IPv4-Adresse, ein AAAA-Record auf eine IPv6-Adresse. Beide Typen können für denselben Hostnamen existieren, bleiben aber getrennte DNS-Einträge.
Kann ein Hostname mehrere AAAA-Records haben?
Ja. Ein Hostname kann mehrere IPv6-Adressen zurückgeben. Anwendungen wählen dann anhand ihrer Adressauswahl und des erreichbaren Netzpfads ein Ziel aus. Mehrere Records allein ersetzen jedoch keine aktive Überwachung der einzelnen Ziele.
Kann ein Name gleichzeitig CNAME und AAAA sein?
Ein Name, der als CNAME definiert ist, sollte nicht gleichzeitig eigene A- oder AAAA-Daten tragen. Der CNAME verweist stattdessen auf einen anderen Namen, dessen A- und AAAA-Records anschließend aufgelöst werden. Prüfen Sie bei DNS-Anbietern genau, ob eine Oberfläche echte CNAME-Einträge oder anbieterspezifische Alias-Funktionen verwendet.
Braucht jede Webseite IPv6?
Nicht jede Website muss zwingend einen AAAA-Record veröffentlichen. Sinnvoll ist IPv6 dann, wenn Hosting, Netzwerkpfad, Firewall, Webserver, TLS, Anwendung und Monitoring den Weg zuverlässig unterstützen. Ein fehlerhafter IPv6-Pfad kann mehr Probleme verursachen als ein bewusst nur über IPv4 angebotener Dienst.
Was ist Dual Stack?
Dual Stack bedeutet, dass ein Dienst über IPv4 und IPv6 erreichbar ist. Für Websites heißt das meist: Der Hostname liefert A- und AAAA-Records, und beide Pfade stellen denselben Webdienst zuverlässig bereit.
Warum funktioniert eine Webseite nur bei manchen Nutzern nicht?
Ein möglicher Grund ist ein fehlerhafter IPv6-Pfad. Clients, Anwendungen und Zugangsnetze wählen Adressen nicht immer identisch. Zusätzlich können Routing, Provider, Region oder CDN-Pfad variieren. Deshalb kann eine Störung nur einen Teil der Nutzer betreffen.
Warum zeigt ein DNS-Test AAAA, obwohl kein AAAA-Record angelegt wurde?
In einer DNS64-/NAT64-Umgebung kann der verwendete Resolver aus einem A-Record eine synthetische IPv6-Adresse erzeugen. Prüfen Sie deshalb bei Unklarheiten die autoritativen Nameserver direkt und vergleichen Sie deren Antwort mit der lokalen Resolver-Antwort.
Kann man einen AAAA-Record löschen?
Technisch ja. Das kann sinnvoll sein, wenn der Eintrag auf ein falsches Ziel zeigt oder IPv6 vorübergehend nicht stabil betrieben werden kann. Beachten Sie jedoch TTL und DNS-Caches: Die alte Antwort kann nach der Änderung noch eine Zeit lang sichtbar bleiben.
Warum muss die Firewall IPv6 separat berücksichtigen?
IPv4- und IPv6-Regeln werden in vielen Umgebungen getrennt verwaltet. Eine Freigabe für Port 443 über IPv4 bedeutet daher nicht automatisch, dass HTTPS über IPv6 ebenfalls erlaubt ist. Prüfen Sie umgekehrt auch, ob über IPv6 keine unerwünschten Dienste erreichbar sind.
Was ist der Unterschied zwischen AAAA und PTR?
AAAA löst einen Hostnamen zu einer IPv6-Adresse auf. PTR übernimmt die umgekehrte Richtung und ordnet einer IPv6-Adresse einen Namen zu. Diese Rückwärtsauflösung liegt unter ip6.arpa.
Was bedeutet die TTL beim AAAA-Record?
Die Time to Live gibt an, wie lange Resolver eine DNS-Antwort zwischenspeichern dürfen. Eine kurze TTL erleichtert geplante Änderungen, erhöht aber die Zahl der DNS-Abfragen. Eine lange TTL reduziert Abfragen, verlängert jedoch den Zeitraum, in dem alte Adressen nach einer Änderung noch verwendet werden können.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten