„DNS-Server antwortet nicht“ oder „Website nicht erreichbar“ klingt zunächst nach einem vollständigen Ausfall des Internetzugangs. Tatsächlich kann die Verbindung zum Router und ins Netz grundsätzlich funktionieren, während Webseiten trotzdem nicht laden. Dann scheitert möglicherweise nicht die Leitung selbst, sondern die Namensauflösung, die aus einer lesbaren Webadresse ein technisch erreichbares Ziel macht.
Wenn Sie eine Adresse wie beispiel.de eingeben, benötigt Ihr Gerät technische Zielinformationen. Für Webseiten sind das häufig IPv4- oder IPv6-Adressen. Ein DNS-Server beziehungsweise Resolver hilft dabei, diese Angaben zu ermitteln. Erst danach kann der Browser versuchen, eine Verbindung zum eigentlichen Webserver aufzubauen.
Für die Fehlersuche sind deshalb zwei Fragen entscheidend: Was ist mit „DNS-Server“ im konkreten Fall gemeint, und an welcher Stelle im Ablauf bleibt die Antwort aus? Der Artikel führt Sie zunächst durch das Grundprinzip und zeigt anschließend, wie Sie Störungen nach Browser, Gerät, Heimnetz, Resolver und betroffener Domain einordnen.
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten
Inhaltsverzeichnis
- Was ist ein DNS-Server?
- So läuft eine DNS-Anfrage vom Browser bis zur Zieladresse ab
- Welchen DNS-Server Ihr Gerät tatsächlich verwendet
- Warum ein DNS-Server manchmal nicht antwortet
- DNS-Probleme in sinnvoller Reihenfolge eingrenzen
- DNS-Cache, TTL und verzögert sichtbare Änderungen
- Öffentliche DNS-Resolver ohne falsche Erwartungen einordnen
- Häufige Fragen zum DNS-Server
- DNS-Probleme gedanklich richtig einordnen
Was ist ein DNS-Server?
Ein DNS-Server ist Teil des Domain Name Systems, des Namensdienstes des Internets. Dieses System ordnet lesbaren Namen wie www.beispiel.de technische Informationen zu, die Geräte für eine Verbindung benötigen. Bei einer Website sind das häufig A-Einträge mit IPv4-Adressen oder AAAA-Einträge mit IPv6-Adressen. DNS kann außerdem Aliasnamen, Mailserver und weitere Dienstdaten bereitstellen.
Ohne Namensauflösung müsste Ihr Browser die Zieladresse bereits als Zahlenwert oder über eine andere technische Zuordnung kennen. Domainnamen schaffen deshalb eine stabile, menschenlesbare Ebene über den eigentlichen Serveradressen. Ein Betreiber kann die technische Infrastruktur ändern, ohne dass Nutzer zwangsläufig eine neue Webadresse lernen müssen, solange die DNS-Einträge entsprechend angepasst werden.
Im Alltag ist mit „DNS-Server“ meistens der rekursive Resolver gemeint, an den Ihr Gerät seine Anfrage sendet. Dieser Resolver nimmt den Namen entgegen, prüft vorhandene Zwischenspeicher und ermittelt bei Bedarf die zuständigen DNS-Daten. Er liefert anschließend eine Antwort oder einen Fehlerstatus an Ihr Gerät zurück.
Technisch gibt es jedoch nicht nur einen einzigen DNS-Servertyp. Rekursive Resolver arbeiten im Auftrag von Endgeräten. Autoritative Nameserver veröffentlichen die DNS-Daten einer bestimmten Domain. Root- und TLD-Nameserver helfen Resolvern dabei, die zuständigen autoritativen Server zu finden. Der Begriff „DNS-Server“ ist daher korrekt, aber ohne Kontext ungenau.
Mit einer erfolgreichen DNS-Antwort ist die Website noch nicht geladen. DNS liefert zunächst nur die Information, unter welcher Adresse oder über welchen Dienstweg das Ziel erreichbar sein soll. Erst danach beginnt die eigentliche Verbindung zum Webserver. Eine funktionierende Namensauflösung beweist daher nicht, dass der Server erreichbar ist oder die Website korrekt antwortet.
Welche DNS-Komponenten zusammenarbeiten
Eine DNS-Anfrage durchläuft je nach Netzwerk und Cache-Stand mehrere Komponenten. Nicht jede davon ist ein eigenständiger Server, aber jede kann das Ergebnis beeinflussen. Für die Fehlersuche zählt vor allem, ob das Problem nur auf einem Gerät entsteht, im Router alle Geräte betrifft oder bereits bei den veröffentlichten Daten einer Domain liegt.
| Komponente | Welche Aufgabe sie übernimmt | Wo sie typischerweise sitzt | Was ein Fehler praktisch bedeutet |
|---|---|---|---|
| Stub Resolver | Nimmt die Anfrage einer Anwendung entgegen und leitet sie an den konfigurierten Resolver weiter | Betriebssystem des Computers, Smartphones oder Servers | Störungen können nur ein Gerät oder einzelne Anwendungen betreffen |
| Lokaler DNS-Proxy oder Forwarder | Nimmt Anfragen im lokalen Netz an und leitet sie an einen vorgelagerten Resolver weiter | Router, Gateway, Firewall oder lokaler DNS-Dienst | Eine Fehlkonfiguration kann mehrere Geräte im selben Netz gleichzeitig betreffen |
| Rekursiver Resolver | Ermittelt Antworten, nutzt Caches und fragt bei Bedarf weitere DNS-Stellen ab | Provider, Unternehmen, VPN oder öffentlicher DNS-Dienst | Er ist meist gemeint, wenn ein Gerät vom eingetragenen DNS-Server spricht |
| Root-Nameserver | Verweisen auf die zuständige Top-Level-Domain | Globale DNS-Infrastruktur | Sie liefern normalerweise nicht die fertige Zieladresse der Website |
| TLD-Nameserver | Verweisen auf die autoritativen Nameserver einer Domain | Registry-Infrastruktur für Endungen wie .de oder .com | Fehlerhafte Delegationen können eine Domain unerreichbar machen |
| Autoritativer Nameserver | Veröffentlicht die DNS-Daten einer Domain oder Zone | DNS-Anbieter oder Infrastruktur des Domainbetreibers | Falsche oder fehlende Einträge betreffen häufig nur einzelne Domains oder Dienste |
| DNS-Cache | Speichert positive und negative Antworten für eine begrenzte Zeit | Browser, Betriebssystem, Router und Resolver | Alte oder negative Ergebnisse können vorübergehend weiterverwendet werden |
So läuft eine DNS-Anfrage vom Browser bis zur Zieladresse ab
Wenn Sie eine Domain in den Browser eingeben, fragt der Browser normalerweise nicht selbst die gesamte DNS-Hierarchie ab. Er übergibt den Namen an die Namensauflösung des Betriebssystems. Der dortige Stub Resolver wendet sich an den konfigurierten Resolver, häufig den Router, den Internetanbieter, einen Unternehmensdienst oder einen öffentlichen DNS-Anbieter.
Der Resolver prüft zuerst, ob er die benötigte Antwort bereits gespeichert hat. Liegt ein noch gültiger Cache-Eintrag vor, kann er die Anfrage direkt beantworten. Das spart Zeit und verhindert, dass für jeden Seitenaufruf erneut mehrere DNS-Ebenen kontaktiert werden müssen.
Fehlt die Antwort, ermittelt der Resolver die zuständigen Stellen. Root-Nameserver verweisen auf die Server der passenden Top-Level-Domain. Die TLD-Nameserver nennen wiederum die autoritativen Nameserver der gesuchten Domain. Dort erhält der Resolver die veröffentlichten DNS-Daten und gibt das Ergebnis an Ihr Gerät zurück.
Eine Antwort muss nicht aus genau einer IP-Adresse bestehen. Eine Domain kann mehrere IPv4- oder IPv6-Adressen zurückliefern, etwa für Lastverteilung, regionale Auslieferung oder Ausfallsicherheit. Zusätzlich können Aliasnamen und andere Datensätze den Weg zur endgültigen Zielinformation beeinflussen.
Erst nach dieser Namensauflösung versucht der Browser, eine Verbindung zum Zielserver aufzubauen. Scheitert dieser zweite Schritt, kann DNS vollständig korrekt gearbeitet haben. Umgekehrt kann die Internetverbindung aktiv sein, während der Resolver keine brauchbare Antwort liefert. Genau diese Trennung ist für die Fehlersuche entscheidend.
Welche Informationen DNS außer IP-Adressen liefert
A-Einträge verweisen auf IPv4-Adressen, AAAA-Einträge auf IPv6-Adressen. CNAME-Einträge kennzeichnen einen Namen als Alias eines anderen Namens. Dadurch kann eine Adresse auf eine technische Plattform oder einen externen Dienst zeigen, ohne dass Nutzer dessen eigentlichen Hostnamen kennen müssen.
MX-Einträge nennen die zuständigen Mailserver. TXT-Einträge werden unter anderem für Verifizierungen und Richtlinien genutzt. Neuere HTTPS- und SVCB-Einträge können zusätzliche Hinweise zu Diensten und Verbindungswegen liefern. DNS ist deshalb kein reines Telefonbuch, sondern ein verteiltes Verzeichnis für unterschiedliche Internetdienste.
Welchen DNS-Server Ihr Gerät tatsächlich verwendet
Welcher Resolver eine Anfrage beantwortet, ist für Nutzer nicht immer sofort sichtbar. Die DNS-Adresse kann automatisch vom Netzwerk kommen, manuell im Gerät eingetragen sein, über den Router vermittelt werden oder durch ein VPN beziehungsweise eine Unternehmensrichtlinie ersetzt werden. Auch einzelne Browser können einen eigenen verschlüsselten DNS-Pfad verwenden.
Router, Provider und automatische Zuweisung
Im Heimnetz tritt häufig der Router als sichtbare DNS-Anlaufstelle auf. Er verteilt seine eigene lokale Adresse an Computer, Smartphones und andere Geräte und leitet die Anfragen an einen vorgelagerten Resolver weiter. Das Gerät fragt dann scheinbar den Router, obwohl die eigentliche Auflösung bei einem Provider- oder öffentlichen Dienst erfolgt.
Die DNS-Konfiguration wird oft zusammen mit IP-Adresse, Gateway und weiteren Netzparametern automatisch verteilt. Ein manuell eingetragener Resolver kann diese Vorgaben übergehen. Das kann bei einer Störung hilfreich sein, aber ebenso lokale Filter oder interne Namen außer Kraft setzen.
VPN, Unternehmensnetz und interne Namen
Ein VPN kann eigene Resolver setzen und den normalen DNS-Pfad vollständig verändern. Das ist besonders in Unternehmen nötig, wenn interne Servernamen nur innerhalb des Firmennetzes aufgelöst werden sollen. Ohne den vorgesehenen Resolver kennt ein öffentlicher DNS-Dienst diese internen Namen nicht.
Bei Split-DNS kann derselbe Name je nach Netzwerk unterschiedliche Antworten liefern. Innerhalb des Unternehmens zeigt er beispielsweise auf eine interne Adresse, außerhalb auf einen öffentlichen Dienst oder auf gar kein Ziel. Ein manueller Resolverwechsel kann diese Logik stören, obwohl der neue DNS-Dienst technisch einwandfrei arbeitet.
Warum ein Browser einen anderen Resolver nutzen kann
Moderne Browser können DNS over HTTPS eigenständig aktivieren. Der Browser sendet seine DNS-Anfragen dann verschlüsselt an einen festgelegten oder automatisch gewählten Resolver. Andere Anwendungen auf demselben Gerät nutzen weiterhin die DNS-Konfiguration des Betriebssystems.
Dadurch kann eine Domain in einem Browser funktionieren, während ein zweiter Browser oder ein Mailprogramm scheitert. Ebenso können Routerfilter, lokale DNS-Regeln und interne Unternehmensnamen nur in einem Teil der Anwendungen greifen. Bei einem Fehler nur in einem Browser sollten Sie deshalb dessen DNS- und Sicherheitseinstellungen mitprüfen.
Warum ein DNS-Server manchmal nicht antwortet
Die Meldung „DNS-Server antwortet nicht“ beschreibt kein einheitliches Fehlerbild. Sie bedeutet zunächst nur, dass das Gerät keine verwertbare Antwort auf seine Namensanfrage erhalten hat. Der eingetragene Resolver kann tatsächlich ausgefallen sein, aber ebenso können Router, Firewall, VPN, IPv4 oder IPv6, ein lokaler Cache oder die betroffene Domain die Ursache sein.
Die wichtigste Frage lautet deshalb nicht sofort „Welchen anderen DNS-Server soll ich eintragen?“, sondern: Wie weit reicht der Fehler? Betrifft er nur einen Browser, ein Gerät, alle Geräte im Heimnetz, eine einzelne Domain oder viele unterschiedliche Namen? Diese Abgrenzung führt meist schneller zur Ursache als ein ungezielter Resolverwechsel.
Wenn nur ein Browser oder ein Gerät betroffen ist
Funktioniert dieselbe Domain auf anderen Geräten im Netz, liegt die Ursache wahrscheinlich näher am betroffenen Gerät. Möglich sind ein veralteter lokaler Cache, eine manuelle DNS-Adresse, ein aktives VPN, eine Firewallregel, Sicherheitssoftware oder ein browserinternes DoH-Profil.
Vergleichen Sie zunächst einen zweiten Browser und eine andere Anwendung auf demselben Gerät. Funktioniert der Aufruf dort, ist die allgemeine Netzverbindung wahrscheinlich intakt. Prüfen Sie dann gezielt die Einstellungen des betroffenen Browsers, statt Router und Provider als Erstes zu verdächtigen.
Wenn alle Geräte im Heimnetz betroffen sind
Treten ähnliche Fehler auf mehreren Geräten gleichzeitig auf, rückt eine gemeinsame Komponente in den Mittelpunkt. Das kann der Router als DNS-Proxy, die automatisch verteilte DNS-Adresse oder der vorgelagerte Resolver sein. Auch ein allgemeines Verbindungsproblem kann vom Betriebssystem fälschlich als DNS-Störung zusammengefasst werden.
Prüfen Sie deshalb zuerst, ob der Router selbst online ist, ob andere Dienste funktionieren und welche DNS-Adressen er verteilt. Ein Neustart kann einen festgefahrenen lokalen Proxy beheben, ersetzt aber keine Prüfung der Ursache, wenn der Fehler wiederkehrt.
Wenn nur eine bestimmte Domain nicht funktioniert
Funktionieren viele andere Webseiten, liegt der Verdacht näher bei der betroffenen Domain. Mögliche Ursachen sind fehlende oder falsche Datensätze, nicht erreichbare autoritative Nameserver, eine fehlerhafte Delegation, eine ungültige DNSSEC-Signatur oder noch aktive Cache-Einträge nach einer Änderung.
Ein korrekt arbeitender Resolver kann nur die Daten verarbeiten, die autoritativ veröffentlicht und erreichbar sind. Ein Wechsel zu einem anderen öffentlichen Resolver kann Unterschiede im Cache sichtbar machen, korrigiert aber keine falsch konfigurierte Zone.
Wenn viele Domains gleichzeitig ausfallen
Sind zahlreiche unabhängige Domains betroffen, spricht das eher für ein Problem beim Resolver, im Router oder auf dem Netzwerkpfad. DNS-Pakete können blockiert werden, der eingetragene Dienst kann nicht erreichbar sein oder ein VPN kann fehlerhafte Vorgaben setzen.
Ein zweiter Resolver kann hier als kontrollierter Test sinnvoll sein. Funktioniert die Auflösung damit sofort, liegt der Verdacht beim bisherigen DNS-Pfad. Der Test beweist jedoch nicht, dass WLAN, Router oder Internetanschluss in jeder Hinsicht fehlerfrei sind.
Wenn IPv4 und IPv6 unterschiedlich funktionieren
DNS kann gleichzeitig korrekte A- und AAAA-Einträge liefern, obwohl nur einer der beiden Netzwerkpfade funktioniert. Ein Gerät versucht dann möglicherweise zuerst eine nicht erreichbare IPv6-Adresse oder fällt nur verzögert auf IPv4 zurück. Für Nutzer wirkt das wie ein DNS- oder Websitefehler, obwohl die Namensauflösung korrekt war.
Prüfen Sie IPv4 und IPv6 deshalb getrennt, wenn Fehler nur bestimmte Geräte, Netze oder Domains betreffen. Ein Resolverwechsel hilft nicht, wenn die eigentliche Ursache in der Erreichbarkeit des zurückgelieferten Netzwerkpfads liegt.
Wenn VPN, Kinderschutz oder Sicherheitsfilter eingreifen
VPN-Dienste, Kinderschutzsysteme, Unternehmensfilter und Sicherheitssoftware können DNS-Anfragen absichtlich umleiten, blockieren oder anders beantworten. Das ist nicht zwingend ein Defekt. Die Namensauflösung kann Teil einer gewünschten Zugriffs- oder Sicherheitsrichtlinie sein.
Vergleichen Sie das Verhalten mit und ohne VPN nur dann, wenn dies in Ihrer Umgebung zulässig ist. Auf verwalteten Geräten sollten Sie Resolver oder Filter nicht eigenmächtig umgehen, sondern die zuständige Administration einbeziehen.
DNS-Probleme in sinnvoller Reihenfolge eingrenzen
Eine gute Diagnose beginnt nicht mit Spezialbegriffen, sondern mit der Reichweite des Fehlers. Prüfen Sie zuerst, ob das Netzwerk grundsätzlich funktioniert. Klären Sie danach, ob nur eine Anwendung, ein Gerät, das gesamte Heimnetz oder eine einzelne Domain betroffen ist. Erst anschließend lohnt der Blick auf Cache, Resolver, VPN, IPv4, IPv6 oder DNSSEC.
| Was Sie beobachten | Wahrscheinlicher Bereich | Was Sie daraus ableiten sollten | Nächster sinnvoller Schritt |
|---|---|---|---|
| Nur ein Browser ist betroffen | Browser-Cache, DoH, Erweiterung oder Sicherheitseinstellung | Andere Anwendungen können einen anderen DNS-Pfad nutzen | Mit einem zweiten Browser vergleichen und browserinterne DNS-Einstellungen prüfen |
| Nur ein Gerät ist betroffen | Lokale DNS-Konfiguration, VPN, Firewall, Stub Resolver oder Cache | Router und gemeinsamer Resolver sind weniger wahrscheinlich die alleinige Ursache | DNS- und Netzwerkeinstellungen mit einem funktionierenden Gerät vergleichen |
| Alle Geräte im Heimnetz sind betroffen | Router, lokaler DNS-Proxy, DHCP-Zuweisung oder vorgelagerter Resolver | Eine gemeinsame Netzwerkkomponente ist wahrscheinlich beteiligt | Routerstatus, Internetzugang und verteilte DNS-Adressen prüfen |
| Nur eine Domain ist betroffen | Autoritative Nameserver, Delegation, DNSSEC oder Cache | Das allgemeine DNS kann funktionieren, während die Domain selbst fehlerhaft ist | Andere Domains testen und kürzliche Änderungen an der betroffenen Zone berücksichtigen |
| Viele Domains sind betroffen | Resolver, Router, blockierter DNS-Verkehr oder allgemeiner Netzfehler | Die Störung liegt wahrscheinlich nicht bei einer einzelnen Domain | Mit einem zweiten Resolver und einem weiteren Gerät kontrolliert gegenprüfen |
| Fehler nur mit VPN | VPN-Resolver, Split-DNS oder Sicherheitsrichtlinie | Mit VPN gilt ein anderer DNS-Pfad | VPN-Konfiguration und interne Namensauflösung prüfen lassen |
| Änderung noch nicht sichtbar | TTL, lokaler Cache, Resolver-Cache oder uneinheitliche autoritative Server | Ältere Antworten können weiterhin regulär verwendet werden | TTL und autoritative Daten prüfen; lokale Caches nur gezielt leeren |
| Neuer Name gilt weiter als nicht vorhanden | Negativer Cache oder fehlender autoritativer Eintrag | Auch Fehlantworten können gespeichert werden | Autoritative Daten und Dauer der negativen Zwischenspeicherung prüfen |
| Zwei Resolver liefern unterschiedliche Antworten | Cache-Stände, Filter, Geolokalisierung, DNSSEC oder Split-DNS | Abweichende Antworten beweisen nicht automatisch einen Defekt | Antworttyp, TTL, DNSSEC-Status und Netzwerkumgebung vergleichen |
Warum der direkte IP-Aufruf kein verlässlicher DNS-Test ist
Die Gegenprobe „Website direkt über ihre IP-Adresse öffnen“ ist heute nur eingeschränkt aussagekräftig. Viele Hostingplattformen und Content-Delivery-Netzwerke betreiben mehrere Domains unter derselben IP-Adresse. Der Server benötigt den angeforderten Hostnamen, um die richtige Website auszuwählen.
Bei HTTPS wird der Hostname bereits beim Aufbau der verschlüsselten Verbindung benötigt. Ein direkter Aufruf der IP-Adresse kann deshalb eine Standardseite, einen Zertifikatsfehler oder gar keine nutzbare Antwort liefern, obwohl DNS und Webserver korrekt funktionieren.
Aussagekräftiger ist die Frage, ob mehrere Domainnamen gleichzeitig ausfallen und ob andere Anwendungen oder Geräte dieselben Symptome zeigen. Der direkte IP-Aufruf sollte höchstens als ergänzender Spezialtest dienen, nicht als allgemeiner Beweis für oder gegen einen DNS-Fehler.
DNS-Cache, TTL und verzögert sichtbare Änderungen
DNS-Caches sorgen dafür, dass bekannte Antworten nicht bei jeder Anfrage erneut gesucht werden müssen. Zwischenspeicher gibt es im Browser, im Betriebssystem, im Router und beim rekursiven Resolver. Dadurch werden häufig genutzte Namen schneller beantwortet und die DNS-Infrastruktur entlastet.
Wie lange ein Datensatz normalerweise gespeichert werden darf, legt seine TTL fest. TTL steht für Time to Live. Nach einer Änderung werden neue Daten daher nicht aktiv und gleichzeitig an alle Nutzer verteilt. Stattdessen laufen vorhandene Cache-Einträge nach und nach aus und werden erst bei einer späteren Anfrage ersetzt.
Die TTL ist dennoch keine minutengenaue Garantie dafür, wann jeder Nutzer die neue Antwort erhält. Mehrere Resolverstufen, bereits laufende Verbindungen, lokale Anwendungscaches, uneinheitliche autoritative Server und besondere Ausfallmechanismen können den sichtbaren Wechsel verzögern.
Warum auch „nicht vorhanden“ im Cache landen kann
Resolver speichern nicht nur erfolgreiche Antworten. Sie können auch zwischenspeichern, dass ein Name nicht existiert oder dass ein bestimmter Datensatz fehlt. Diese negative Zwischenspeicherung verhindert, dass dieselbe erfolglose Anfrage ständig erneut bis zu den autoritativen Servern läuft.
Für die Praxis bedeutet das: Legen Sie eine zuvor nicht vorhandene Subdomain neu an, kann ein Resolver zunächst weiter melden, dass der Name nicht existiert. Ein lokales Cache-Leeren hilft nur dann, wenn die negative Antwort tatsächlich auf dem eigenen Gerät gespeichert wurde. Liegt sie beim rekursiven Resolver, müssen Sie deren Ablauf abwarten oder kontrolliert einen anderen Resolver testen.
Warum Resolver manchmal bewusst ältere Antworten liefern
Einige Resolver können bei vorübergehend nicht erreichbaren autoritativen Nameservern ältere Cache-Daten weiterverwenden. Damit bleibt ein Dienst möglicherweise erreichbar, obwohl die eigentliche Quelle der DNS-Daten gerade nicht antwortet. Dieses Verhalten verbessert die Verfügbarkeit, kann aber dazu führen, dass Änderungen länger als erwartet unsichtbar bleiben.
Cache ist deshalb weder grundsätzlich Fehler noch Universalerklärung. Er beschleunigt normale Anfragen, kann Änderungen verzögern und Ausfälle abfedern. Bei einer unterbrochenen Internetverbindung, einem falschen VPN-Pfad oder fehlerhaften autoritativen Daten löst das Leeren eines lokalen Caches die eigentliche Ursache jedoch nicht.
Öffentliche DNS-Resolver ohne falsche Erwartungen einordnen
Neben Resolvern von Providern und Organisationen gibt es öffentliche Dienste, etwa von Cloudflare, Google, Quad9 oder OpenDNS. Diese Beispiele kennzeichnen lediglich die Kategorie. Welcher Dienst sinnvoll ist, hängt von Datenschutz, Filterung, DNSSEC-Validierung, Protokollierung, Netzwerknähe und den unterstützten Transportverfahren ab.
Ein öffentlicher Resolver kann einen ausgefallenen, langsamen oder unerwünscht filternden Provider-Dienst umgehen. Er kann außerdem zusätzliche Sicherheits- oder Jugendschutzfunktionen anbieten. Diese Eigenschaften sind jedoch dienst- und teilweise adressabhängig. Prüfen Sie deshalb die konkrete Variante, nicht nur den Namen des Anbieters.
Ein Resolverwechsel repariert kein instabiles WLAN, keinen defekten Router, keine falsch konfigurierte Domain und keinen ausgefallenen Webserver. Er beschleunigt außerdem nicht automatisch Download, Seitenaufbau oder Latenz der eigentlichen Datenverbindung. Verbessert werden kann vor allem die Dauer und Zuverlässigkeit der Namensauflösung.
Mit dem Wechsel verlagern Sie zugleich Vertrauen. Der gewählte Resolver verarbeitet die bei ihm ankommenden DNS-Anfragen. Verschlüsselter Transport schützt den Weg zu diesem Dienst, verhindert aber nicht, dass dessen Betreiber die Anfragen technisch verarbeiten und nach seinen veröffentlichten Regeln protokollieren kann.
DNSSEC, DoH und DoT lösen unterschiedliche Probleme
DNSSEC ermöglicht einem validierenden Resolver, Herkunft und Integrität signierter DNS-Daten zu prüfen. Schlägt diese Prüfung fehl, verwirft der Resolver die Antwort. Eine fehlerhafte DNSSEC-Konfiguration kann deshalb dazu führen, dass eine Domain bei einem validierenden Dienst nicht auflösbar ist, obwohl ein anderer Resolver noch eine scheinbare Antwort liefert.
DNS over HTTPS und DNS over TLS erfüllen eine andere Aufgabe. Sie verschlüsseln den Transport zwischen Client und Resolver. Dadurch lassen sich Anfragen auf diesem Teil des Weges schwerer mitlesen oder verändern. Ob die autoritativen DNS-Daten korrekt sind, prüfen diese Transportverfahren jedoch nicht.
Der Unterschied lässt sich knapp merken: DNSSEC prüft signierte Antworten. DoH und DoT schützen den Weg zum Resolver. Keines dieser Verfahren macht eine Domain automatisch seriös, erreichbar oder technisch korrekt konfiguriert.
Häufige Fragen zum DNS-Server
Was ist ein DNS-Server?
Ein DNS-Server stellt Informationen für die Namensauflösung bereit oder ermittelt sie im Auftrag eines Geräts. Im Alltag ist meist der rekursive Resolver gemeint, der Domainnamen entgegennimmt und passende DNS-Antworten zurückliefert.
Was ist ein rekursiver Resolver?
Ein rekursiver Resolver nimmt die Anfrage eines Clients entgegen, prüft seinen Cache und ermittelt bei Bedarf die zuständigen DNS-Daten. Er liefert anschließend die gefundene Antwort oder einen Fehlerstatus zurück.
Was bedeutet „DNS-Server antwortet nicht“?
Das Gerät hat keine verwertbare Antwort für seine Namensanfrage erhalten. Die Meldung nennt nicht automatisch die genaue Ursache. Möglich sind Probleme am Gerät, Router, Resolver, VPN, Netzwerkpfad, Cache oder bei der betroffenen Domain.
Was ist ein autoritativer Nameserver?
Ein autoritativer Nameserver veröffentlicht die DNS-Daten einer Domain oder Zone. Sind diese Einträge falsch, unvollständig oder nicht erreichbar, kann auch ein korrekt arbeitender Resolver keine zuverlässige Zielinformation liefern.
Was ist ein DNS-Cache?
Ein DNS-Cache speichert bereits erhaltene positive und negative Antworten für eine begrenzte Zeit. Dadurch werden spätere Anfragen schneller, Änderungen oder neu angelegte Namen können jedoch zunächst mit einem älteren Ergebnis beantwortet werden.
Sollten Sie einen öffentlichen DNS-Server nutzen?
Ein öffentlicher Resolver kann eine Alternative zu Provider- oder Unternehmensdiensten sein. Ob er sinnvoll ist, hängt von Datenschutz, Filterung, DNSSEC, DoH oder DoT, Netzwerknähe und lokalen Vorgaben ab. In VPN- und Unternehmensumgebungen kann ein manueller Wechsel interne Namen oder Richtlinien stören.
Kann DNS Webseiten blockieren?
Ja. Resolver können bestimmte Namen nicht beantworten, auf andere Ziele umleiten oder Filterhinweise zurückgeben. Solche Verfahren werden unter anderem in Unternehmensnetzen, Kinderschutzsystemen und Sicherheitsdiensten eingesetzt. Sie blockieren die Namensauflösung, nicht zwangsläufig jeden möglichen Netzwerkzugriff.
Verschlüsselt DNSSEC DNS-Anfragen?
Nein. DNSSEC prüft Herkunft und Integrität signierter DNS-Daten. Für die Verschlüsselung des Transports zwischen Client und Resolver sind DNS over HTTPS oder DNS over TLS zuständig.
DNS-Probleme gedanklich richtig einordnen
Prüfen Sie zuerst, ob die grundlegende Netzverbindung funktioniert. Klären Sie danach, ob nur ein Browser, ein Gerät, das gesamte Heimnetz oder eine einzelne Domain betroffen ist. Erst dann folgen gezielte Tests mit Cache, VPN, IPv4, IPv6 oder einem zweiten Resolver.
Ein Resolverwechsel kann sinnvoll sein, wenn mehrere Domains ausfallen und der aktuelle DNS-Dienst nicht antwortet oder auffällig filtert. Er bleibt jedoch ein Diagnosewerkzeug, keine Universallösung. Lokale Namen, Split-DNS, Kinderschutz und Unternehmensregeln können dadurch beeinträchtigt werden.
Der wichtigste Merksatz lautet: DNS liefert die technischen Zielinformationen zu einem Namen. Es lädt die Website nicht selbst. Wenn eine Seite nicht erreichbar ist, müssen Sie deshalb Namensauflösung, Netzwerkpfad und Webserver als getrennte Schritte betrachten.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten