15%

15% auf alle Hosting-Dienste sparen

Teste deine Fähigkeiten und erhalte Rabatt auf jeden Hosting-Plan

Benutze den Code:

Skills
Anfangen
01.11.2024
2 +1
Category iconDNS Category iconDomainnamen

Domain-Delegation erklärt: Ein vollständiger Leitfaden zu DNS-Autorität und Subdomain-Verwaltung

Egal ob Sie eine neue Website starten, eine komplexe Infrastruktur skalieren oder einfach nur verstehen möchten, wie das Internet Domainnamen auflöst, Domain-Delegation ist ein Konzept, das Sie nicht übersehen dürfen. Es liegt im Herzen des Domain Name System (DNS) und bestimmt, wie die Autorität über Domainnamen im Internet verteilt wird.

Dieser Leitfaden erklärt alles, was Sie über Domain-Delegation wissen müssen — was es ist, wie es funktioniert, seine Schlüsselkomponenten und die Best Practices, die Ihre DNS-Infrastruktur zuverlässig und leistungsfähig halten.

Was ist Domain-Delegation?

Domain-Delegation ist der Prozess der Übertragung der autoritativen Kontrolle über eine bestimmte Domain oder Subdomain an einen bestimmten Satz von Nameservern. In der Praxis bedeutet dies, dem Internet zu sagen: *„Für Fragen zu dieser Domain oder Subdomain, fragen Sie diese Nameserver — sie sind verantwortlich.”*

Wenn eine DNS-Abfrage für eine Domain durchgeführt wird, folgen Resolver einer Autoritätskette. Domain-Delegation definiert diese Kette. Ohne sie hätte das DNS-System — das täglich Milliarden von Abfragen verarbeitet — keine strukturierte Möglichkeit, die Verantwortung über Millionen von Domains zu verteilen.

Domain-Delegation ist nicht nur eine technische Formalität. Sie wirkt sich direkt auf folgende Punkte aus:

  • Website-Verfügbarkeit — falsche Delegation führt zu DNS-Auflösungsfehlern
  • E-Mail-Zustellbarkeit — MX-Einträge müssen über ordnungsgemäß delegierte Nameserver erreichbar sein
  • Sicherheit — falsch konfigurierte Delegation kann Domains für Hijacking oder Spoofing anfällig machen
  • Leistung — gut strukturierte Delegation reduziert DNS-Lookup-Latenz

Wenn Sie eine neue Domain registrieren und eine zuverlässige Grundlage benötigen, bietet Domain-Registrierung mit AlexHost Ihnen von Anfang an vollständige Kontrolle über Ihre DNS-Einstellungen.

Schlüsselkomponenten der Domain-Delegation

Das Verständnis der Domain-Delegation erfordert Vertrautheit mit ihren Kernbausteinen. Jede Komponente spielt eine spezifische Rolle in der DNS-Hierarchie.

1. Die Parent-Domain

Die Parent-Domain ist die Domain, die in der DNS-Hierarchie über der delegierten Domain liegt. Sie enthält die NS-Einträge (Name Server), die Resolver zu den autoritativen Nameservern für die Child-Domain leiten.

Beispiel: Wenn Sie sub.example.com delegieren, ist die Parent-Domain example.com. Die DNS-Zone für example.com enthält die NS-Einträge, die die Autorität für sub.example.com an einen anderen Satz von Nameservern delegieren.

An der Spitze der Hierarchie stehen die Root-Nameserver, die die Autorität an Top-Level-Domain-Registries (TLD) delegieren (wie .com, .net oder .org). Diese TLD-Registries delegieren wiederum die Autorität an die Nameserver Ihres Domain-Registrars.

2. Die Child-Domain

Die Child-Domain ist die Domain oder Subdomain, die delegiert wird — die Entität, die Autorität erhält. Im obigen Beispiel ist sub.example.com die Child-Domain.

Child-Domains können sein:

  • Subdomains (z. B. api.example.com, mail.example.com, shop.example.com)
  • Ganze Second-Level-Domains (z. B. example.com delegiert von der .com TLD-Registry)

3. NS-Einträge (Name Server Records)

NS-Einträge sind der grundlegende Mechanismus der Delegation. Sie geben an, welche Nameserver für eine bestimmte Domain oder Subdomain autoritativ sind. Wenn ein DNS-Resolver während einer Abfrage auf einen NS-Eintrag trifft, weiß er, dass er diese Nameserver für weitere Informationen abfragen muss.

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

Best Practice schreibt vor, mindestens zwei NS-Einträge (primär und sekundär) zu haben, um Redundanz zu gewährleisten. Wenn ein Nameserver nicht verfügbar ist, setzt der andere die DNS-Antworten fort.

4. Glue Records

Glue Records sind ein spezieller DNS-Eintragstyp, der ein häufiges zirkuläres Abhängigkeitsproblem löst. Stellen Sie sich dieses Szenario vor:

  • Sie möchten sub.example.com an ns1.sub.example.com delegieren
  • Aber um ns1.sub.example.com zu finden, muss ein Resolver zuerst sub.example.com abfragen
  • Dies erzeugt eine Endlosschleife

Glue Records lösen dies, indem sie die IP-Adresse des Nameservers direkt in der Parent-Zone enthalten, wodurch die zirkuläre Abfrage umgangen wird.

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

Glue Records sind erforderlich, wenn die Nameserver für eine Child-Domain selbst Subdomains dieser Child-Domain sind. Sie werden auf Registrar-Ebene gespeichert und von der TLD-Registry bereitgestellt.

5. SOA-Eintrag (Start of Authority)

Jede delegierte Zone sollte einen SOA-Eintrag haben, der administrative Informationen über die Zone definiert, einschließlich:

  • Der primäre Nameserver
  • Die E-Mail-Adresse der verantwortlichen Person
  • Seriennummer (für Versionierung von Zonentransfers)
  • Refresh-, Retry-, Expire- und Minimum-TTL-Werte

Der SOA-Eintrag signalisiert, dass eine Zone ordnungsgemäß konfiguriert und autoritativ ist.

Wie Domain-Delegation funktioniert: Schritt-für-Schritt DNS-Auflösung

Wenn ein Benutzer sub.example.com in seinen Browser eingibt, entfaltet sich hinter den Kulissen ein ausgefeilter Auflösungsprozess. Hier ist genau das, was passiert:

Schritt 1: Recursive Resolver Query

Das Gerät des Benutzers sendet eine DNS-Abfrage an einen rekursiven Resolver — typischerweise betrieben von seinem ISP oder einem öffentlichen DNS-Anbieter wie Google (8.8.8.8) oder Cloudflare (1.1.1.1). Die Aufgabe des Resolvers ist es, die Antwort zu finden, indem er die DNS-Hierarchie abfragt.

Schritt 2: Root-Nameserver-Abfrage

Wenn der Resolver die Antwort nicht im Cache hat, fragt er einen der 13 Root-Nameserver-Cluster ab. Die Root-Server kennen die IP-Adresse von sub.example.com nicht, aber sie wissen, welche Nameserver für die .com TLD autoritativ sind.

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

Schritt 3: TLD-Nameserver-Abfrage

Der Resolver fragt die .com TLD-Nameserver ab. Diese Server wissen, welche Nameserver für example.com autoritativ sind (wie durch Ihren Domain-Registrar registriert).

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

Schritt 4: Parent-Domain-Nameserver-Abfrage

Der Resolver fragt ns1.registrar.com ab (den autoritativen Nameserver für example.com). Dieser Server enthält die NS-Einträge für die Delegation von sub.example.com.

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

Schritt 5: Child-Domain-Nameserver-Abfrage

Der Resolver fragt nun ns1.childnameserver.com ab — den autoritativen Nameserver für sub.example.com. Dieser Server gibt die angeforderten DNS-Einträge zurück, wie z. B. einen A-Eintrag (IP-Adresse) oder MX-Eintrag (Mail-Server).

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

Schritt 6: Antwort bereitgestellt

Der rekursive Resolver gibt die IP-Adresse an den Browser des Benutzers zurück, der dann eine Verbindung zum Webserver unter dieser Adresse herstellt. Der gesamte Prozess wird typischerweise in Millisekunden abgeschlossen.

Jeder Schritt in dieser Kette stellt eine Delegation der Autorität dar — von Root zu TLD zu Registrar zu den Nameservern Ihres Hosting-Providers.

Wie man eine Domain oder Subdomain delegiert: Praktische Schritte

Egal ob Sie eine ganze Domain an einen neuen Hosting-Provider delegieren oder eine Subdomain in eine separate DNS-Zone aufteilen, der Prozess folgt einem konsistenten Muster.

Schritt 1: Ziel-Nameserver identifizieren

Bestimmen Sie, welche Nameserver für die Child-Domain autoritativ sein werden. Dies wird typischerweise bereitgestellt von:

  • Ihrem Hosting-Provider (z. B. ns1.alexhost.com, ns2.alexhost.com)
  • Einem dedizierten DNS-Management-Service
  • Ihrer eigenen selbst gehosteten DNS-Infrastruktur

Wenn Sie Ihre eigenen Server betreiben und vollständige Kontrolle über Ihre DNS-Umgebung benötigen, bietet VPS-Hosting von AlexHost den Root-Zugriff und die Netzwerkzuverlässigkeit, die erforderlich sind, um autoritative Nameserver zu betreiben.

Schritt 2: NS-Einträge in der Parent-Zone hinzufügen

Melden Sie sich im Kontrollpanel Ihres Domain-Registrars an und navigieren Sie zum DNS-Management-Bereich für die Parent-Domain. Fügen Sie NS-Einträge hinzu, die auf die delegierten Nameserver verweisen.

Beispiel — Delegation von shop.example.com zu einer separaten Hosting-Umgebung:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

Wichtig: Setzen Sie einen angemessenen TTL (Time to Live). Ein TTL von 3600 Sekunden (1 Stunde) ist üblich. Niedrigere TTLs ermöglichen schnellere Propagation von Änderungen, erhöhen aber die DNS-Abfragelast.

Schritt 3: Glue Records hinzufügen, falls erforderlich

Wenn die Nameserver Ihrer Child-Domain Subdomains der Child-Domain selbst sind, kontaktieren Sie Ihren Registrar, um Glue Records hinzuzufügen. Dies wird auf Registrar-Ebene durchgeführt, nicht in Ihrer DNS-Zonendatei.

Schritt 4: Child-Zone konfigurieren

Erstellen Sie auf den delegierten Nameservern die DNS-Zone für die Child-Domain und fügen Sie alle erforderlichen Einträge hinzu:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

Schritt 5: Propagation überprüfen

DNS-Änderungen können je nach TTL-Werten und Caching-Verhalten überall von wenigen Minuten bis 48 Stunden dauern, um global zu propagieren. Verwenden Sie Tools wie:

  • dig (Linux/macOS): dig NS shop.example.com @8.8.8.8
  • nslookup (Windows): nslookup -type=NS shop.example.com
  • Online-Tools: dnschecker.org oder whatsmydns.net

Domain-Delegation vs. DNS-Hosting: Den Unterschied verstehen

Diese beiden Konzepte sind eng verwandt, aber unterschiedlich:

KonzeptDefinition
Domain-RegistrierungReservierung eines Domainnamens durch einen Registrar
DNS-HostingBereitstellung der Nameserver, die DNS-Abfragen beantworten
Domain-DelegationWeiterleitung einer Domain oder Subdomain an bestimmte Nameserver

Sie können eine Domain bei einem Provider registrieren und sie an Nameserver delegieren, die von einem völlig anderen Provider betrieben werden. Dies ist äußerst üblich — beispielsweise die Registrierung einer Domain bei einem Budget-Registrar, aber das DNS-Hosting bei einem Provider, der überlegene Leistung oder erweiterte Funktionen bietet.

Für Unternehmen, die professionelle E-Mail neben ihrer Web-Präsenz benötigen, integriert sich E-Mail-Hosting von AlexHost nahtlos in Ihre DNS-Konfiguration und gewährleistet korrekte MX-Eintrag-Einrichtung und zuverlässige Mail-Zustellung.

Häufige Domain-Delegations-Szenarien

Szenario 1: Verschieben einer Domain zu einem neuen Hosting-Provider

Bei der Migration von einem Host zu einem anderen aktualisieren Sie die NS-Einträge bei Ihrem Registrar, um auf die Nameserver des neuen Providers zu verweisen. Die DNS-Server des neuen Providers werden dann autoritativ für Ihre Domain.

Wichtiger Tipp: Konfigurieren Sie alle DNS-Einträge auf den neuen Nameservern, *bevor* Sie die NS-Einträge beim Registrar ändern. Dies minimiert Ausfallzeiten während des Übergangs.

Szenario 2: Delegation einer Subdomain an eine SaaS-Plattform

Viele SaaS-Plattformen (z. B. E-Commerce-Plattformen, CDN-Provider) erfordern, dass Sie eine Subdomain an ihre Nameserver delegieren. Beispielsweise die Delegation von shop.yourdomain.com an eine gehostete E-Commerce-Plattform, während www.yourdomain.com auf Ihrem Haupt-Hosting bleibt.

Szenario 3: Aufteilen der Infrastruktur über mehrere Provider

Große Organisationen delegieren häufig verschiedene Subdomains an verschiedene Infrastruktur-Provider:

  • api.example.com → Cloud-Provider A
  • cdn.example.com → CDN-Provider B
  • mail.example.com → Dedizierte E-Mail-Infrastruktur

Diese Architektur erfordert sorgfältiges DNS-Management, ermöglicht aber Best-of-Breed-Infrastruktur-Entscheidungen. Ein Dedicated Server kann als zuverlässiger Anker für Ihre primäre DNS-Zone dienen, während Subdomains an spezialisierte Provider delegiert werden.

Szenario 4: Interne DNS-Delegation

In Enterprise-Umgebungen werden interne Domains (z. B. corp.internal) häufig an interne DNS-Server delegiert, die nicht öffentlich zugänglich sind. Dies ermöglicht es Organisationen, interne Ressourcen (Intranet-Seiten, interne APIs, Drucker) über die gleiche DNS-Infrastruktur wie ihre öffentlichen Domains zu verwalten.

Sicherheitsüberlegungen bei Domain-Delegation

Domain-Delegation führt mehrere Sicherheitsrisiken ein, die Administratoren aktiv mindern müssen.

DNSSEC (DNS Security Extensions)

DNSSEC fügt DNS-Einträgen kryptographische Signaturen hinzu, die es Resolvern ermöglichen, zu überprüfen, dass Antworten authentisch sind und nicht manipuliert wurden. Bei der Delegation einer Domain erfordert DNSSEC:

  1. Signierung der Child-Zone mit einem Zone Signing Key (ZSK) und Key Signing Key (KSK)
  2. Hinzufügen von DS-Einträgen (Delegation Signer) zur Parent-Zone
  3. Etablierung einer Vertrauenskette vom Root bis zu Ihrer Zone

DNSSEC wird dringend empfohlen für jede Domain, die sensible Daten oder Finanztransaktionen verarbeitet. Kombinieren Sie DNSSEC mit einem SSL-Zertifikat, um sowohl DNS-Ebenen- als auch Transport-Ebenen-Sicherheit für Ihre Domain zu bieten.

Subdomain-Übernahme

Subdomain-Übernahme tritt auf, wenn die DNS-Einträge einer Subdomain auf eine Ressource verweisen (z. B. einen Cloud-Service, CDN-Endpunkt), die nicht mehr existiert, was einem Angreifer ermöglicht, diese Ressource zu beanspruchen und bösartige Inhalte unter Ihrer Domain bereitzustellen.

Prävention:

  • Überprüfen Sie DNS-Einträge regelmäßig und entfernen Sie veraltete Delegationen
  • Überwachen Sie auf nicht beanspruchte Ressourcen, die mit Ihren Subdomains verbunden sind
  • Verwenden Sie DNS-Monitoring-Tools, die bei unerwarteten Änderungen warnen

Registrar-Kontosicherheit

Da die Domain-Delegation auf Registrar-Ebene kontrolliert wird, ist Ihr Registrar-Konto ein hochrangiges Ziel. Schützen Sie es mit:

  • Starken, eindeutigen Passwörtern
  • Zwei-Faktor-Authentifizierung (2FA)
  • Registrar-Sperre (auch Domain-Sperre oder Transfer-Sperre genannt), um unbefugte Transfers zu verhindern

DNS-Cache-Poisoning

Cache-Poisoning-Angriffe versuchen, betrügerische DNS-Einträge in die Caches von Resolvern einzufügen und Benutzer auf bösartige Seiten umzuleiten. DNSSEC ist die primäre Verteidigung gegen diesen Angriffsvektor.

Best Practices für Domain-Delegation

Die Anwendung dieser Best Practices hält Ihre DNS-Infrastruktur sicher, zuverlässig und wartbar.

✅ Mehrere Nameserver verwenden

Konfigurieren Sie immer mindestens zwei Nameserver für Redundanz. Idealerweise sollten sie geografisch verteilt sein und auf separater Netzwerk-Infrastruktur betrieben werden, um Single Points of Failure zu eliminieren.

✅ Angemessene TTL-Werte setzen

  • Hoher TTL (86400 Sekunden / 24 Stunden): Reduziert DNS-Abfragelast und verbessert Leistung. Verwenden Sie für stabile Einträge.
  • Niedriger TTL (300–900 Sekunden): Ermöglicht schnellere Propagation von Änderungen. Verwenden Sie vorübergehend vor geplanten Migrationen.

✅ Alle DNS-Änderungen dokumentieren

Führen Sie ein Änderungsprotokoll für jede DNS-Änderung, einschließlich:

  • Was wurde geändert
  • Warum es geändert wurde
  • Wann es geändert wurde
  • Wer die Änderung vorgenommen hat

Diese Dokumentation ist während der Incident-Reaktion und Audits unbezahlbar.

✅ DNS-Gesundheit kontinuierlich überwachen

Implementieren Sie Monitoring, das Sie warnt bei:

  • Unerwarteten NS-Eintrag-Änderungen
  • DNS-Auflösungsfehlern
  • Ungewöhnlichen Abfragemustern (möglicher DDoS oder Aufklärung)
  • Zertifikat-Ablauf (relevant für DNSSEC und SSL)

✅ Vor der Propagation testen

Verwenden Sie dig oder nslookup, um Ihre neuen Nameserver direkt abzufragen, bevor Sie NS-Einträge beim Registrar aktualisieren. Dies bestätigt, dass die Zone ordnungsgemäß konfiguriert ist, bevor die Delegation live geht.

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ DNSSEC implementieren

Aktivieren Sie DNSSEC auf allen öffentlich zugänglichen Domains, besonders auf solchen, die Authentifizierung, Zahlungen oder sensible Benutzerdaten verarbeiten.

✅ Delegationen regelmäßig überprüfen

Überprüfen Sie alle NS-Delegationen vierteljährlich. Entfernen Sie Delegationen für stillgelegte Subdomains und überprüfen Sie, dass aktive Delegationen immer noch auf die richtigen, funktionierenden Nameserver verweisen.

Behebung häufiger Domain-Delegations-Probleme

Problem: DNS wird nach Delegationsänderung nicht aufgelöst

Ursache: Alte TTL-Werte führen dazu, dass zwischengespeicherte Antworten bestehen bleiben.

Lösung: Warten Sie,

15%

15% auf alle Hosting-Dienste sparen

Teste deine Fähigkeiten und erhalte Rabatt auf jeden Hosting-Plan

Benutze den Code:

Skills
Anfangen