DNS-Server: Resolver, Forwarder, Authoritative
Im DNS-System spielen verschiedene Servertypen zusammen – jeder hat eine klar definierte Rolle. Wer macht was? Der rekursive Resolver erledigt die eigentliche Arbeit für den Client. Der Forwarder leitet Anfragen weiter, statt selbst zu iterieren. Der autoritative Nameserver kennt die endgültigen Antworten für seine Zone. Und der Root-Server ist der unverzichtbare Startpunkt.
Diese Rollen können auf demselben physischen Server kombiniert werden – ein Windows-Server-DNS oder BIND kann gleichzeitig rekursiver Resolver für interne Clients und autoritativer Nameserver für die eigene Zone sein. In der Praxis im Unternehmensnetz: Clients → interner DNS-Server (Resolver+Forwarder) → ISP/8.8.8.8 → Internet-Hierarchie. Details zur Active Directory-Integration.
1) Die DNS-Server-Typen
DNS-Server-Typen – Klicke für Details
Rekursiver Resolver (Recursive Resolver)
„Problemlöser" – erledigt die Auflösung vollständig für den Client
Was tut er? Empfängt rekursive Anfragen von Clients (Browser, Betriebssystem) und löst diese vollständig auf – durch iterative Abfragen von Root → TLD → Authoritative. Der Client bekommt nur die finale IP zurück, der Resolver macht die ganze Arbeit.
Caching: Der Resolver cached alle Antworten (bis TTL abläuft). Das macht ihn zum Flaschenhals und gleichzeitig zum Effizienz-Gewinn.
Betrieb: Öffentliche Resolver: 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), 9.9.9.9 (Quad9). Unternehmensintern: Windows Server DNS, BIND, Unbound. Zuhause: Fritz!Box, ISP-Router.
Konfiguration: Clients erhalten die IP des Resolvers per DHCP (Option 6 = DNS-Server).
Caching: Der Resolver cached alle Antworten (bis TTL abläuft). Das macht ihn zum Flaschenhals und gleichzeitig zum Effizienz-Gewinn.
Betrieb: Öffentliche Resolver: 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), 9.9.9.9 (Quad9). Unternehmensintern: Windows Server DNS, BIND, Unbound. Zuhause: Fritz!Box, ISP-Router.
Konfiguration: Clients erhalten die IP des Resolvers per DHCP (Option 6 = DNS-Server).
Forwarder (Weiterleitungs-Server)
Leitet Anfragen weiter statt selbst zu iterieren
Was tut er? Ein Forwarder leitet DNS-Anfragen an einen anderen DNS-Server (typisch: externer Resolver oder übergeordneten DNS-Server) weiter, statt selbst die Root-Hierarchie zu befragen.
Typischer Einsatz im Unternehmen: Interner DNS-Server (Windows Server) verwaltet intern die eigenen Zonen (firma.local, firma.de) und leitet alle anderen Anfragen (www.google.com) an den ISP-DNS oder 8.8.8.8 weiter.
Conditional Forwarder: Anfragen für bestimmte Domains werden an spezifische Server weitergeleitet. Beispiel: Anfragen für „tochter.de" gehen an den DNS des Tochterunternehmens.
Sicherheitsvorteil: Interne Clients müssen nicht direkt das Internet kontaktieren – alles läuft über den kontrollierten internen DNS-Server.
Typischer Einsatz im Unternehmen: Interner DNS-Server (Windows Server) verwaltet intern die eigenen Zonen (firma.local, firma.de) und leitet alle anderen Anfragen (www.google.com) an den ISP-DNS oder 8.8.8.8 weiter.
Conditional Forwarder: Anfragen für bestimmte Domains werden an spezifische Server weitergeleitet. Beispiel: Anfragen für „tochter.de" gehen an den DNS des Tochterunternehmens.
Sicherheitsvorteil: Interne Clients müssen nicht direkt das Internet kontaktieren – alles läuft über den kontrollierten internen DNS-Server.
Autoritativer Nameserver (Authoritative NS)
Kennt die finalen Antworten für seine Zone
Was tut er? Der autoritative Nameserver ist die letzte Instanz für eine bestimmte Zone. Er gibt definitive Antworten (nicht aus dem Cache) auf Anfragen für Domains in seiner Zone. Er sagt nie „Ich weiß es nicht" für seine eigene Zone.
Primary vs. Secondary:
• Primary NS: Hält die Master-Zone-Datei. Änderungen werden hier vorgenommen.
• Secondary NS: Erhält Zone per Zonentransfer vom Primary. Lesend, Redundanz. Details: DNS-Zonen und Zonentransfer.
Hostedzone-Dienste: Viele Unternehmen nutzen externe autoritative NS-Dienste: AWS Route 53, Cloudflare DNS, Azure DNS. Diese sind global verteilt und hochverfügbar.
Primary vs. Secondary:
• Primary NS: Hält die Master-Zone-Datei. Änderungen werden hier vorgenommen.
• Secondary NS: Erhält Zone per Zonentransfer vom Primary. Lesend, Redundanz. Details: DNS-Zonen und Zonentransfer.
Hostedzone-Dienste: Viele Unternehmen nutzen externe autoritative NS-Dienste: AWS Route 53, Cloudflare DNS, Azure DNS. Diese sind global verteilt und hochverfügbar.
Root-Server
Startpunkt der gesamten DNS-Hierarchie
Was tut er? Root-Server kennen nur die Nameserver aller TLDs. Sie antworten nie mit einer finalen IP, sondern verweisen auf die zuständigen TLD-Nameserver.
13 logische Root-Server (A–M), physisch auf über 1.500 Standorte verteilt (Anycast). Betrieben von ICANN, Verisign, USC-ISI, Cogent, NASA, Internet Systems Consortium u.a.
Root-Hints: Jeder DNS-Resolver hat die IP-Adressen der Root-Server eingebaut (Root-Hints-Datei). Sie werden selten direkt befragt dank Caching.
Resilienz: Root-Server sind eines der am besten abgesicherten Systeme im Internet – kritische Infrastruktur mit extrem hoher Verfügbarkeit.
13 logische Root-Server (A–M), physisch auf über 1.500 Standorte verteilt (Anycast). Betrieben von ICANN, Verisign, USC-ISI, Cogent, NASA, Internet Systems Consortium u.a.
Root-Hints: Jeder DNS-Resolver hat die IP-Adressen der Root-Server eingebaut (Root-Hints-Datei). Sie werden selten direkt befragt dank Caching.
Resilienz: Root-Server sind eines der am besten abgesicherten Systeme im Internet – kritische Infrastruktur mit extrem hoher Verfügbarkeit.
2) Typische Unternehmens-DNS-Architektur
Unternehmens-DNS-Architektur
💻 PC im Büro
→
🔄 Interner DNS
(192.168.1.1)
Resolver + Auth.
(192.168.1.1)
Resolver + Auth.
→
Interne Zonen direkt beantwortet
(firma.local, firma.de)
(firma.local, firma.de)
↓
Externe Anfragen (google.com etc.) werden weitergeleitet
↪️ Forwarder
(8.8.8.8 oder ISP)
(8.8.8.8 oder ISP)
→
🌍 Root → TLD → Auth.
Im Unternehmensumfeld mit Active Directory übernimmt der Windows-DNS-Server oft beide Rollen: autoritativer NS für die AD-Domäne (firma.local oder firma.de) und rekursiver Resolver für externe Anfragen via Forwarder. Domain-Controller laufen oft auf demselben Server wie der DNS-Dienst.
3) Öffentliche DNS-Resolver im Vergleich
Bekannte öffentliche Resolver
Betreiber
IPv4
Besonderheiten
Google
8.8.8.8 · 8.8.4.4
Weltweites Anycast, sehr schnell, DoH/DoT
Cloudflare
1.1.1.1 · 1.0.0.1
Datenschutzfokus, DoH/DoT, oft schnellster Resolver
Quad9
9.9.9.9 · 149.112.112.112
Blockiert bekannte Malware-Domains, Privacy-freundlich
OpenDNS (Cisco)
208.67.222.222
Filterung, FamilyShield, Unternehmensversion
Für DNS-Sicherheit empfehlen sich Resolver mit DNSSEC-Validierung und DoH/DoT-Unterstützung. Quad9 blockiert zudem bekannte Phishing- und Malware-Domains proaktiv.
Zusammenfassung
| Servertyp | Rolle | Besonderheit |
|---|---|---|
| Rekursiver Resolver | Löst Anfragen vollständig für Client auf | Caching, stellt sich zwischen Client und Internet |
| Forwarder | Leitet an anderen Resolver weiter | Conditional Forwarder für spezifische Domains |
| Autoritativer NS | Finale Antwort für eigene Zone | Primary (Master) und Secondary (Slave/Replica) |
| Root-Server | Startpunkt, kennt TLD-Nameserver | 13 logisch, 1500+ physisch, Anycast |