Defaults.Exposed › Behebungen › Nameserver-Aufbau (Vielfalt & SOA)

So beheben Sie Nameserver-Aufbau (Vielfalt & SOA)

Ihre Nameserver sind das Verzeichnis, das dem ganzen Internet sagt, wo Ihre Website und E-Mail zu finden sind. Sitzen sie alle in einem Netz und dieses fällt aus, verschwindet Ihr Unternehmen im selben Moment aus dem Internet — keine Seite, keine E-Mail, nichts — und eine schlampige Zeiteinstellung auf diesen Servern kann Änderungen, die Sie machen, tagelang feststecken lassen.

Das Wichtigste für Ihr Unternehmen: Wenn jeder Nameserver für Ihre Domain in einem einzigen Netz lebt, nimmt ein Ausfall oder Angriff auf dieses Netz Ihre Website UND Ihre E-Mail gemeinsam offline — Sie zahlen weiter Gehälter und Anzeigen, während kein Kunde Sie erreichen kann. Davon getrennt können fehlkonfigurierte SOA-Timer Ihre DNS-Änderungen (einen neuen Server, einen gewechselten E-Mail-Anbieter, eine Notumleitung) tagelang statt stundenlang verbreiten lassen.

Was Sie das kosten kann

Das eine Netz, in dem all Ihre Nameserver sitzen, hat einen schlechten Nachmittag — einen Ausfall oder einen DDoS-Angriff — und Ihre Website und E-Mail verschwinden zugleich. Kunden bekommen Fehlerseiten, Ihr Vertriebs-Posteingang weist ab, und Ihre Webkraft kann nur warten, bis das Netz eines anderen sich erholt.
Das Sicherheitsteam eines großen Kunden führt eine Lieferantenprüfung durch, sieht all Ihre Nameserver bei einem Anbieter ohne Redundanz und vermerkt Ihre Domain als Single Point of Failure — Reibung bei einem Vertrag, den Sie sonst gewonnen hätten.
Sie ziehen zu einem neuen Webhost oder wechseln den E-Mail-Anbieter, aber ein falscher 'Refresh'-Timer in Ihrem SOA-Eintrag lässt andere DNS-Server tagelang Ihre alte Adresse ausgeben — sodass manche Kunden auf einer toten Seite landen und Ihre E-Mail sich in zwei spaltet.
Ein Sicherheitsvorfall zwingt Sie, Verkehr dringend umzuleiten, aber Ihre SOA-Timer sagen der Welt, Ihre alten Einträge eine Woche lang zu cachen, sodass die vor einer Stunde gemachte Änderung noch immer nicht das halbe Internet erreicht hat, während das Problem andauert.
Ihre zwei Nameserver sind technisch zwei Namen, lösen aber zum selben Rack im selben Netz auf — sodass die Redundanz, die Sie zu haben glauben, eine Illusion ist und ein einzelner Ausfall noch immer alles lahmlegt.

Warum es wichtig ist. Jeder Besuch Ihrer Website und jede an Sie gesendete E-Mail beginnt mit einer Abfrage gegen Ihre Nameserver. Sie sind das Fundament, auf dem Ihre übrige Online-Präsenz sitzt. Hat dieses Fundament keine Redundanz, legt ein einzelner Ausfall alles zugleich lahm; sind seine Zeitwerte falsch, ist jede Änderung, die Sie machen, langsam wirksam — genau dann, wenn Sie es sich am wenigsten leisten können.

Worum es geht, in einfachen Worten

Bevor jemand Ihre Website erreichen oder Ihnen eine E-Mail senden kann, muss sein Computer eine einfache Frage stellen: “wo wohnt diese Domain eigentlich?” Die Server, die diese Frage beantworten, sind Ihre Nameserver. Sie sind der Verzeichniseintrag für Ihre gesamte Online-Präsenz — das allererste, was jeder Besucher und jede E-Mail berührt, bevor Ihre Seite oder Ihr Posteingang überhaupt beteiligt ist.

Diese Seite deckt zwei Teile ab, dieses Verzeichnis richtig zu machen:

Vielfalt — haben Sie mindestens zwei Nameserver, und sitzen sie auf wirklich getrennten Teilen des Netzes, sodass ein einzelner Ausfall nicht alle auf einmal verstummen lassen kann?
Der SOA-Eintrag — ein kleiner “Start of Authority”-Eintrag, der die Zeitwerte hält, die steuern, wie lange der Rest des Internets Ihren DNS-Antworten traut und sie cacht. Setzen Sie die Timer falsch, braucht jede Änderung, die Sie machen, länger, um die Welt zu erreichen.

Keines ist glamourös. Beide sind Fundamente. Sind sie richtig, denken Sie nie an sie; sind sie falsch, erfahren Sie es im denkbar schlechtesten Moment.

Was Sie das kosten kann

Alles zugleich offline. Leben all Ihre Nameserver in einem Netz und dieses Netz hat einen Ausfall oder wird von einem DDoS-Angriff getroffen, gehen Ihre Website und Ihre E-Mail gemeinsam dunkel. Das ist nicht theoretisch — ein angegriffener einzelner DNS-Anbieter hat große, gut ausgestattete Unternehmen für den Großteil eines Tages aus dem Internet geworfen. Mit Redundanz über Netze hinweg ist ein Ausfall überlebbar; ohne sie ist er total.
Ein bei einer Lieferantenprüfung verlorener Abschluss. Das Sicherheits- oder Einkaufsteam eines größeren Kunden prüft vor der Unterschrift, sieht all Ihre Nameserver auf einem Anbieter ohne Rückfallebene konzentriert und markiert Ihre Domain als Single Point of Failure. Es ist die Art kleiner, vermeidbarer Vermerk, die einem Vertrag Reibung zufügt, den Sie sonst gewinnen.
Änderungen, die nicht greifen. Sie wechseln Webhosts, ziehen E-Mail-Anbieter um oder müssen Verkehr eilig umleiten. Ein falscher “Refresh”- oder “Expire”-Timer in Ihrem SOA-Eintrag lässt andere DNS-Server tagelang Ihre alte Antwort ausliefern. Die Hälfte Ihrer Kunden landet auf der neuen Seite, die Hälfte auf der toten; manche E-Mail fließt zum alten Anbieter, manche zum neuen. Die vor einer Stunde gemachte Änderung ist noch immer nicht fertig.
Ein Notfall, den Sie nicht schnell beenden können. Während eines Sicherheitsvorfalls müssen Sie Verkehr jetzt von einem kompromittierten Server weglenken. Sagten Ihre SOA-Timer der Welt, Ihre Einträge eine Woche zu cachen, kriecht Ihre Behebung übers Internet, während das Problem weiter beißt.
Redundanz, die nicht echt ist. Sie haben zwei Nameserver, also nehmen Sie an, Sie seien abgesichert — aber beide lösen zum selben Rack im selben Netz auf. Der erste Hardwareausfall nimmt alles, und das Sicherheitsnetz, auf das Sie gezählt haben, war nie da.

Was es tatsächlich ist

Nameserver-Vielfalt. Ihre Domain sollte mindestens zwei Nameserver auflisten, und idealerweise sollten sie auf wirklich unabhängigen Netzpfaden sitzen — nicht nur zwei Namen, die auf dieselbe Box zeigen. Hinter den Kulissen löst jeder Nameserver-Name zu einer oder mehreren IP-Adressen auf, und was wirklich zählt, ist, ob diese Adressen verschiedene Teile des Internet-Routings belegen. Ein ernsthafter DNS-Anbieter verteilt seine Nameserver über viele getrennte Netzblöcke und Standorte weltweit, sodass selbst zwei Nameserver desselben Anbieters Ihnen echte, unabhängige Redundanz geben. Der Fehlerfall ist das Gegenteil: ein einzelner kleiner Host, bei dem beide “Nameserver” dieselbe Maschine sind, sodass ein Ausfall total ist.

Ein Hinweis für die technische Leserin: unsere Prüfung zählt Ihre NS-Einträge und betrachtet dann, wie viel echte Netzvielfalt dahintersteht. Das primäre Signal ist die Streuung der eindeutigen IP-Netzblöcke, in die die Nameserver auflösen (grob /16-Bereiche für IPv4 und /32 für IPv6), mit der Anzahl eindeutiger Anbieternamen als Rückfall. Das gutschreibt absichtlich Anycast-Hyperscale-Anbieter — Cloudflare, Google, AWS Route 53, Azure DNS —, die eine Netzidentität von vielen global getrennten Routing-Pfaden ankündigen und so selbst von einer einzelnen Marke echte Vielfalt liefern. Weniger als zwei Nameserver zu haben ergibt null Punkte bei dieser Prüfung und wird als hoch behandelt, weil es ein unkompensierter Single Point of Failure für die gesamte Domain ist.

Der SOA-Eintrag. Jede DNS-Zone hat genau einen Start-of-Authority-Eintrag. Er benennt den primären Nameserver und den administrativen Kontakt, trägt eine Seriennummer, die bei jeder Änderung hochzählt, und — der für Ihr Geschäft wichtige Teil — hält vier Timer:

Refresh — wie oft sekundäre Nameserver den primären auf Änderungen neu prüfen. Guter Bereich: grob 1 bis 24 Stunden (3.600–86.400 Sekunden).
Retry — wie bald erneut versuchen, wenn ein Refresh scheitert. Guter Bereich: grob 5 bis 60 Minuten (300–3.600 Sekunden).
Expire — wie lange Sekundäre Ihre Einträge weiter ausliefern, wenn sie den primären gar nicht erreichen können. Guter Bereich: grob 1 bis 4 Wochen (604.800–2.419.200 Sekunden).
Minimum-TTL — der Boden dafür, wie lange Antworten (einschließlich “dieser Name existiert nicht”-Antworten) gecacht werden. Sollte ein vernünftiger positiver Wert sein; 300 Sekunden ist eine gängige Wahl.

Wie “gut” aussieht: eine SOA, die existiert, einen gültigen administrativen Kontakt hat und Timer innerhalb dieser Bereiche trägt. Werte außerhalb der Bereiche sind nicht fatal — aber sie verlangsamen entweder Ihre Änderungen (Timer zu lang) oder belasten Ihre Nameserver unnötig (zu kurz). Eine fehlende oder wirklich kaputte SOA ist der ernstere Fall.

So beheben Sie es (kostenlos, ~15 Minuten)

Dieser Teil ist für die Person, die Ihre Domain oder Ihr DNS verwaltet — sind Sie das nicht, geben Sie ihr diesen Abschnitt. Die Behebung ist kostenlos; wir berechnen nur, um zu überwachen, dass es behoben bleibt.

Schritt 1 — Stellen Sie sicher, dass Sie mindestens zwei Nameserver auf vielfältiger Infrastruktur haben.

Prüfen Sie, was Sie heute haben. Führen Sie dig NS ihredomain.com aus (oder nutzen Sie ein beliebiges “DNS-Lookup”-Webwerkzeug) und lesen Sie die Nameserver ab. Zwei oder mehr ist das Minimum.
Haben Sie nur einen, oder sind beide auf einem einzelnen kleinen Host, verlegen Sie Ihr DNS zu einem Anbieter, der Ihnen standardmäßig Redundanz gibt. Praktisch jeder ernsthafte Anbieter tut das:
- Cloudflare — weist automatisch zwei über sein globales Anycast-Netz gestreute Nameserver zu, wenn Sie eine Domain hinzufügen.
- AWS Route 53 — jede gehostete Zone bekommt vier Nameserver über getrennte Route-53-Netze.
- Google Cloud DNS / Microsoft 365 / Azure DNS — stellen ähnlich mehrere Nameserver über unabhängige Infrastruktur bereit.
Zum Wechseln setzen Sie die Nameserver Ihrer Domain bei Ihrem Registrar (wo Sie die Domain gekauft haben — z. B. GoDaddy, Namecheap) auf die, die Ihr neuer DNS-Anbieter gibt. Diese Änderung kann 24–48 Stunden brauchen, um sich voll zu verbreiten.
Für doppelte Absicherung können größere oder risikoreichere Unternehmen sekundäres DNS von einem zweiten unabhängigen Anbieter betreiben (z. B. Cloudflare + Route 53, oder NS1 + Cloudflare). Für die meisten kleinen Unternehmen ist das optional — ein einziger seriöser Anbieter gibt Ihnen bereits echte netzübergreifende Redundanz.

Schritt 2 — Prüfen Sie (und falls nötig beheben) Ihre SOA-Timer.

Führen Sie dig SOA ihredomain.com aus und lesen Sie die Refresh-, Retry-, Expire- und Minimum-TTL-Werte ab.
Vergleichen Sie sie mit den Bereichen oben. In der großen Mehrzahl der Fälle hat Ihr DNS-Anbieter bereits vernünftige Standards gesetzt und es gibt nichts zu tun.
Ist ein Wert außerhalb des Bereichs, beheben Sie ihn dort, wo Ihr DNS gehostet wird:
- Bei verwalteten Anbietern (Cloudflare, Route 53, Google, Azure) wird die SOA weitgehend für Sie erledigt; Sie justieren sie generell über die DNS-Einstellungen oder den Support des Anbieters, statt sie von Hand zu bearbeiten.
- Auf einem selbst betriebenen Nameserver (BIND, PowerDNS) bearbeiten Sie die SOA-Zeile in der Zonendatei direkt und laden die Zone neu — denken Sie daran, die Seriennummer hochzusetzen, damit Sekundäre die Änderung aufnehmen.
Führen Sie nach jeder Änderung die Abfragen erneut aus, um zu bestätigen, dass sowohl die Nameserver-Liste als auch die SOA-Timer richtig aussehen.

Häufige Fehler

“Zwei Namen” als “zwei Netze” behandeln. Zwei Nameserver-Namen, die zur selben Box oder zum selben Rack auflösen, sind ein Single Point of Failure in Verkleidung. Was zählt, sind unabhängige Netzpfade, nicht die Zahl der Namen.
Annehmen, mehr sei immer besser, ohne Vielfalt. Fünf Nameserver alle auf einem fragilen Host sind nicht sicherer als einer. Vielfalt schlägt Menge.
Timer zu aggressiv setzen. SOA-Refresh oder Minimum-TTL ganz herunterzudrehen, um “Änderungen sofort zu machen”, hämmert nur Ihre Nameserver und kann Ausfälle verschlimmern, mit geringem realem Nutzen. Vernünftige Standards balancieren Tempo gegen Last bereits aus.
expire zu niedrig setzen. Stoppen Sekundäre Ihre Zone während eines primären Ausfalls zu früh, wird aus einem behebbaren Aussetzer ein voller Ausfall. Halten Sie expire im Wochenbereich.
Eine Zone von Hand bearbeiten und die Seriennummer vergessen. Auf selbst betriebenen Nameservern nehmen Sekundäre Änderungen nur auf, wenn die SOA-Seriennummer steigt. Ändern Sie Einträge, lassen aber die Seriennummer unberührt, verbreitet sich Ihre “Behebung” nie.
DNS auf dem nackten Standard des Domain-Registrars belassen. Das eingebaute DNS mancher Registrare ist ein einzelner, minimaler Aufbau. DNS zu einem echten Anbieter zu verlegen gibt Ihnen meist Redundanz und vernünftige SOA-Timer in einem Zug.

Fazit

Ihre Nameserver und ihr SOA-Eintrag sind das Fundament, auf dem alles andere sitzt. Zwei Nameserver auf wirklich getrennten Netzen bedeuten, dass ein einzelner Ausfall nicht Ihr ganzes Geschäft auf einmal offline nehmen kann; vernünftige SOA-Timer bedeuten, dass die Änderungen, die Sie machen, die Welt tatsächlich zügig erreichen. Beide sind kostenlos richtig zu bekommen, beide sind meist bereits in gutem Zustand, sobald Sie auf einem ordentlichen DNS-Anbieter sind, und beide sind eine Zwei-Minuten-Prüfung wert — denn der Tag, an dem sie wichtig sind, ist der Tag, an dem Sie es sich am wenigsten leisten können, dass sie falsch sind.

FAQ

Ich bin nicht technisch — kann ich das selbst regeln?

Sie müssen die DNS-Interna nicht verstehen. Nameserver-Vielfalt wird meist für Sie erledigt, sobald Sie Ihre Domain auf einen echten DNS-Anbieter legen (Cloudflare, AWS Route 53, Ihr Host) — sie geben Ihnen automatisch zwei oder mehr Nameserver über ihr Netz. Auch die SOA-Timer sind normalerweise standardmäßig vernünftig gesetzt. Die Aufgabe ist meist, zu prüfen, was Sie haben, und, falls Sie auf einem einzelnen fragilen Aufbau sind, zu einem Anbieter zu wechseln, der Ihnen Redundanz gibt. Geben Sie den technischen Abschnitt unten an Ihre Webkraft oder Ihren IT-Dienstleister — die Behebung ist kostenlos.

Was unterscheidet die zwei Dinge, die diese Seite prüft?

Zwei verwandte Teile desselben Fundaments. Der erste — Nameserver-Vielfalt — geht um Belastbarkeit: haben Sie mindestens zwei Nameserver, und sitzen sie auf wirklich verschiedenen Teilen des Netzes, sodass ein Ausfall nicht alle ausschalten kann? Der zweite — der SOA-Eintrag — geht um Timing: er hält die Zeitwerte, die dem Rest des Internets sagen, wie lange es Ihren DNS-Antworten trauen und sie cachen soll. Der eine ist 'nicht alle Eier in einen Korb'; der andere ist 'setze die Timer so, dass Änderungen sauber durchfließen'.

Ich habe zwei Nameserver derselben Firma — ist das gut genug?

Meist ja, wenn diese Firma ein ernsthafter DNS-Anbieter ist. Große Anbieter wie Cloudflare, Google und AWS betreiben ihre Nameserver über viele getrennte Netze und Standorte weltweit, sodass zwei Namen von ihnen wirklich auf unabhängiger Infrastruktur sitzen — das ist echte Redundanz. Der Risikofall ist ein einzelner kleiner Host, bei dem beide 'Nameserver' wirklich dieselbe Box oder dasselbe Rack sind. Wollen Sie doppelt absichern, können Sie Nameserver von zwei unabhängigen Anbietern betreiben, aber für die meisten kleinen Unternehmen reicht ein einziger seriöser DNS-Anbieter.

Was tut der SOA-Wert 'refresh' oder 'expire' eigentlich für mein Geschäft?

Das sind Timer, die anderen DNS-Servern sagen, wie lange sie warten sollen, bevor sie Ihre Einträge neu prüfen, und wie lange sie sie weiter ausliefern, wenn sie Sie nicht erreichen können. Zu hoch gesetzt, braucht eine Änderung — eine neue Server-IP, ein neuer E-Mail-Anbieter, eine Notumleitung — weit länger, um alle zu erreichen. Zu niedrig, fangen Ihre Nameserver unnötigen Mehrverkehr ab. Vernünftige Standards (Refresh in Stunden, Expire in Wochen) halten Änderungen zügig fließend und bleiben während eines Ausfalls robust. Die meisten Anbieter setzen diese korrekt ab Werk.

Ändert das meine Note, und wie stark?

Ja, beide Teile zählen zu Ihrer DNS-Bewertung. Weniger als zwei Nameserver zu haben wird als ernste Lücke behandelt, weil es ein Single Point of Failure für Ihre gesamte Online-Präsenz ist. Eine fehlkonfigurierte SOA ist ein moderateres Problem — sie nimmt Sie nicht offline, verlangsamt aber Ihre Reaktionsfähigkeit, wenn sich etwas ändert. Beide sind kostenlos zu beheben und für die meisten Unternehmen bereits in gutem Zustand, sobald Sie auf einem ordentlichen DNS-Anbieter sind.

Gibt es einen Haken — muss ich Sie bezahlen, um das zu beheben?

Nein. Redundante Nameserver und vernünftige SOA-Timer zu bekommen ist bei jedem großen DNS-Anbieter kostenlos, und die Schritte unten sind alles, was Sie brauchen. Wir berechnen nur etwas, wenn Sie später möchten, dass wir Ihre Domain überwachen und Sie warnen, falls die Redundanz je auf einen Single Point of Failure zurückfällt oder die Timer abdriften.