Wenn Menschen eine Website öffnen, tippen sie einen Namen ein. Computer arbeiten aber mit IP-Adressen. Genau da kommt DNS ins Spiel: das Domain Name System übersetzt lesbare Namen in technische Ziele. Man kann es sich wie ein Telefonbuch fürs Internet vorstellen. Statt sich eine Zahlenfolge zu merken, fragt Ihr Gerät nach, unter welcher Adresse ein Dienst erreichbar ist.
Für kleine Unternehmen ist DNS kein Randthema. Wenn ein Eintrag falsch gesetzt ist, funktioniert die Website nicht, E-Mails kommen nicht an oder ein neuer Dienst bleibt unsichtbar. Gleichzeitig ist DNS ein überraschend guter Hebel für Sicherheit, Performance und Kontrolle im eigenen Netzwerk.
Was DNS eigentlich macht
Jede Domain besteht aus mehreren Bausteinen. Wenn Sie etwa eine Subdomain aufrufen, prüft Ihr Gerät zunächst, ob die Antwort schon lokal zwischengespeichert ist. Falls nicht, fragt es einen rekursiven Resolver. Dieser arbeitet sich bei Bedarf schrittweise durch die DNS-Hierarchie: vom Root-Server zur zuständigen Top-Level-Domain und dann weiter zum autoritativen Nameserver Ihrer Domain. Erst dort liegt die verbindliche Antwort.
Für Anwender wirkt das wie Magie, technisch ist es nur eine saubere Kette von Nachfragen. Wichtig ist: DNS speichert keine Webseiten, sondern Hinweise, wo ein Dienst zu finden ist. Deshalb führt ein DNS-Problem oft dazu, dass eine Seite „weg“ wirkt, obwohl der Webserver selbst noch läuft.
Die wichtigsten Record-Typen einfach erklärt
Im Alltag von KMU reichen meist wenige Record-Typen, die man aber sauber verstehen sollte:
- A-Record: Verweist einen Namen auf eine IPv4-Adresse.
- AAAA-Record: Das Gleiche für IPv6.
- CNAME: Ein Alias. Eine Subdomain verweist auf einen anderen Hostnamen statt direkt auf eine Adresse.
- MX: Legt fest, welcher Mailserver E-Mails für eine Domain annimmt.
- TXT: Freitext-Einträge, die heute oft für Verifikation, SPF, DKIM oder andere Sicherheitsfunktionen genutzt werden.
Wer diese fünf Typen versteht, hat das Fundament für fast alle typischen DNS-Aufgaben gelegt. Für E-Mail-Schutz lohnt sich ergänzend der Blick in E-Mail-Server absichern: SPF, DKIM und DMARC richtig konfigurieren.
Warum Änderungen manchmal nicht sofort sichtbar sind
Der häufigste Frustmoment bei DNS heißt nicht Ausfall, sondern Geduld. Änderungen wirken oft nicht sofort, weil Antworten zwischengespeichert werden. Dafür ist vor allem der TTL-Wert zuständig, also „Time To Live“. Er bestimmt, wie lange Resolver und Endgeräte eine Antwort cachen dürfen.
Wenn Sie etwa heute den Webserver wechseln, aber gestern noch ein hoher TTL von 24 Stunden aktiv war, sehen manche Nutzer schon die neue Umgebung und andere noch die alte. Das ist keine echte „Propagation durch das ganze Internet“, sondern meist verteiltes Caching. Gerade vor Migrationen sollte man TTL-Werte deshalb frühzeitig senken.
Typische Fehler in der Praxis sind:
- alter A-Record zeigt noch auf das vorige System
- CNAME-Ketten werden unnötig komplex
- MX-Einträge wurden angepasst, aber SPF nicht
- lokale Geräte nutzen noch einen alten Cache
- interne DNS-Zonen widersprechen den öffentlichen Einträgen
Wenn Sie bereits an Ihrer Infrastruktur arbeiten, ist auch Proxmox Netzwerk Konfiguration ein nützlicher technischer Anschlussartikel.
DNS im eigenen Netzwerk: AdGuard Home und Pi-hole
Nicht jedes DNS-Thema betrifft nur öffentliche Domains. Im internen Netz kann ein eigener DNS-Resolver viel Komfort bringen. Zwei häufige Self-Hosting-Lösungen sind AdGuard Home und Pi-hole. Beide filtern auf Wunsch Werbung, Telemetrie oder bekannte Tracking-Domains und geben Ihnen mehr Transparenz darüber, wohin Geräte im Netzwerk überhaupt auflösen wollen.
Für kleine Büros und Homelabs ist das attraktiv, weil sich damit zentrale Regeln definieren lassen. Einzelne Clients müssen dann nicht separat gepflegt werden. Zusätzlich können interne Hostnamen vergeben werden, was Verwaltung, Monitoring und Fehlersuche vereinfacht. Wichtig ist aber: Ein DNS-Blocker ersetzt keine Firewall und keine Segmentierung. Er ist ein Baustein, nicht die gesamte Sicherheitsstrategie. Dazu passt auch Firewall im KMU einrichten.
DNS-Sicherheit: DNSSEC, DoH und DoT
DNS war historisch nicht für moderne Bedrohungen gebaut. Deshalb gibt es Erweiterungen:
- DNSSEC signiert Antworten kryptografisch. So lässt sich prüfen, ob eine Antwort unterwegs manipuliert wurde.
- DoH steht für DNS over HTTPS. DNS-Anfragen werden über HTTPS transportiert.
- DoT steht für DNS over TLS. Auch hier wird die Verbindung verschlüsselt, aber über ein eigenes Protokoll.
Für Unternehmen ist vor allem wichtig, den Zweck zu unterscheiden. DNSSEC schützt die Integrität der Antwort. DoH und DoT schützen primär die Vertraulichkeit des Transportwegs. Das eine ersetzt also nicht automatisch das andere.
Auch Behörden warnen regelmäßig vor Manipulationen und Missbrauch rund um Namensauflösung und Domain-Infrastruktur. Das BSI empfiehlt in seinen technischen Leitfäden eine saubere Absicherung kritischer Internetdienste, und ENISA betont in mehreren Publikationen die Bedeutung belastbarer DNS- und Routing-Bausteine für Resilienz.
Was KMU konkret tun sollten
Für ein kleines Unternehmen muss DNS nicht kompliziert sein, aber bewusst betrieben werden. Ein guter Start sieht so aus:
- alle öffentlich genutzten Records dokumentieren
- TTL-Werte vor Änderungen planen
- Mail-bezogene DNS-Einträge gemeinsam betrachten
- internen und externen DNS sauber trennen
- bei wichtigen Domains DNSSEC prüfen
- einen verlässlichen Resolver im Firmennetz definieren
DNS ist eines dieser Systeme, das unauffällig wirkt, bis es Probleme macht. Wer es einmal sauber aufsetzt und dokumentiert, spart später enorm viel Zeit bei Migrationen, Fehlersuche und Sicherheitsfragen.