Wenn Sie schon einmal einen Sysadmin seufzen und „es liegt immer an DNS" murmeln gehört haben, war das kein Witz. Im Mai veröffentlichte die deutsche .de-Registry Denic eine fehlerhafte DNSSEC-Signatur und legte versehentlich große Teile des deutschen Internets für Stunden lahm. Große Marken, kleine Shops, E-Mail, Logins – alles weg, nicht weil die Server abgestürzt waren, sondern weil das Internet vorübergehend vergessen hatte, wo es sie finden sollte.
Das ist die beängstigende Magie von DNS. Wenn es funktioniert, bemerkt es niemand. Wenn es ausfällt, ist Ihre Website so gut wie nicht vorhanden. Die gute Nachricht? Sie müssen kein Netzwerktechniker sein, um sich zu schützen. Ein wenig Verständnis geht einen langen Weg, und bei TPC Hosting haben wir genug DNS-Dramen erlebt, um genau zu wissen, was den Unterschied zwischen einem 5-minütigen Ausrutscher und einem 5-stündigen Ausfall ausmacht.
Lassen Sie uns das in einfachen Worten erklären.
Was DNS eigentlich tut (und warum es so spektakulär ausfällt)
DNS – das Domain Name System – ist im Grunde das Telefonbuch des Internets. Wenn jemand yourwebsite.com in einen Browser eingibt, fragt sein Computer eine Kette von DNS-Servern: „Hey, was ist die IP-Adresse für diese Domain?" Sobald er eine Antwort erhält, stellt er eine Verbindung zu Ihrem Hosting-Server her. All das geschieht in Millisekunden, milliardenfach pro Tag.
Das Problem ist, dass dieses Telefonbuch nicht an einem Ort gespeichert ist. Es ist ein verteiltes System mit Registries (wie Denic für .de oder Verisign für .com), autoritativen Nameservern (wo die Einträge Ihrer Domain tatsächlich gespeichert sind) und Resolvern (den Lookup-Diensten, die Ihr ISP oder Browser verwendet). Ein Fehler auf irgendeiner Ebene – ein Tippfehler in einem Eintrag, eine abgelaufene Signatur, ein falsch konfigurierter Nameserver – kann sich ausbreiten und Ihre Website weltweit unerreichbar machen.
Der Denic-Vorfall ist ein Lehrbuchbeispiel: Eine fehlerhafte DNSSEC-Signatur auf Registry-Ebene führte dazu, dass Resolver mit DNSSEC-Validierung .de-Domains nicht mehr vertrauten. Die Websites selbst waren einwandfrei. Die Server liefen problemlos. Aber für die Außenwelt waren sie einfach verschwunden.
Die häufigsten DNS-Fehler von Website-Betreibern
Die meisten DNS-Ausfälle werden nicht von großen Registries verursacht – sie sind selbst verschuldet. Hier sind die Klassiker, die wir ständig sehen:
- Domain ablaufen lassen. Ja, immer noch der häufigste Grund für „meine Website ist down!"-Panik. Automatische Verlängerung ist Ihr Freund.
- Nameserver auf den falschen Ort zeigen lassen. Den Hosting-Anbieter wechseln und vergessen, die Nameserver zu aktualisieren – oder sie aktualisieren, bevor der neue Anbieter bereit ist – führt zu stundenlangem Ausfall.
- Einträge bearbeiten, die man nicht versteht. Einen MX-Eintrag zu löschen, weil „wir E-Mail auf dieser Domain nicht nutzen", ist der Weg, auf dem man herausfindet, dass man es doch getan hat.
- Absurd lange TTLs setzen. Ein 24-Stunden-TTL bedeutet, dass die Behebung eines Fehlers für manche Besucher einen vollen Tag dauert.
- Einen einzigen DNS-Anbieter ohne Backup verwenden. Wenn Ihr DNS-Host ausfällt, fallen Sie auch aus.
Keines davon erfordert tiefgreifende technische Kenntnisse, um es zu vermeiden. Man muss nur wissen, was man sich anschaut, bevor man auf „Speichern" klickt. Wenn Ihr DNS-Dashboard sich wie eine Fremdsprache anfühlt, ist das ein Zeichen dafür, entweder die Grundlagen zu erlernen oder zu einem Hosting-Anbieter (wie TPC Hosting) zu wechseln, bei dem der Support Sie durch Änderungen begleitet, bevor Sie sie vornehmen.
So bauen Sie ein DNS-Setup, das schlechte Tage übersteht
Sie können nicht jeden Ausfall verhindern – manchmal liegt das Problem bei der Registry, der TLD Ihres Landes oder sogar bei einem großen Resolver wie Googles 8.8.8.8. Aber Sie können Ihr Risiko mit ein paar klugen Gewohnheiten erheblich reduzieren.
Verwenden Sie einen zuverlässigen, bekannten DNS-Anbieter. Die günstigste Option ist nicht immer die sicherste. Achten Sie auf Anbieter mit Anycast-Netzwerken, mehreren globalen Standorten und einer nachgewiesenen Verfügbarkeit. Das integrierte DNS Ihres Hosting-Anbieters ist für kleine Websites in der Regel ausreichend, aber wenn Sie etwas Geschäftskritisches betreiben, sollten Sie einen dedizierten DNS-Dienst oder einen sekundären für Redundanz in Betracht ziehen.
Halten Sie Ihre TTLs vernünftig. Für die meisten Einträge ist ein TTL von 300–3600 Sekunden (5 Minuten bis 1 Stunde) eine gute Balance zwischen Leistung und Flexibilität. Wenn Sie Änderungen vornehmen möchten, senken Sie die TTLs einen Tag im Voraus, damit Aktualisierungen schneller weitergegeben werden.
Dokumentieren Sie Ihre DNS-Einträge. Machen Sie mindestens einmal im Jahr einen Screenshot oder exportieren Sie eine Zonendatei. Wenn etwas versehentlich gelöscht wird – durch Sie, einen Entwickler oder einen ehemaligen Mitarbeiter – werden Sie froh sein, eine Referenz zu haben. Bei TPC Hosting führen wir Aufzeichnungen über DNS-Konfigurationen unserer Kunden, sodass selbst Worst-Case-Szenarien wiederherstellbar sind.
Ihr DNS-Notfallwiederherstellungsplan
Ihre Domain wird also nicht mehr aufgelöst. Keine Panik, und fangen Sie nicht an, wahllos in Ihrem DNS-Panel herumzuklicken. Arbeiten Sie diese Schritte ruhig durch:
- Bestätigen Sie das Problem. Verwenden Sie Tools wie dnschecker.org, MXToolbox oder dig über die Befehlszeile, um zu sehen, was tatsächlich zurückgegeben wird. Ist die Domain nicht auflösbar, oder zeigt sie auf die falsche IP?
- Überprüfen Sie Ihren Registrar. Ist die Domain noch aktiv? Sind die Nameserver korrekt?
- Überprüfen Sie die Registry. Wenn eine gesamte TLD ausgefallen ist (wie beim Denic-Vorfall), können Sie nichts tun als abzuwarten – und Ihre Nutzer über soziale Medien oder eine Statusseite zu informieren.
- Machen Sie kürzliche Änderungen rückgängig. Wenn Sie in den letzten 48 Stunden Einträge bearbeitet haben, ist das Ihr Hauptverdächtiger.
- Rufen Sie den Support an. Ein guter Hosting-Anbieter kann DNS-Probleme in Minuten diagnostizieren. Das ist genau die Art von Aufgabe, die das TPC Hosting-Support-Team täglich bearbeitet.
Die wichtigste Lektion aus Ausfällen wie dem von Denic ist, dass Kommunikation genauso wichtig ist wie die Wiederherstellung. Richten Sie eine Statusseite, ein Twitter/Mastodon-Konto oder zumindest eine Notfall-E-Mail-Liste ein, damit Sie Kunden informieren können, was passiert, wenn Ihre Hauptkanäle ausgefallen sind.
Häufig gestellte Fragen
Schnelle Antworten auf die Fragen, die wir am häufigsten hören.
FAQ
Wie lange dauert es, bis DNS-Änderungen weitergegeben werden?
Das hängt von Ihren TTL-Einstellungen ab, aber die meisten Änderungen werden innerhalb von 5 Minuten bis zu ein paar Stunden weitergegeben. Ältere oder falsch konfigurierte Resolver können bis zu 48 Stunden benötigen, weshalb es eine kluge Maßnahme ist, TTLs vor einer geplanten Änderung zu senken.
Sollte ich DNSSEC für meine Domain aktivieren?
Für die meisten Websites kleiner Unternehmen erhöht DNSSEC die Sicherheit, fügt aber auch Komplexität hinzu – und wie der Denic-Vorfall gezeigt hat, können Fehler auf Registry-Ebene große Ausfälle verursachen. Wenn Sie sensible Transaktionen abwickeln, lohnt sich DNSSEC. Andernfalls sollten Sie mit einem Hosting-Anbieter zusammenarbeiten, der es korrekt in Ihrem Auftrag verwaltet.
Was ist der Unterschied zwischen meinem Domain-Registrar und meinem DNS-Anbieter?
Ihr Registrar ist das Unternehmen, bei dem Sie die Domain gekauft haben. Ihr DNS-Anbieter ist derjenige, der tatsächlich die Einträge hostet, die dem Internet mitteilen, wo Ihre Website zu finden ist. Die beiden sind oft dasselbe Unternehmen, müssen es aber nicht sein – und viele Websites nutzen separate Anbieter für Redundanz.
