DNS Server oder Resolver

Basierend auf einem Leserwunsch zum Thema DNS gibt es nun einen Artikel, der das Thema DNS etwas weiter beleuchtet

Gerade beim Thema selbst hosten, kommt hin und wieder das Thema Resolver, Relay o.ä. auf. Nicht immer ist klar, was nun was ist.

Was ist DNS?

DNS ist das digitale Telefonbuch des Internets.
Jedes Gerät im Internet hat eine IP-Adresse (z. B. 123.456.123.456). Damit man sich aber nicht diese Zahlen merken muss, gibt es Domain-Namen wie meinedomain.de.

Ähnlich auch wie Koordinaten und Adressen.

Das Domain Name System (DNS) sorgt dafür, dass dein Computer weiß;: „Wenn jemand meinedomain.de aufruft, dann steckt dahinter die IP-Adresse X.“

Die Verwaltung funktioniert so:

• Registry: Das ist die Organisation, die eine Endung wie .de oder .ch betreut. Bei .de ist es die DENICbei .ch die SWITCH.

• Registrierstelle: Das ist dein Anbieter, bei dem du eine Domain kaufen kannst (z. B. IONOS, Hostpoint). Der kümmert sich darum, dass deine Domain bei der Registry eingetragen wird. Und hinterlegt die Einträge im DNS Server.

• Autoritativer DNS-Server: Das ist der Server, auf dem die echten Eintr&aumlge f&uumlr deine Domain liegen (z. B. A-Record f&uumlr die IP deiner Website, MX-Record f&uumlr E-Mails).

Wenn du auch gnulinux.ch aufrufst, läuft das so:

1. Dein Computer fragt: „Wo finde ich gnulinux.ch?“

2. Die .ch-Registry (SWITCH) sagt: „Frag bitte diesen DNS-Server.“

3. Der autoritative Server von gnulinux.ch liefert die IP zurück.

4. Dein Browser verbindet sich mit dieser IP.

Ähnlich auch wie Koordinaten (IP-Adresse) und eine Adresse (Domain).

Selbst Hosten

Wenn du zu Hause oder im eigenen Netzwerk DNS selbst betreibst, stöÂ;t du auf zwei Begriffe: Relay und Resolver.

DNS-Relais (Weiterleiter)

• Nimmt die Anfragen deiner Geräte entgegen.

• Leiten Sie sie einfach an einen anderen DNS-Server weiter.

• Beispiel: AdGuard Startseite. Wenn Sie dort 9.9.9.9 (Quad9) als Upstream einträgst, läuft der Weg so:

• Vorteil: Einfach einzurichten, zusätzliche Filtertermöglichkeiten.

• Nachteil: Du bist vom externen Server abhängig und gibst ihm deine Daten.

Rekursiver Resolver (eigene Nachforschung)

• Holt die Antwort selbst direkt von den Root-Servern und arbeitet sich Schritt für Schritt durch (Root → .de → zuständiger Server).

• Beispiel: Ungebunden (oft schon in Routern/Firewalls wie OPNSense integriert).

• Vorteil: Volle Kontrolle, Datenschutz, DNSSEC-Prüfung.

• Nachteil: etwas mehr Einrichtung und Pflege nötig.

Vor und Nachteile

Eine strenge Trennung ist schwierig, da die Systeme oft kombiniert werden (z. B. AdGuard mit Unbound). Grundsätzlich gilt:

• Externe DNS-Dienste (Quad9, Cloudflare, Google DNS):

  • Schnell, einfach, zusätzliche Malware-Filter

  • Zentrale Stelle sieht alle Anfragen

• Eigener Resolver (z. B. Ungebunden):

  • Datenschutz, volle Kontrolle, keine Abhängigkeit

  • Höherer Aufwand, deine IP ist direkt bei den Ziel-Servern und Internetprovidern sichtbar

Ich habe in meinem Heimnetz einen Adguard für diverse Filterlisten, der dann die Anfragen an Quad9 sendet.

Das ist für mich das Optimum aus Privatsphäre, Sicherheit, Ausfallsicherheit und vertretbarem Aufwand im Hosting.

Praxis-Beispiel

In meinem Heimnetz nutze ich AdGuard Startseite als Filter (Blocklisten, Statistiken).
Dieser schickt Anfragen an Quad9um zus&aumltzliche Sicherheitsfilter zu nutzen.

Für mich ist das ein guter Kompromiss:

• Privatsphäre (eigener Filter)

• Sicherheit (Quad9 blockiert Malware-Domains)

• Ausfallsicherheit (Quad9 hat globale Infrastruktur)

• geringer Hosting-Aufwand

Quellen:

Titelbild: ChatGPT