Das Domain Name System (DNS) sorgt dafür, dass Nutzer eine Domain in den Browser eingeben können und die ge­wünsch­te Website erreichen. Ei­gent­lich kom­mu­ni­zie­ren die Netz­teil­neh­mer nämlich über IP-Adressen. Da diese aber mehr als sperrig sind, gibt man nur den Namen der Website ein und lässt diesen au­to­ma­tisch in die Zif­fern­fol­ge über­set­zen. Wie funk­tio­niert diese Über­set­zung?

Was sind DNS-Records?

Wenn man eine In­ter­net­adres­se in den Browser eingibt, muss das System erst nach­schla­gen, welche IP-Adresse zu dieser Domain gehört. Dies geschieht manchmal bereits im Speicher des eigenen Computers, oft bei den Da­ten­ban­ken des In­ter­net­an­bie­ters oder anderen DNS-Servern und im Zwei­fels­fall über einen der großen Root­ser­ver, die als au­to­ri­tä­re Instanzen über das ganze Domain Name System wachen. Um eine Na­mens­auf­lö­sung durch­zu­füh­ren, muss in den Da­ten­ban­ken der DNS- bzw. Name­ser­ver nach DNS-Einträgen gesucht werden, den so­ge­nann­ten DNS-Records oder Resource Records. Hier ist jeder (dem Server bekannten) IP-Adresse ein Domain-Name zu­ge­ord­net.

Das DNS ist hier­ar­chisch und dezentral aufgebaut. Auf jeder Ebene gibt es Server, die für ihren so­ge­nann­ten Na­mens­raum zuständig sind. Dies bedeutet, dass der Root­ser­ver bei der Recherche nach der IP-Adresse für www.example.com nur insofern hilft, als er weiß, welcher Server für die Top-Level-Domain (TLD) .com ver­ant­wort­lich ist. So werden die einzelnen Ebenen durch­lau­fen, um die Na­mens­auf­lö­sung durch­zu­füh­ren. Das bedeutet: Die IP-Adresse des ei­gent­li­chen Web- oder Mail­ser­vers liegt schließ­lich beim Host selbst. Deshalb ist es für Betreiber von Websites wichtig, das Konzept der Resource Records zu verstehen.

Kos­ten­lo­ses DNS Hosting
Top Website-La­de­zei­ten mit kos­ten­lo­sem DNS
  • Schnel­le­re Domain-Auflösung für op­ti­mier­te La­de­zei­ten
  • Zu­sätz­li­cher Schutz gegen Ausfälle und Un­ter­bre­chun­gen
  • Kein Domain-Umzug notwendig

Wie funk­tio­nie­ren DNS-Records?

DNS-Einträge befinden sich in erster Linie in Zo­nen­da­tei­en. Im DNS-Kontext be­zeich­net eine Zone einen or­ga­ni­sa­to­ri­schen Bereich. Es ist möglich, dass eine Domain aus einer einzigen Zone besteht. Gerade um­fang­rei­che Domains sind aber oft in mehrere Zonen auf­ge­teilt. Jeder DNS-Server ist für eine Zone zuständig. Möchte ein Client also eine bestimmte Domain aufrufen, guckt der bzw. die DNS-Server in den Zo­nen­da­tei­en nach den ent­spre­chen­den Einträgen und leitet die Anfrage so lange an einen tie­fer­lie­gen­den Server weiter, bis das end­gül­ti­ge Ziel erreicht ist.

Syntax der DNS-Einträge

Resource Records sind nach einem einfachen System aufgebaut und in ASCII kodiert. Für jeden DNS-Record existiert eine eigene Zeile. Die Einträge folgen in der Regel folgendem Format:

<name> <ttl> <class> <type> <rdlength> <radata>

Die je­wei­li­gen In­for­ma­tio­nen werden durch ein Leer­zei­chen von­ein­an­der getrennt, wobei manche Angaben nur optional sind. In be­stimm­ten Ein­trags­ty­pen kommen noch weitere Felder vor. Wofür stehen aber die wich­tigs­ten Record-Felder?

  • <name>: Der Name der Domain ist das, was der Nutzer z. B. in seinen Browser eingibt.
  • <ttl>: TTL steht für „Time to live“ und be­zeich­net die Zeit (in Sekunden), die ein Eintrag im Cache zwi­schen­ge­spei­chert werden darf. Nach Ablauf der Zeit kann nicht si­cher­ge­stellt werden, dass der Resource Record noch aktuell ist. Die Angabe ist optional.
  • <class>: Theo­re­tisch gibt es ver­schie­de­ne Klassen für DNS-Records, praktisch beziehen die Einträge sich aber immer auf das Internet (als IN ge­kenn­zeich­net), weshalb auch diese Angabe optional ist.
  • <type>: In einer Zo­nen­da­tei kommen ver­schie­de­ne Typen von Resource Records vor (mehr dazu s. u.).
  • <rdlength>: Dieses optionale Feld gibt an, welchen Umfang das an­schlie­ßen­de Datenfeld hat.
  • <rdata>: Resource Data sind die In­for­ma­tio­nen, nach denen man den Namen der Domain auflösen möchte, bei­spiels­wei­se die IP-Adresse.

Der DNS-Eintrag für den Webserver von example.com sieht daher so aus:

www.example.com. 12879 IN A 93.184.216.34

Ein Client kann den Eintrag für 12.879 Sekunden (knapp drei­ein­halb Stunden) im Cache speichern, bevor die In­for­ma­ti­on erneut vom DNS-Server angefragt werden muss. Es handelt sich um einen DNS-Record im Internet (IN) und einen Typ-A-Eintrag (A). Aufgelöst wird die Domain auf eine IP-Adresse.

Es ist noch eine weitere Notation möglich:

$TTL 12879
$ORIGIN example.com.
www A 93.184.216.34

Diese Schreib­wei­se ver­deut­licht, dass der Rechner mit dem Namen www Teil der Domain example.com ist. Auf diese Weise lassen sich auch weitere Rechner wie mail oder ftp unter der Origin-Domain un­ter­brin­gen.

Hinweis

Der Name einer Domain endet (oder ei­gent­lich: beginnt, da man von rechts nach links geht) mit einem Punkt. In DNS-Records werden Fully Qualified Domain Names (FQDN) verwendet, in denen auch das Root-Label vorkommt, das al­ler­dings leer ist. Es steht prin­zi­pi­ell hinter dem Punkt.

Die wich­tigs­ten DNS-Record-Typen

Ein Record-Typ bestimmt, welche Art von In­for­ma­ti­on sich in dem Eintrag befindet. Neben der Auflösung von Domain-Namen nach IP-Adressen haben DNS-Records noch weitere Funk­tio­nen.

A-Record

Über den Typ A-Record findet der größte Teil der Na­mens­auf­lö­sun­gen im Internet statt. In seinem Datenfeld befindet sich eine IPv4-Adresse. Über diese Einträge ist es bei­spiels­wei­se möglich, dass In­ter­net­nut­zer einen Domain-Namen in den Browser eintragen und der Client eine HTTP-Anfrage an die ent­spre­chen­de IP-Adresse sendet. Da eine IPv4-Adresse immer eine Größe von 4 Byte hat, ist auch der Wert unter rdlength immer 4, falls er angegeben wird.

AAAA-Record

Ein AAAA-Record, auch als „quad-A“ bekannt, funk­tio­niert genau wie der A-Record, nutzt aber statt einer IPv4-Adresse eine IPv6-Adresse zum Auflösen des Namens. Da IPv6 eine Länge von 128 Bit bzw. 16 Byte hat, ist auch hier die Länge des Da­ten­fel­des fest vor­ge­ge­ben. Die Be­zeich­nung AAAA geht darauf zurück, dass das Datenfeld die vierfache Länge von dem in einem A-Record hat.

SOA-Record

SOA steht für Start of Authority. Die Einträge dieses Typs enthalten In­for­ma­tio­nen zur Zone, die durch die Zo­nen­da­tei bzw. den DNS-Server or­ga­ni­siert wird. Dies ist u. a. wichtig beim Zo­nen­trans­fer: Bei diesem werden Zo­nen­da­tei­en auf weitere Server ge­spie­gelt, um Ausfälle zu ver­hin­dern. Der Zo­nen­trans­fer regelt die re­gel­mä­ßi­ge Ver­brei­tung der Ori­gi­nal­da­tei. In einem solchen DNS-Record ist neben der Mail­adres­se des ver­ant­wort­li­chen Ad­mi­nis­tra­tors daher auch eine Se­ri­en­num­mer hin­ter­legt. Diese steigt mit jedem Update der Datei. Hier erfahren Sie mehr über den SOA-Record.

CNAME-Record

Unter einem CNAME-Record (Canonical-Name-Record) findet man einen Alias, also einen zu­sätz­li­chen Namen, zu einer Domain. Dabei verweist der Eintrag dann auf einen be­stehen­den A- oder AAAA-Record. Das Feld rdata ist bei diesem Typ demnach mit einem Domain-Namen gefüllt, der zuvor in der Datei mit einer IP-Adresse verknüpft wurde. Auf diese Weise können ver­schie­de­ne Adressen auf den gleichen Server verweisen.

MX-Record

Ein MX-Record bezieht sich auf einen Mail Exchange, bzw. einen SMTP-E-Mail-Server. Hier werden ein oder mehrere E-Mail-Server definiert, die zu der ent­spre­chen­den Domain gehören. Wenn man mehrere Mail­ser­ver verwendet, um bei­spiels­wei­se einen Ausfall zu kom­pen­sie­ren, gibt man ver­schie­de­ne Prio­ri­täts­stu­fen an. Auf diese Weise weiß das DNS, in welcher Rei­hen­fol­ge die Kon­takt­ver­su­che ablaufen sollen.

PTR-Record

Der PTR-Record (Pointer) ist ein DNS-Record, der einen Reverse-Lookup zulässt. Hierüber kann der DNS-Server auch Auskunft darüber geben, welche Hostnamen zu einer be­stimm­ten IP-Adresse gehören. Zu jeder IP-Adresse, die in A- oder AAAA-Records verwendet wird, existiert demnach auch ein PTR-Record. Die IP-Adresse wird hierbei in um­ge­kehr­ter Rei­hen­fol­ge aufgebaut und zudem mit dem Namen einer Zone versehen.

NS-Record

Im NS-Record, dem Name­ser­ver-Eintrag einer Zo­nen­da­tei, ist die Zu­stän­dig­keit für eine spe­zi­fi­sche Zone geklärt. Deshalb ist dieser Eintrag ob­li­ga­to­risch für jede Zo­nen­da­tei. Dieser Resource Record gibt dem DNS-Server Auskunft darüber, ob er für die Anfrage zuständig ist, er also die be­tref­fen­de Zone or­ga­ni­siert, oder an wen er die Anfrage wei­ter­zu­lei­ten hat.

TXT-Record

Der TXT-Record enthält Text, der entweder für mensch­li­che Nutzer als In­for­ma­ti­ons­quel­le gedacht ist oder ma­schi­nen­les­ba­re In­for­ma­tio­nen enthält. Dieser DNS-Eintrag gibt einem Ad­mi­nis­tra­tor die Mög­lich­keit, un­struk­tu­rier­ten Text (im Gegensatz zu den struk­tu­rier­ten Daten der anderen DNS-Records) un­ter­zu­brin­gen. Dazu können z. B. auch Details über das Un­ter­neh­men gehören, das hinter der Domäne steht.

SRV-Record

Über den SRV-Record kann ein Server über weitere Services (SRV) in­for­mie­ren. Dazu wird der Dienst inklusive Port, an dem man diesen erreichen kann, angegeben. Zu­sätz­lich ist das ver­wen­de­te Protokoll Teil der Na­mens­nen­nung. Über den DNS-Eintrag kann ein Client bei­spiels­wei­se In­for­ma­tio­nen zu LDAP- oder XMPP-Diensten erhalten.

LOC-Record

Über den LOC-Record kann man den Standort des phy­si­ka­li­schen Servers be­kannt­ge­ben. Dafür stehen am Ende des Eintrags Brei­ten­grad, Län­gen­grad, Höhe über dem Mee­res­spie­gel sowie eine Feh­ler­ab­wei­chung.

Tipp

Erfahren Sie mehr zum Thema "Was ist DNS-Pro­pa­ga­ti­on".

Zo­nen­da­tei

In der Zo­nen­da­tei (einer simplen Textdatei) sind alle DNS-Records auf­ge­lis­tet. Damit die Daten korrekt ver­ar­bei­tet werden können, müssen bestimmte Vorgaben ein­ge­hal­ten werden. Ansonsten kann das DNS nicht funk­tio­nie­ren und der Client erhält die Feh­ler­mel­dung SERVFAIL. Deshalb hält man sich auch an einen spe­zi­el­len Aufbau: Zunächst wird der Name der Zone angegeben und dann in vielen Fällen die TTL. Die Zeit­an­ga­be direkt hier un­ter­zu­brin­gen, hat den Vorteil, dass in den einzelnen Resource Records die Angabe weg­ge­las­sen werden kann. Die TTL gilt dann global für die ganze Zone.

$ORIGIN example.com.
$TTL 12879

Der erste DNS-Eintrag ist ein SOA-Record. Ohne diesen ist eine funk­tio­nie­ren­de Zo­nen­da­tei nicht möglich. Umgekehrt gilt: Eine Zo­nen­da­tei ist auch dann gültig, wenn aus­schließ­lich der SOA-Record vorhanden ist. An­schlie­ßend kommen erst Einträge zu den Name­ser­vern und dann die A- und AAAA-Einträge.

Möchte man Kom­men­ta­re in der Datei un­ter­brin­gen, um z. B. anderen Ad­mi­nis­tra­to­ren die Arbeit zu er­leich­tern, verwendet man Se­mi­ko­lons. Am Ende einer Zeile kann man so In­for­ma­tio­nen zu einem DNS-Record machen, ohne dass der Server den Text ver­ar­bei­tet. Um die Einträge zu struk­tu­rie­ren, lassen sich Leer­zei­len einbauen. Auch diese werden vom System beim Auslesen einfach ignoriert. Pro Eintrag nutzt man eine Zeile; ein Zei­len­um­bruch schließt den Eintrag ab. Will man al­ler­dings einen Eintrag über mehrere Zeilen laufen lassen, setzt man Klammern.

Alle DNS-Record-Typen im Überblick

Neben den vor­ge­stell­ten gibt es noch viele weitere mögliche Resource-Record-Typen, die man in Zo­nen­da­tei­en finden kann – wenn auch nicht allzu häufig. Die folgende Tabelle stellt alle Typen vor und gibt einen kurzen Einblick in die Funk­tio­nen.

Hinweis

Die Internet Assigned Numbers Authority (IANA), die u. a. auch für die Vergabe von IP-Adressen zuständig ist, hat jedem DNS-Record-Typen einen Wert (quasi eine Iden­ti­fi­ka­ti­ons­num­mer) zu­ge­wie­sen.

Wert Typ Be­schrei­bung
1 A Address gibt die IPv4-Adresse eines Hosts an.
2 NS Name­ser­ver klärt die Autorität einer Zone.
3 MD Mail De­sti­na­ti­on wurde durch den MX-Record ersetzt (obsolet).
4 MF Mail Forwarder wurde durch den MX-Record ersetzt (obsolet).
5 CNAME Canonical Name definiert einen Alias.
6 SOA Start of Authority gibt Details über die Zone bekannt.
7 MB Mailbox Domain Name ist ex­pe­ri­men­tell.
8 MG Mail Group Member ist ex­pe­ri­men­tell.
9 MR Mail Rename Domain Name ist ex­pe­ri­men­tell.
10 NULL Null Resource ist ex­pe­ri­men­tell.
11 WKS Well Known Service wurde für die Mail­wei­ter­lei­tung verwendet (in­zwi­schen obsolet).
12 PTR Pointer ist für den Reverse-Lookup gedacht.
13 HINFO Host In­for­ma­ti­on liefert Hardware- und Software-Details des Hosts.
14 MINFO Mailbox In­for­ma­ti­on ist ex­pe­ri­men­tell.
15 MX Mail Exchange ordnet E-Mail-Servern eine Domain zu.
16 TXT Text bietet die Mög­lich­keit, zu­sätz­li­chen Text ein­zu­tra­gen.
17 RP Re­spon­si­ble Person liefert In­for­ma­tio­nen zu Ver­ant­wort­li­chen.
18 AFSDB AFS Database ist speziell für AFS Clients gedacht.
19 X25 X.25 PSDN Address liefert Details zur Ein­kap­se­lung via X.25 (obsolet).
20 ISDN Eintrag ordnet dem DNS-Namen eine ISDN-Nummer zu (obsolet).
21 RT Route Through Record bietet Route-through Binding ohne WAN-Adresse (obsolet).
22 NSAP Eintrag er­mög­licht Zuordnung von Domain-Namen zu Network Service Access Points (obsolet).
23 NSAP-PTR NSAP Pointer wurde durch PTR ersetzt (obsolet).
24 SIG Signature wurde durch RRSIG ersetzt (obsolet).
25 KEY Key wurde durch IPSECKEY ersetzt (obsolet).
26 PX Pointer to X.400 gibt MIXER-Mapping-Regeln an (obsolet).
27 GPOS Geo­gra­phi­cal Position wurde durch LOC ersetzt (obsolet).
28 AAAA AAAA liefert die IPv6-Adresse eines Hosts.
29 LOC Location enthält In­for­ma­tio­nen zum Standort.
30 NXT Next wurde durch NSEC ersetzt (obsolet).
31 EID Endpoint Iden­ti­fier ist für Nimrod Routing Ar­chi­tec­tu­re gedacht (obsolet).
32 NIMLOC Nimrod Locator ist für Nimrod Routing Ar­chi­tec­tu­re gedacht (obsolet).
33 SRV Service Locator in­for­miert über weitere Dienste.
34 ATMA ATM Address liefert In­for­ma­tio­nen im Kontext des Asyn­chro­no­us Transfer Modes (obsolet).
35 NAPTR Naming Authority Pointer ist eine Er­wei­te­rung des A-Records, die Such­mus­ter (reguläre Ausdrücke) zulässt.
36 KX Key Exchanger er­mög­licht Schlüs­sel­ma­nage­ment für Kryp­to­gra­fie.
37 CERT Cert speichert Zer­ti­fi­ka­te.
38 A6 A6 wurde durch AAAA ersetzt.
39 DNAME De­le­ga­ti­on Name gibt Aliasse für komplette Domains an.
40 SINK Kitchen Sink er­mög­licht das Speichern von un­ter­schied­li­chen Daten (obsolet).
41 OPT Option ist ein Pseudo-Record im Kontext von DNS-Er­wei­te­rungs­me­cha­nis­men (EDNS).
42 APL Address Prefix List listet Adress­be­rei­che im CIDR-Format auf.
43 DS De­le­ga­ti­on Signer iden­ti­fi­ziert DNSSEC-signierte Zonen.
44 SSHFP SSH Public Key Fin­ger­print ver­öf­fent­licht den Fin­ger­print für SSH-Schlüssel.
45 IPSECKEY IPsec Key enthält einen Schlüssel für IPsec.
46 RRSIG RR Signature enthält eine digitale Un­ter­schrift für DNSSEC.
47 NSEC Next Secure verkettet signierte Zonen in DNSSEC.
48 DNSKEY DNS Key enthält einen Public Key für DNSSEC.
49 DHCID DHCP Iden­ti­fier verknüpft Domain-Namen mit DHCP-Clients.
50 NSEC3 Next Secure 3 ist eine Al­ter­na­ti­ve zu NSEC.
51 NSEC3PARAM Dieser Eintrag enthält Parameter für NSEC3.
52 TLSA Dieser Eintrag erstellt eine TLSA Cer­ti­fi­ca­te As­so­cia­ti­on mit einem Domain-Namen im Rahmen von DANE.
53 SMIMEA Dieser Eintrag erstellt eine S/MIME Cer­ti­fi­ca­te As­so­cia­ti­on mit einem Domain-Namen.
54 n/a Nicht zu­ge­wie­sen
55 HIP Host Identity Protocol trennt End­punkt­kenn­zeich­nung und Or­tungs­funk­tio­nen von IP-Adressen.
56 NINFO NINFO liefert In­for­ma­tio­nen zum Status der Zone (iden­ti­scher Aufbau zu TXT; obsolet).
57 RKEY RKEY speichert Schlüssel (iden­ti­scher Aufbau zu KEY und DNSKEY; obsolet).
58 TALINK Trust Anchor Link verbindet zwei Domain-Namen (obsolet).
59 CDS Child DS ist eine Kindkopie eines DS-Records.
60 CDNSKEY Child DNSKEY ist eine Kindkopie eines DNSKEY-Records.
61 OPENPGPKEY OpenPGP Key ver­öf­fent­licht Public Keys.
62 CSYNC Child-to-Parent Syn­chro­niza­ti­on er­mög­licht den Abgleich von Eltern- und Kindzonen (obsolet).
63 ZONEMD Message Digest for DNS Zone ist ex­pe­ri­men­tell (obsolet).
64–98 n/a Nicht zu­ge­wie­sen.
99 SPF Sender Policy Framework wurde durch den TXT-Record ersetzt (obsolet).
100 UINFO Re­ser­viert.
101 UID Re­ser­viert.
102 GID Re­ser­viert.
103 UNSPEC Re­ser­viert.
104 NID NodeID ist ex­pe­ri­men­tell.
105 L32 32-bit Locator ist ex­pe­ri­men­tell.
106 L64 64-bit Locator ist ex­pe­ri­men­tell.
107 LP Locator Pointer ist ex­pe­ri­men­tell.
108 EUI48 48-bit Extended Unique Iden­ti­fier ver­schlüs­selt Adressen.
109 EUI64 64-bit Extended Unique Iden­ti­fier ver­schlüs­selt Adressen.
110–248 n/a Nicht zu­ge­wie­sen.
249 TKEY Tran­sac­tion Key er­mög­licht den Austausch von Secret Keys.
250 TSIG Tran­sac­tion Signature dient der Au­then­ti­fi­zie­rung.
251 IXFR In­cre­men­tal Zone Transfer er­mög­licht es, Teile einer Zo­nen­da­tei auf einem zweiten Server zu ak­tua­li­sie­ren (obsolet).
252 AXFR AFXR überträgt einen komplette Zo­nen­da­tei auf einen zweiten Server (obsolet).
253 MAILB Mailbox erfragt Einträge rund um eine Mailbox (obsolet).
254 MAILA Mail Agent wurde durch den MX-Record ersetzt (obsolet).
255 * * erfragt alle Einträge (obsolet).
256 URI Uniform Resource Iden­ti­fier ver­öf­fent­licht die Zuordnung von Hostnamen zu URIs.
257 CAA Cer­ti­fi­ca­te Authority Aut­ho­riza­ti­on spe­zi­fi­ziert die möglichen CAs für eine Domain.
258 AVC Ap­pli­ca­ti­on Vi­si­bi­li­ty and Control enthält An­wen­dungs­me­ta­da­ten für DNS-AS (obsolet).
259 DOA DOA ist nicht mehr aktiv (obsolet).
260 AMTRELAY Automatic Multicast Tunneling Relay er­mög­licht das Finden von AMT Relays (obsolet).
261–32767 n/a Nicht vergeben.
32768 TA DNSSEC Trust Aut­ho­ri­ties er­mög­licht DNSSEC ohne Signed Root.
32769 DLV DNSSEC Lookaside Va­li­da­ti­on ver­öf­fent­licht Trust Anchors abseits der normalen DNS-Kette.
32770–65279 n/a Nicht zu­ge­wie­sen.
65280–65534 n/a Für privaten Gebrauch.
65535 n/a Re­ser­viert.
Domain kaufen
Re­gis­trie­ren Sie Ihre perfekte Domain
  • Inklusive 1 SSL-Wildcard-Zer­ti­fi­kat pro Vertrag
  • Inklusive Domain Lock
  • Inklusive Domain Connect für einfache DNS-Ein­rich­tung
Zum Hauptmenü