nslookup und dig

„Die Webseite lädt nicht – aber ping auf 8.8.8.8 funktioniert." Wenn IPs gehen, Namen aber nicht, liegt das fast immer am DNS. Genau für dieses Szenario gibt es die zwei wichtigsten DNS-Diagnose-Werkzeuge: nslookup (auf jedem System verfügbar) und dig (mächtiger, unter Linux/macOS Standard, unter Windows nachinstallierbar).

Die Analogie: Stell dir vor, jemand sagt „Ruf bei Müller in Konstanz an." Du brauchst die Telefonnummer, kennst sie aber nicht. Also schlägst du im Telefonbuch nach. Genau das macht DNS für IP-Adressen: google.de → 142.250.185.99. nslookup und dig sind nichts anderes als das manuelle Nachschlagen im Telefonbuch – ohne dass du gleich anrufen musst. Damit testest du, ob das Telefonbuch (DNS) überhaupt antwortet, und wenn ja, ob es die richtige Nummer ausgibt.

1) nslookup vs. dig – wer kann was?

Beide Werkzeuge fragen DNS-Server ab und zeigen deren Antwort an. Der Unterschied liegt in Ausführlichkeit und Skript-Tauglichkeit. nslookup ist auf jedem Windows-System direkt verfügbar und hat einen interaktiven Modus – dig ist deutlich gesprächiger und liefert RFC-konforme Ausgabe, die sich für Automatisierung eignet:

Die zwei DNS-Werkzeuge im direkten Vergleich

🪟 nslookup

Auf jedem System (Win/Linux/macOS) vorhanden
Interaktiver Modus durch nackten Aufruf
Kompakte, vereinfachte Ausgabe
Skript-tauglich nur eingeschränkt
Wird offiziell als „deprecated" geführt – funktioniert aber überall

🐧 dig (Domain Information Groper)

Standard unter Linux/macOS, Win: separat installieren
RFC-konforme Ausgabe mit allen DNS-Sektionen
Sehr gut skriptbar (+short, +noall +answer)
Zeigt Flags (AA, RD, RA), TTL, Authority & Additional
Werkzeug der Wahl für DNS-Profis

Praxis-Empfehlung: Wer am Linux-/Mac-Terminal ist, nimmt dig. Wer auf einem fremden Windows-Client steht, dem kein dig zur Verfügung steht, nimmt nslookup. Die Fragestellungen sind dieselben – nur die Ausgabe ist unterschiedlich detailliert.

2) Interaktiver Query-Builder – verschiedene Record-Typen abfragen

DNS kennt viele Record-Typen, nicht nur die einfache Namen-zu-IP-Auflösung. A liefert IPv4, AAAA liefert IPv6, MX die Mailserver, NS die zuständigen Nameserver, TXT Textinformationen (oft für SPF/DKIM), PTR die Reverse-Auflösung von IP zu Name. Wähle Domain und Record-Typ, um die typische Ausgabe zu sehen:

DNS Query Builder – probier verschiedene Abfragen aus

Domain:

Record-Typ:

dig google.de A

PTR (Reverse-Lookup) funktioniert anders: Du fragst nicht den Namen ab, sondern eine IP – im Format x.x.x.x.in-addr.arpa. Mit dig geht das einfacher: dig -x 8.8.8.8. Reverse-Lookups werden u. a. von Mail-Servern genutzt, um Absender-IPs zu validieren.

3) Die wichtigsten Befehlsvarianten

In der Praxis kommt man mit einer Handvoll Kommandozeilen aus. Was die meisten Admins immer wieder brauchen:

Cheat-Sheet – nslookup & dig im Alltag

! Einfache A-Auflösung (Standard)
nslookup google.de
dig google.de
! Anderen DNS-Server befragen (z.B. 1.1.1.1 von Cloudflare)
nslookup google.de 1.1.1.1
dig @1.1.1.1 google.de
! MX-Record (Mailserver) abfragen
nslookup -type=MX google.de
dig google.de MX
! Reverse-Lookup (IP → Name)
nslookup 8.8.8.8
dig -x 8.8.8.8
! Nur die Antwort, kurz und scriptbar
dig +short google.de # gibt nur die IP zurück
! Komplette Abfrage von der Root aus (zeigt den Auflösungsweg)
dig +trace google.de

Wer wirklich verstehen will, wie eine DNS-Auflösung Schritt für Schritt durch die DNS-Hierarchie wandert, sollte einmal dig +trace google.de ausführen – das zeigt jede Stufe: Root → TLD-Server (.de) → autoritativer Server für google.de.

4) DNS-Probleme systematisch diagnostizieren

Wenn eine Website nicht erreichbar ist, ist DNS ein klassischer Verdächtiger – aber nicht immer der Schuldige. Das folgende Schema hilft, schnell die richtige Schicht zu treffen. Die Logik: Erst prüfen, ob der DNS-Server überhaupt antwortet. Dann, ob die richtige Antwort kommt:

DNS-Diagnose-Pfade

Frage 1: Antwortet der konfigurierte DNS-Server überhaupt?

Ja → weiter zu Frage 2DNS-Server erreichbar, Auflösung läuft

Nein → DNS-Server-ProblemDNS-Server down, falsche IP konfiguriert, Firewall blockt UDP/53

Frage 2: Liefert er die richtige Antwort?

Ja, IP stimmt → DNS okProblem liegt woanders – Schicht 3/4 prüfen

Nein, falsche IP → Cache/ManipulationCache leeren: ipconfig /flushdns bzw. resolvectl flush-caches

Frage 3: Antwortet 1.1.1.1 anders als der eigene Server?

Ja → eigener DNS-Server falschCache vergiftet, falsche Zone, alte Forwarding-Konfig

Nein → Domain selbst defektDomain-Konfiguration falsch, NS-Records fehlerhaft, abgelaufen

DNS-Cache leeren ist einer der häufigsten Quick-Fixes: Windows ipconfig /flushdns, Linux mit systemd resolvectl flush-caches, macOS sudo dscacheutil -flushcache. Auch der Browser hat einen eigenen DNS-Cache (in Chrome: chrome://net-internals/#dns).

5) Klassische Fallen und ihre Diagnose

Ein paar wiederkehrende Fehlerbilder bei DNS lohnt es sich zu kennen, weil sie sonst überproportional viel Zeit kosten:

Symptom	Wahrscheinliche Ursache	Quick-Check
Server antwortet, aber „SERVFAIL"	DNSSEC-Validierung scheitert oder Zone broken	`dig +cd domain` (ohne DNSSEC-Check)
Server antwortet, aber „NXDOMAIN"	Domain existiert wirklich nicht – oder Tippfehler	`dig @8.8.8.8 domain` – gleiche Antwort?
Interne Domain wird nicht aufgelöst	Falscher DNS-Server (öffentlich statt intern)	DNS-Konfig prüfen, intern muss DC bzw. interner Resolver sein
Auflösung dauert sehr lange	Erster DNS-Server tot, Timeout zum zweiten	`dig` mit explizitem Server testen
Manche Geräte gehen, andere nicht	Unterschiedliche DNS-Konfig per DHCP-Option	`ipconfig /all`, DHCP-Lease prüfen
Auflösung klappt nur teilweise (manche Domains)	Falscher Forwarder oder fehlende Zone	Test mit verschiedenen Domains + verschiedenen DNS-Servern

Zusammenfassung

nslookup und dig sind die zwei Werkzeuge für DNS-Diagnose. nslookup ist überall verfügbar und einfach, dig ist mächtiger und besser skriptbar. Wichtige Record-Typen: A, AAAA, MX, NS, TXT, PTR. Diagnose-Logik: erst prüfen ob DNS-Server antwortet, dann ob er die richtige Antwort liefert, im Zweifel mit alternativem Server (z. B. 1.1.1.1) gegenprüfen. Klassische Quick-Fixes: DNS-Cache leeren (ipconfig /flushdns), expliziter DNS-Server in der Abfrage (dig @1.1.1.1), dig +trace für vollständigen Auflösungsweg.