Linkedin Twitter Youtube Instagram

Wie DNS technisch funktioniert: ICANN, DNS-Auflösung und die Autoritätskette erklärt

Das Verständnis des Domain Name Systems (DNS) beginnt oft mit Begriffen wie Root-Server, TLDs und autoritativen Nameservern. Doch DNS ist kein einzelnes System, das alles zentral auflöst. Es handelt sich um eine bewusst verteilte Architektur, die für globale Skalierbarkeit und Stabilität konzipiert wurde.

An der Spitze dieser Struktur steht ICANN – nicht als Resolver, sondern als Koordinator der Autorität innerhalb des DNS-Ökosystems.

Welche Rolle spielt ICANN im DNS?

ICANN:

  • löst keine Domainnamen auf
  • beantwortet keine DNS-Anfragen
  • liefert keine IP-Adressen zurück

Stattdessen definiert ICANN, wer für welche Teile des DNS-Namensraums zuständig ist, und verwaltet über IANA die Root-Zone.

Vereinfacht gesagt erstellt ICANN die Autoritätslandkarte des Internets:

  • Wer verwaltet .com?
  • Wer ist für .de, .tr oder .eu zuständig?
  • Welche Organisationen dürfen kritische DNS-Infrastruktur betreiben?

ICANN hat keinen direkten Kontakt mit Endnutzern – und genau das ist beabsichtigt.

Warum DNS hierarchisch aufgebaut ist

Ein zentralisiertes DNS wäre:

  • nicht skalierbar
  • extrem ausfallanfällig
  • politisch und technisch riskant

Deshalb basiert DNS auf einem hierarchischen Delegationsmodell:

 
Root (.) → Top-Level-Domain (.com, .org, .de) → Domain (example.com) → Subdomain (api.example.com)

Jede Ebene delegiert Verantwortung an die nächste. Keine Ebene löst alles selbst.

Root-Zone und Root-Server

Die Root-Zone speichert keine IP-Adressen.

Root-Server beantworten nur eine grundlegende Frage:

„Welche Nameserver sind für diese TLD zuständig?“

Beispiel: Bei der Auflösung von example.com antwortet der Root-Server:

„Hier sind die autoritativen Nameserver für .com.“

Die Root-Ebene löst niemals Domains direkt auf –
sie verweist ausschließlich auf die nächste Autoritätsebene.

Was ist eine Registry im DNS?

Eine Registry verwaltet eine bestimmte Top-Level-Domain.

Beispielsweise weiß die .com-Registry:

  • welche Domains registriert sind
  • welche autoritativen Nameserver sie verwenden
  • welche DNSSEC-Delegationen existieren

Registries geben jedoch keine IP-Adressen zurück.
Ihre Aufgabe lautet:

„Diese Domain wird von diesen Nameservern autoritativ verwaltet.“

Eine Registry ist ein Verzeichnis, kein Resolver.

Die Rolle der Registrare

Registrare operieren auf der kommerziellen Ebene des DNS.

Sie ermöglichen:

  • Domain-Registrierungen
  • Verlängerungen
  • Änderungen der Nameserver

Diese Informationen werden an die Registry weitergegeben.
Registrare sind nicht an der eigentlichen DNS-Auflösung beteiligt.

Wo die DNS-Auflösung wirklich stattfindet

Die eigentliche DNS-Auflösung erfolgt durch den rekursiven Resolver.

Wenn ein Browser api.example.com anfragt, passiert Folgendes:

  1. Cache-Prüfung

  2. Anfrage an die Root-Server

  3. Anfrage an die TLD-Nameserver

  4. Anfrage an den autoritativen Nameserver

  5. Caching der Antwort und Rückgabe der IP-Adresse

Der Resolver validiert jeden Schritt.
Hier findet die tatsächliche Arbeit statt.

Autoritativer DNS: Die finale Quelle der Wahrheit

Der autoritative Nameserver enthält die eigentlichen DNS-Einträge, z. B.:

 
api.example.com → 192.0.2.1

Sobald diese Antwort geliefert wird, endet der Auflösungsprozess.
Der autoritative Server hat das letzte Wort.

Link:  Wesentliche Konzepte für moderne Cloud-Architektur: Ein vollständiges technisches Glossar

Registry vs. Resolver – eine häufige Verwechslung

Diese Rollen werden oft vermischt, sind aber grundlegend verschieden:

  • Registry: „Wo befinden sich die autoritativen Nameserver dieser Domain?“
  • Resolver: „Welche IP-Adresse gehört zu dieser Domain?“

Der eine weist den Weg.
Der andere liefert die Antwort.

Wie DNSSEC in die Autoritätskette passt

DNSSEC ergänzt DNS um kryptografische Prüfungen zwischen allen Ebenen.

Es stellt sicher, dass:

  • Antworten authentisch sind
  • Daten nicht manipuliert wurden

Der Trust Anchor beginnt an der Root-Ebene, koordiniert durch ICANN/IANA –
doch auch hier gilt: ICANN löst keine Anfragen auf.

Warum DNS so entworfen wurde

DNS vermeidet bewusst:

  • zentrale Ausfallpunkte
  • eine einzige kontrollierende Instanz

Stattdessen setzt es auf Delegation, Verifikation und verteilte Verantwortung.

Diese Architektur wirkt komplex, ermöglicht aber ein stabiles, global skalierbares Internet.

Kernaussagen

  • ICANN definiert Autorität, nicht Auflösung
  • DNS basiert auf hierarchischer Delegation
  • Registries wissen, wo gefragt werden muss
  • Resolver führen die eigentliche Abfrage durch
  • Autoritative Nameserver liefern die endgültige Antwort
  • DNS ist ein kontrolliertes, verteiltes System – absichtlich

SEO-Keywords (integriert)

ICANN, DNS-Auflösung, DNS-Autoritätskette, Root-Server, TLD-Registry, autoritativer DNS, rekursiver Resolver, DNS-Hierarchie, DNSSEC

Linkedin Twitter Youtube Instagram
Post Views: 640

Related Posts: