Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreibfwmzrb3kdobjubn7kecj33qpzre3cisfbgu52slw6eavwxrpah4",
    "uri": "at://did:plc:4hfnzpcvsy5k3uwjqhaynx45/app.bsky.feed.post/3mm243l2tkwk2"
  },
  "description": "DNS ist diese unsichtbare Internettechnik, die niemand beachtet, solange alles funktioniert. Sobald sie wackelt, sieht das Netz aus wie ein schlecht gewartetes Firmen-Intranet mit Existenzkrise.",
  "path": "/dns-das-telefonbuch-des-internets-das-alle-erst-bemerken-wenn-es-brennt/",
  "publishedAt": "2026-05-17T10:00:07.000Z",
  "site": "https://codeundkram.de",
  "tags": [
    "@1.1.1.1",
    "@8.8.8.8"
  ],
  "textContent": "**Inhaltsverzeichnis**\n\n  1. Warum DNS überhaupt existiert\n  2. Namen sind für Menschen, Zahlen für Maschinen\n  3. Was passiert, wenn du eine Website aufrufst\n  4. Resolver, Root-Server und andere Wesen aus dem Maschinenraum\n  5. Warum DNS so oft „schuld“ ist\n  6. Cache: Segen, Fluch und „bei mir geht’s noch“\n  7. TTL: Die Eieruhr des Internets\n  8. DNSSEC: Sicherheit, die manchmal aussieht wie Totalschaden\n  9. Pi-hole, Unbound und der kleine DNS-Gott im Heimnetz\n  10. Warum DNS-Ausfälle so unangenehm sind\n  11. Was man selbst prüfen kann\n  12. Fazit: DNS ist langweilig. Bis es das nicht mehr ist.\n\n\n\n* * *\n\n## 1. Warum DNS überhaupt existiert\n\nDas Internet ist im Kern ziemlich dumm.\n\nNicht böse gemeint. Eher technisch.\n\nComputer reden nicht gern über schöne Namen. Sie mögen Zahlen. Adressen. Pakete. Routen. Dinge, die aussehen, als hätte jemand beim Tippen kurz aufgegeben.\n\nMenschen dagegen sind schlecht darin, sich Zahlenkolonnen zu merken. Wir merken uns schon kaum, wo wir das Ladekabel hingelegt haben. Jetzt noch IP-Adressen für jede Website? Nein danke.\n\nDeshalb gibt es DNS.\n\nDNS steht für **Domain Name System**.\n\nKlingt trocken. Ist es auch. Aber eben auf diese wichtige Art trocken, wie Bremsflüssigkeit, Sicherungskasten oder Steuererklärung. Keiner will sich damit beschäftigen, aber wenn es nicht funktioniert, wird der Tag sehr schnell sehr schlecht.\n\nDNS übersetzt Namen in Adressen.\n\nDu tippst:\n\n\n    codeundkram.de\n\n\nDein Computer braucht aber eine IP-Adresse, also zum Beispiel irgendetwas wie:\n\n\n    188.246.8.8\n\n\noder im modernen IPv6-Gewand etwas, das aussieht, als wäre eine Katze über die Tastatur gelaufen:\n\n\n    2a02:a00:f015:7774:6e62:6700:8b17:cafe\n\n\nDNS ist also grob gesagt das Telefonbuch des Internets.\n\nNur dass dieses Telefonbuch weltweit verteilt ist, sich ständig ändert, zwischengespeichert wird, verschiedene Zuständigkeiten hat, kryptografisch signiert sein kann und bei Problemen dafür sorgt, dass Menschen mit glasigen Augen `dig` in ein Terminal tippen.\n\nAlso wie ein Telefonbuch, nur mit mehr Nervenzusammenbruch.\n\n* * *\n\n## 2. Namen sind für Menschen, Zahlen für Maschinen\n\nWenn du eine Website aufrufst, denkst du:\n\n> Ich gehe auf eine Website.\n\nDein Computer denkt:\n\n> Ich brauche eine IP-Adresse, um TCP/IP-Pakete an ein Ziel zu schicken, dann TLS auszuhandeln, HTTP zu sprechen und anschließend irgendeinen JavaScript-Zirkus auszuliefern, der mir erst mal ein Cookie-Banner ins Gesicht wirft.\n\nRomantisch ist anders.\n\nDer Domainname ist nur der menschenfreundliche Teil. Also das Schild an der Tür.\n\nDie IP-Adresse ist der tatsächliche Ort, an den Datenpakete geschickt werden.\n\nOhne DNS müsstest du dir merken, welche IP-Adresse zu welcher Website gehört. Das wäre ungefähr so praktikabel wie ein Supermarkt ohne Produktnamen, in dem alles nur noch Lagerplatznummern hat.\n\n> „Schatz, bringst du bitte 172.16.8.12 mit?“\n> „Meinst du Milch?“\n> „Nein, das war letzte Woche. Die hat jetzt 172.16.9.4.“\n\nDNS verhindert genau diesen Wahnsinn.\n\nMeistens.\n\n* * *\n\n## 3. Was passiert, wenn du eine Website aufrufst\n\nNehmen wir an, du tippst `www.example.de` in deinen Browser.\n\nDann passiert ungefähr Folgendes:\n\nDein Browser schaut zuerst nach, ob er die Adresse schon kennt. Browser sind kleine Datenhamster. Wenn sie etwas schon einmal gesehen haben, behalten sie es gern kurz im Speicher.\n\nWenn der Browser nichts findet, fragt er das Betriebssystem.\n\nWenn das Betriebssystem nichts findet, fragt es den eingestellten DNS-Resolver. Das kann dein Router sein, dein Provider, Google DNS, Cloudflare, Quad9, dein eigener Unbound im Homelab oder irgendeine kreative Kombination, die du nachts um 01:17 Uhr gebaut hast und später bereust.\n\nDer Resolver macht dann die eigentliche Arbeit.\n\nEr fragt sich durch die DNS-Hierarchie:\n\n\n    Wer ist für .de zuständig?\n    Wer ist für example.de zuständig?\n    Welche IP-Adresse gehört zu www.example.de?\n\n\nAm Ende bekommt dein Rechner eine Antwort.\n\nDann kann der Browser die Verbindung herstellen.\n\nDann lädt die Seite.\n\nDann kommt ein Cookie-Banner.\n\nDann fragt dich ein Popup nach dem Newsletter.\n\nDann möchtest du das Internet wieder abschaffen.\n\n* * *\n\n## 4. Resolver, Root-Server und andere Wesen aus dem Maschinenraum\n\nDNS ist hierarchisch aufgebaut.\n\nGanz oben stehen die **Root-Server**.\n\nDie wissen nicht jede einzelne Website auswendig. Sie wissen eher, wer für die obersten Namensbereiche zuständig ist. Also zum Beispiel `.de`, `.com`, `.org` und so weiter.\n\nFür `.de` ist dann die entsprechende Registry zuständig. Bei deutschen Domains ist das die DENIC.\n\nDie sagt dem Resolver, welche Nameserver für eine bestimmte Domain zuständig sind.\n\nDiese autoritativen Nameserver liefern dann die eigentlichen Antworten.\n\nAlso:\n\n\n    www.example.de hat diese IP-Adresse.\n    mail.example.de ist für Mail zuständig.\n    Diese Domain nutzt diese Nameserver.\n\n\nDas klingt komplizierter, als es im Alltag wirkt. Normalerweise läuft das in Millisekunden.\n\nMan merkt nichts.\n\nBis man etwas merkt.\n\nUnd dann merkt man sehr viel.\n\n* * *\n\n## 5. Warum DNS so oft „schuld“ ist\n\nWenn irgendwas im Internet nicht funktioniert, sagt irgendwer sehr schnell:\n\n> Ist bestimmt DNS.\n\nUnd das Gemeine ist: Oft stimmt es.\n\nDNS ist nicht immer wirklich schuld, aber DNS ist sehr oft beteiligt. Es steht an einer so frühen Stelle der Verbindung, dass viele Fehler aussehen wie DNS-Probleme.\n\nWebsite lädt nicht?\n\nKann DNS sein.\n\nMail kommt nicht an?\n\nKann DNS sein.\n\nZertifikat passt nicht?\n\nKann mit DNS zusammenhängen.\n\nInterner Dienst nicht erreichbar?\n\nDNS.\n\nVPN geht, aber nichts löst auf?\n\nDNS.\n\nNeue Website ist online, aber nur bei manchen?\n\nDNS-Cache.\n\nDu hast alles richtig gemacht, aber es funktioniert trotzdem nicht?\n\nDNS lacht leise im Hintergrund.\n\nEs gibt diesen alten Admin-Spruch:\n\n> It’s always DNS.\n\nDas ist natürlich übertrieben.\n\nAber eben nur knapp.\n\n* * *\n\n## 6. Cache: Segen, Fluch und „bei mir geht’s noch“\n\nDNS wäre viel zu langsam, wenn jede Anfrage immer komplett von oben nach unten durch die ganze Hierarchie laufen müsste.\n\nAlso wird zwischengespeichert.\n\nÜberall.\n\nBrowser speichern. Betriebssysteme speichern. Router speichern. Provider speichern. Resolver speichern. Manchmal speichern auch Dinge, die man nie gebeten hat, irgendwas zu speichern, aber sie tun es trotzdem, weil Caching im Internet ungefähr so beliebt ist wie Kaffee in Büros.\n\nCaching ist gut.\n\nEs macht DNS schnell.\n\nEs reduziert Last.\n\nEs sorgt dafür, dass nicht jede Anfrage die komplette DNS-Kette durchprügeln muss.\n\nAber Caching sorgt auch für diese schönen Situationen:\n\n> „Bei mir geht die neue IP schon.“\n> „Bei mir nicht.“\n> „Bei meinem Handy geht’s.“\n> „Im WLAN nicht.“\n> „Über Mobilfunk schon.“\n> „Beim Kunden ist noch die alte Seite.“\n> „Beim Chef ist gar nichts, aber der klickt auch auf alles.“\n\nDann beginnt der Tanz.\n\nCache leeren. Resolver wechseln. Warten. Fluchen. Nochmal testen.\n\nCaching ist also Segen und Fluch zugleich.\n\nWie Kaffee.\n\nOder automatische Updates.\n\n* * *\n\n## 7. TTL: Die Eieruhr des Internets\n\nJeder DNS-Eintrag hat eine sogenannte **TTL**.\n\nTTL steht für **Time To Live**.\n\nDas ist die Zeit, wie lange ein DNS-Resolver eine Antwort zwischenspeichern darf.\n\nEine TTL von 3600 bedeutet: eine Stunde.\n\nEine TTL von 300 bedeutet: fünf Minuten.\n\nEine TTL von 86400 bedeutet: ein Tag.\n\nWenn du eine Website umziehst und vorher die TTL runtersetzt, kannst du Änderungen schneller verteilen. Wenn du das vergisst, darfst du zusehen, wie alte Einträge noch stundenlang durchs Netz geistern wie ein schlechter Gedanke mit Root-Zugriff.\n\nTTL ist nicht kompliziert.\n\nTTL wird nur gern vergessen.\n\nUnd dann steht man da und fragt sich, warum die neue Website bei einem selbst schon läuft, aber beim Kunden noch die alte Version erscheint, inklusive Platzhalterbild und „Lorem ipsum“.\n\nDie Antwort ist oft:\n\n> Weil irgendwo noch jemand den alten DNS-Eintrag im Cache hat.\n\nDas Internet vergisst.\n\nAber nicht sofort.\n\n* * *\n\n## 8. DNSSEC: Sicherheit, die manchmal aussieht wie Totalschaden\n\nDNS wurde in einer Zeit gebaut, in der das Internet noch mehr Vertrauen hatte.\n\nAlso ungefähr wie ein Dorffest, nur mit weniger Datenschutz.\n\nUrsprünglich konnte man DNS-Antworten nicht wirklich gut überprüfen. Ein Resolver fragte, ein Server antwortete, und wenn die Antwort plausibel wirkte, wurde sie genommen.\n\nDas ist aus heutiger Sicht ungefähr so sicher wie:\n\n> „Jemand hat mir auf dem Parkplatz gesagt, er sei meine Bank.“\n\nDNSSEC soll dieses Problem entschärfen.\n\nDNSSEC steht für **Domain Name System Security Extension**.\n\nDie Idee: DNS-Antworten werden kryptografisch signiert. Ein validierender Resolver kann prüfen, ob die Antwort wirklich zur Zone gehört und nicht unterwegs manipuliert wurde.\n\nDas ist gut.\n\nSehr gut sogar.\n\nAber DNSSEC hat diese spezielle Eigenschaft moderner Sicherheitstechnik: Wenn etwas falsch konfiguriert ist, schützt es dich sehr konsequent vor der Nutzung.\n\nDann gibt es keine halbkaputte Antwort.\n\nDann gibt es eher:\n\n\n    Nein.\n\n\nOder:\n\n\n    Diese Domain existiert für dich gerade nicht.\n\n\nAus Nutzersicht sieht das dann aus wie ein Ausfall.\n\nAus technischer Sicht funktioniert die Sicherheitsprüfung korrekt.\n\nAus emotionaler Sicht möchte man trotzdem in einen Tisch beißen.\n\nDNSSEC ist also wie ein sehr gewissenhafter Türsteher.\n\nWenn die Liste stimmt, kommst du rein.\n\nWenn die Liste kaputt ist, erklärt er dir nicht lange die Infrastruktur, sondern macht einfach die Tür nicht auf.\n\n* * *\n\n## 9. Pi-hole, Unbound und der kleine DNS-Gott im Heimnetz\n\nWer ein Homelab hat, kommt irgendwann auf die Idee:\n\n> Ich mache DNS selbst.\n\nDas ist der Anfang.\n\nNicht vom Ende.\n\nAber von Abenden mit Terminalfenstern.\n\nPi-hole, AdGuard Home, Unbound, Bind, Technitium, eigene Resolver, Split-DNS, lokale Zonen, DoH, DoT, DNSSEC, Conditional Forwarding.\n\nPlötzlich ist man nicht mehr nur Internetnutzer.\n\nMan ist Namensverwalter des Wohnzimmers.\n\nDas hat Vorteile.\n\nMan kann Werbung blocken.\n\nMan kann lokale Namen vergeben.\n\nMan kann kontrollieren, welche Geräte wohin telefonieren.\n\nMan sieht, wie gesprächig Smart-TVs sind, und fragt sich danach, ob der Fernseher vielleicht mehr Sozialleben hat als man selbst.\n\nAber man baut sich auch neue Fehlerquellen.\n\nWenn der eigene DNS-Server nicht läuft, wirkt sofort das ganze Heimnetz kaputt.\n\nNicht, weil kein Internet da wäre.\n\nSondern weil niemand mehr weiß, wie die Dinge heißen.\n\nDas ist wie eine Stadt, in der alle Straßen noch existieren, aber alle Schilder über Nacht entfernt wurden.\n\nTechnisch kommt man vielleicht noch irgendwo hin.\n\nPraktisch fährt jeder im Kreis.\n\nUnd natürlich denkt man bei einem Ausfall zuerst:\n\n> Was habe ich kaputt gemacht?\n\nDas ist die natürliche Haltung des Homelab-Menschen.\n\nErst Selbsthass.\n\nDann Fehlersuche.\n\nDann Infrastrukturverdacht.\n\nDann Kaffee.\n\n* * *\n\n## 10. Warum DNS-Ausfälle so unangenehm sind\n\nDNS-Ausfälle fühlen sich schlimmer an als viele andere technische Probleme, weil sie so grundlegend sind.\n\nWenn eine einzelne Website kaputt ist, ist eine einzelne Website kaputt.\n\nWenn DNS kaputt ist, sieht alles kaputt aus.\n\nBrowser melden, dass Seiten nicht gefunden werden.\n\nApps laden nicht.\n\nMailserver spinnen.\n\nUpdates schlagen fehl.\n\nSmart-Home-Geräte schauen beleidigt in die Cloud.\n\nUnd der Mensch sitzt davor und denkt:\n\n> Das WLAN-Symbol ist doch da. Warum ist trotzdem alles tot?\n\nGenau das macht DNS so tückisch.\n\nDie Verbindung kann bestehen.\n\nDer Router kann online sein.\n\nDer Glasfaseranschluss kann leuchten.\n\nPakete könnten theoretisch raus.\n\nAber wenn Namen nicht aufgelöst werden, wirkt alles wie abgeschnitten.\n\nDNS ist also nicht das Internet.\n\nAber ohne DNS fühlt sich das Internet an wie ein Telefon ohne Kontakte.\n\nDu könntest jemanden anrufen.\n\nWenn du nur wüsstest, welche Nummer.\n\n* * *\n\n## 11. Was man selbst prüfen kann\n\nWenn etwas nicht lädt, muss man nicht sofort das gesamte Heimnetz neu installieren, den Router beschimpfen oder einen Exorzismus am Switch durchführen.\n\nEin paar einfache Checks helfen.\n\nErstens: Geht nur eine Seite nicht oder alles?\n\nWenn nur eine Domain nicht geht, ist es vielleicht ein Problem dieser Domain.\n\nWenn viele Seiten nicht gehen, wird DNS wahrscheinlicher.\n\nZweitens: Geht es über Mobilfunk?\n\nWenn eine Website im WLAN nicht geht, aber über Mobilfunk schon, liegt das Problem wahrscheinlich irgendwo in deinem Netz, deinem DNS oder deinem Providerpfad.\n\nDrittens: Einen anderen Resolver testen.\n\nZum Beispiel temporär:\n\n\n    1.1.1.1\n    8.8.8.8\n    9.9.9.9\n\n\nDas sind bekannte öffentliche Resolver. Nicht als Glaubensfrage, sondern als Test.\n\nViertens: Mit `dig` prüfen.\n\n\n    dig example.de\n\n\nOder gezielt einen Resolver fragen:\n\n\n    dig @1.1.1.1 example.de\n    dig @8.8.8.8 example.de\n\n\nBei DNSSEC-Problemen kann auch interessant sein:\n\n\n    dig +dnssec example.de\n\n\nFünftens: Nicht sofort alles ändern.\n\nDas ist schwer.\n\nIch weiß.\n\nAber wer bei einem DNS-Problem panisch an zehn Stellen gleichzeitig dreht, hat danach elf Probleme. Eines davon ist DNS. Die anderen zehn heißen „Warum habe ich das gemacht?“.\n\nLieber sauber prüfen.\n\nSchritt für Schritt.\n\nWie ein Erwachsener.\n\nOder wenigstens wie jemand, der so tut.\n\n* * *\n\n## 12. Fazit: DNS ist langweilig. Bis es das nicht mehr ist.\n\nDNS ist eine dieser Techniken, die im Alltag fast unsichtbar sind.\n\nUnd genau deshalb so wichtig.\n\nEs übersetzt Namen in Adressen.\n\nEs verbindet menschliche Bequemlichkeit mit maschineller Sturheit.\n\nEs macht aus `codeundkram.de` ein erreichbares Ziel.\n\nUnd wenn es ausfällt, wirkt das Internet plötzlich nicht mehr wie ein globales Hochleistungsnetz, sondern wie ein schlecht beschrifteter Kellerraum voller Kabel und schlechter Entscheidungen.\n\nDNS ist nicht glamourös.\n\nNiemand kauft ein Gerät, weil „besonders gutes DNS“ auf der Verpackung steht.\n\nNiemand prahlt auf Partys mit TTL-Werten, außer die Party ist sehr klein und vermutlich in einem Rechenzentrum.\n\nAber DNS ist Fundament.\n\nUnsichtbar, trocken, kritisch.\n\nWie Strom.\n\nWie Wasser.\n\nWie Kaffee.\n\nWenn es funktioniert, denkt keiner daran.\n\nWenn es nicht funktioniert, wird sofort klar, wie dünn die Schicht Zivilisation über unserem digitalen Alltag eigentlich ist.\n\nUnd das ist vielleicht die wichtigste Lektion:\n\nDas Internet ist nicht magisch.\n\nEs besteht aus Protokollen, Zuständigkeiten, Caches, Signaturen, Timeouts, Menschen, Konfigurationen und sehr viel Hoffnung.\n\nDNS ist der Teil davon, der sagt:\n\n> Ich weiß, wie das heißt.\n\nUnd manchmal eben:\n\n> Nö.\n\nDann sitzen wir da.\n\nMit Logs.\n\nMit Kaffee.\n\nMit `dig`.\n\nUnd mit dieser tiefen, alten Admin-Weisheit:\n\nEs ist vielleicht nicht immer DNS.\n\nAber es ist oft genug DNS, um DNS grundsätzlich misstrauisch anzusehen.",
  "title": "DNS: Das Telefonbuch des Internets, das alle erst bemerken, wenn es brennt",
  "updatedAt": "2026-05-17T12:00:07.164Z"
}