Sparen Sie 15% bei allen Hosting-Diensten

Teste deine Fähigkeiten und erhalte Rabatt auf jeden Hosting-Plan

Benutze den Code: Skills Anfangen
Abschnitte
DNS Domainnamen

Domain-Delegation erklärt: Ein vollständiger Leitfaden zu DNS-Autorität und Subdomain-Verwaltung

Ob Sie eine neue Website starten, eine komplexe Infrastruktur skalieren oder einfach nur verstehen möchten, wie das Internet Domainnamen auflöst, Domain-Delegation ist ein Konzept, das Sie nicht übersehen dürfen. Es liegt im Herzen des Domain Name System (DNS) und bestimmt, wie die Autorität über Domainnamen im Internet verteilt wird.

Dieser Leitfaden erklärt alles, was Sie über Domain-Delegation wissen müssen — was es ist, wie es funktioniert, seine Schlüsselkomponenten und die Best Practices, die Ihre DNS-Infrastruktur zuverlässig und leistungsfähig halten.

Was ist Domain-Delegation?

Domain-Delegation ist der Prozess der Übertragung der autoritativen Kontrolle über eine bestimmte Domain oder Subdomain auf einen bestimmten Satz von Nameservern. In der Praxis bedeutet dies, dem Internet zu sagen: *"Für Fragen zu dieser Domain oder Subdomain fragt diese Nameserver – sie sind zuständig."*

Wenn eine DNS-Abfrage für eine Domain durchgeführt wird, folgen Resolver einer Autoritätskette. Domain-Delegation definiert diese Kette. Ohne sie hätte das DNS-System – das täglich Milliarden von Abfragen verarbeitet – keine strukturierte Möglichkeit, die Verantwortung auf Millionen von Domains zu verteilen.

Domain-Delegation ist nicht nur eine technische Formalität. Sie wirkt sich direkt aus auf:

  • Website-Verfügbarkeit – falsche Delegation führt zu DNS-Auflösungsfehlern
  • E-Mail-Zustellbarkeit – MX-Records müssen über ordnungsgemäß delegierte Nameserver erreichbar sein
  • Sicherheit – falsch konfigurierte Delegation kann Domains für Hijacking oder Spoofing anfällig machen
  • Leistung – gut strukturierte Delegation reduziert die DNS-Lookup-Latenz

Wenn Sie eine neue Domain registrieren und eine zuverlässige Grundlage benötigen, bietet Ihnen Domain-Registrierung mit AlexHost von Anfang an vollständige Kontrolle über Ihre DNS-Einstellungen.

Schlüsselkomponenten der Domain-Delegation

Das Verständnis der Domain-Delegation erfordert Vertrautheit mit ihren Kernkomponenten. Jede Komponente spielt eine spezifische Rolle in der DNS-Hierarchie.

1. Die Parent-Domain

Die Parent-Domain ist die Domain, die in der DNS-Hierarchie über der delegierten Domain sitzt. Sie enthält die NS (Name Server)-Einträge, die Resolver zu den autoritativen Nameservern für die Child-Domain leiten.

Beispiel: Wenn Sie sub.example.com delegieren, ist die Parent-Domain example.com. Die DNS-Zone für example.com enthält die NS-Einträge, die die Autorität für sub.example.com an einen anderen Satz von Nameservern delegieren.

An der Spitze der Hierarchie befinden sich die Root-Nameserver, die die Autorität an Top-Level-Domain (TLD)-Registries delegieren (wie .com, .net oder .org). Diese TLD-Registries delegieren wiederum die Autorität an die Nameserver Ihrer Domain-Registrierungsstelle.

2. Die Child-Domain

Die Child-Domain ist die Domain oder Subdomain, die delegiert wird – die Entität, die Autorität erhält. Im obigen Beispiel ist sub.example.com die Child-Domain.

Child-Domains können sein:

  • Subdomains (z. B. api.example.com, mail.example.com, shop.example.com)
  • Ganze Second-Level-Domains (z. B. example.com delegiert von der .com TLD-Registry)

3. NS-Einträge (Name Server Records)

NS-Einträge sind der grundlegende Mechanismus der Delegation. Sie geben an, welche Nameserver für eine bestimmte Domain oder Subdomain autoritativ sind. Wenn ein DNS-Resolver während einer Abfrage auf einen NS-Eintrag trifft, weiß er, dass er diese Nameserver für weitere Informationen abfragen muss.

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

Best Practice schreibt vor, mindestens zwei NS-Einträge (primär und sekundär) zu haben, um Redundanz zu gewährleisten. Wenn ein Nameserver nicht verfügbar wird, setzt der andere die DNS-Antworten fort.

4. Glue Records

Glue Records sind ein spezieller DNS-Eintragstyp, der ein häufiges zirkuläres Abhängigkeitsproblem löst. Betrachten Sie dieses Szenario:

  • Sie möchten sub.example.com an ns1.sub.example.com delegieren
  • Aber um ns1.sub.example.com zu finden, muss ein Resolver zuerst sub.example.com abfragen
  • Dies erzeugt eine Endlosschleife

Glue Records lösen dies, indem sie die IP-Adresse des Nameservers direkt in der Parent-Zone eintragen und so die zirkuläre Abfrage umgehen.

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

Glue Records sind obligatorisch, wenn die Nameserver für eine Child-Domain selbst Subdomains dieser Child-Domain sind. Sie werden auf der Ebene der Domain-Registrierungsstelle gespeichert und von der TLD-Registry bereitgestellt.

5. SOA-Eintrag (Start of Authority)

Jede delegierte Zone sollte einen SOA-Eintrag haben, der administrative Informationen über die Zone definiert, einschließlich:

  • Der primäre Nameserver
  • Die E-Mail-Adresse der verantwortlichen Partei
  • Seriennummer (verwendet für Zonentransfer-Versionierung)
  • Refresh-, Retry-, Expire- und Minimum-TTL-Werte

Der SOA-Eintrag signalisiert, dass eine Zone ordnungsgemäß konfiguriert und autoritativ ist.

Wie Domain-Delegation funktioniert: Schritt-für-Schritt DNS-Auflösung

Wenn ein Benutzer sub.example.com in seinen Browser eingibt, entfaltet sich hinter den Kulissen ein ausgefeilter Auflösungsprozess. Hier ist genau das, was passiert:

Schritt 1: Recursive Resolver Query

Das Gerät des Benutzers sendet eine DNS-Abfrage an einen rekursiven Resolver — normalerweise betrieben von seinem ISP oder einem öffentlichen DNS-Anbieter wie Google (8.8.8.8) oder Cloudflare (1.1.1.1). Die Aufgabe des Resolvers ist es, die Antwort zu finden, indem er die DNS-Hierarchie abfragt.

Schritt 2: Root Name Server Lookup

Wenn der Resolver die Antwort nicht im Cache hat, fragt er einen der 13 Root Name Server Cluster ab. Die Root-Server kennen die IP-Adresse von sub.example.com nicht, aber sie wissen, welche Name Server für die .com TLD autoritativ sind.

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

Schritt 3: TLD Name Server Lookup

Der Resolver fragt die .com TLD Name Server ab. Diese Server wissen, welche Name Server für example.com autoritativ sind (wie bei Ihrer Domain-Registrierungsstelle registriert).

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

Schritt 4: Parent Domain Name Server Lookup

Der Resolver fragt ns1.registrar.com ab (den autoritativen Name Server für example.com). Dieser Server enthält die NS-Records für die Delegation von sub.example.com.

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

Schritt 5: Child Domain Name Server Lookup

Der Resolver fragt nun ns1.childnameserver.com ab — den autoritativen Name Server für sub.example.com. Dieser Server gibt die angeforderten DNS-Records zurück, wie z. B. einen A-Record (IP-Adresse) oder MX-Record (Mail-Server).

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

Schritt 6: Response Delivered

Der rekursive Resolver gibt die IP-Adresse an den Browser des Benutzers zurück, der dann eine Verbindung zum Webserver unter dieser Adresse herstellt. Der gesamte Prozess wird normalerweise in Millisekunden abgeschlossen.

Jeder Schritt in dieser Kette stellt eine Delegierung der Autorität dar — vom Root zum TLD zum Registrar zu den Name Servern Ihres Hosting-Anbieters.

So delegieren Sie eine Domain oder Subdomain: Praktische Schritte

Egal ob Sie eine gesamte Domain an einen neuen Hosting-Anbieter delegieren oder eine Subdomain in eine separate DNS-Zone aufteilen – der Prozess folgt einem konsistenten Muster.

Schritt 1: Identifizieren Sie die Ziel-Nameserver

Bestimmen Sie, welche Nameserver für die untergeordnete Domain autoritativ sein werden. Dies wird normalerweise bereitgestellt von:

  • Ihrem Hosting-Anbieter (z. B. ns1.alexhost.com, ns2.alexhost.com)
  • Einem dedizierten DNS-Verwaltungsdienst
  • Ihrer eigenen selbstgehosteten DNS-Infrastruktur

Wenn Sie Ihre eigenen Server betreiben und vollständige Kontrolle über Ihre DNS-Umgebung benötigen, bietet VPS Hosting von AlexHost den Root-Zugriff und die Netzwerkzuverlässigkeit, die erforderlich sind, um autoritative Nameserver zu betreiben.

Schritt 2: Fügen Sie NS-Einträge in der übergeordneten Zone hinzu

Melden Sie sich im Kontrollpanel Ihrer Domain-Registrierungsstelle an und navigieren Sie zum DNS-Verwaltungsbereich für die übergeordnete Domain. Fügen Sie NS-Einträge hinzu, die auf die delegierten Nameserver verweisen.

Beispiel – Delegierung von shop.example.com an eine separate Hosting-Umgebung:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

Wichtig: Legen Sie einen angemessenen TTL (Time to Live) fest. Ein TTL von 3600 Sekunden (1 Stunde) ist üblich. Niedrigere TTLs ermöglichen eine schnellere Ausbreitung von Änderungen, erhöhen aber die DNS-Abfragelast.

Schritt 3: Fügen Sie Glue Records hinzu, falls erforderlich

Wenn die Nameserver Ihrer untergeordneten Domain Subdomains der untergeordneten Domain selbst sind, wenden Sie sich an Ihre Registrierungsstelle, um Glue Records hinzuzufügen. Dies wird auf der Ebene der Registrierungsstelle durchgeführt, nicht in Ihrer DNS-Zonendatei.

Schritt 4: Konfigurieren Sie die untergeordnete Zone

Erstellen Sie auf den delegierten Nameservern die DNS-Zone für die untergeordnete Domain und fügen Sie alle erforderlichen Einträge hinzu:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

Schritt 5: Überprüfen Sie die Ausbreitung

DNS-Änderungen können je nach TTL-Werten und Caching-Verhalten überall von einigen Minuten bis zu 48 Stunden dauern, um sich global auszubreiten. Verwenden Sie Tools wie:

  • dig (Linux/macOS): dig NS shop.example.com @8.8.8.8
  • nslookup (Windows): nslookup -type=NS shop.example.com
  • Online-Tools: dnschecker.org oder whatsmydns.net

Domain Delegation vs. DNS Hosting: Unterschiede verstehen

Diese beiden Konzepte sind eng miteinander verbunden, aber unterschiedlich:

KonzeptDefinition
Domain-RegistrierungReservierung eines Domänennamens über einen Registrar
DNS HostingBereitstellung der Nameserver, die DNS-Anfragen beantworten
Domain DelegationWeiterleitung einer Domain oder Subdomain zu spezifischen Nameservern

Sie können eine Domain bei einem Anbieter registrieren und sie an Nameserver delegieren, die von einem völlig anderen Anbieter betrieben werden. Dies ist äußerst verbreitet — beispielsweise die Registrierung einer Domain bei einem günstigen Registrar, aber DNS Hosting bei einem Anbieter, der überlegene Leistung oder erweiterte Funktionen bietet.

Für Unternehmen, die professionelle E-Mail neben ihrer Web-Präsenz benötigen, integriert sich Email Hosting von AlexHost nahtlos in Ihre DNS-Konfiguration und gewährleistet korrekte MX-Record-Einrichtung und zuverlässige Mailzustellung.

Häufige Domain-Delegierungsszenarien

Szenario 1: Verschieben einer Domain zu einem neuen Hosting-Anbieter

Bei der Migration von einem Host zu einem anderen aktualisieren Sie die NS-Einträge bei Ihrer Registrierungsstelle, um auf die Nameserver des neuen Anbieters zu verweisen. Die DNS-Server des neuen Anbieters werden dann zur Autorität für Ihre Domain.

Wichtiger Tipp: Konfigurieren Sie alle DNS-Einträge auf den neuen Nameservern, *bevor* Sie die NS-Einträge bei der Registrierungsstelle ändern. Dies minimiert Ausfallzeiten während des Übergangs.

Szenario 2: Delegieren einer Subdomain an eine SaaS-Plattform

Viele SaaS-Plattformen (z. B. E-Commerce-Plattformen, CDN-Anbieter) erfordern, dass Sie eine Subdomain an ihre Nameserver delegieren. Zum Beispiel das Delegieren von shop.yourdomain.com an eine gehostete E-Commerce-Plattform, während www.yourdomain.com auf Ihrem Haupt-Hosting verbleibt.

Szenario 3: Aufteilen der Infrastruktur auf mehrere Anbieter

Große Organisationen delegieren häufig verschiedene Subdomains an verschiedene Infrastrukturanbieter:

  • api.example.com → Cloud-Anbieter A
  • cdn.example.com → CDN-Anbieter B
  • mail.example.com → Dedizierte E-Mail-Infrastruktur

Diese Architektur erfordert sorgfältige DNS-Verwaltung, ermöglicht aber beste Infrastrukturwahlmöglichkeiten. Ein Dedicated Server kann als zuverlässiger Anker für Ihre primäre DNS-Zone dienen, während Subdomains an spezialisierte Anbieter delegiert werden.

Szenario 4: Interne DNS-Delegierung

In Unternehmensumgebungen werden interne Domains (z. B. corp.internal) häufig an interne DNS-Server delegiert, die nicht öffentlich zugänglich sind. Dies ermöglicht es Organisationen, interne Ressourcen (Intranet-Seiten, interne APIs, Drucker) über die gleiche DNS-Infrastruktur wie ihre öffentlichen Domains zu verwalten.

Sicherheitsaspekte bei Domain-Delegation

Domain-Delegation führt mehrere Sicherheitsrisiken ein, die Administratoren aktiv entschärfen müssen.

DNSSEC (DNS Security Extensions)

DNSSEC fügt DNS-Einträgen kryptographische Signaturen hinzu, die es Resolvern ermöglichen, zu überprüfen, dass Antworten authentisch sind und nicht manipuliert wurden. Bei der Delegation einer Domain erfordert DNSSEC:

  1. Signieren der Child-Zone mit einem Zone Signing Key (ZSK) und Key Signing Key (KSK)
  2. Hinzufügen von DS (Delegation Signer) Records zur Parent-Zone
  3. Etablieren einer Chain of Trust von der Root bis zu Ihrer Zone

DNSSEC wird dringend empfohlen für jede Domain, die sensible Daten oder Finanztransaktionen verarbeitet. Kombinieren Sie DNSSEC mit einem SSL Certificate, um sowohl DNS-Ebenen- als auch Transport-Ebenen-Sicherheit für Ihre Domain bereitzustellen.

Subdomain-Übernahme

Subdomain-Übernahme tritt auf, wenn DNS-Einträge einer Subdomain auf eine Ressource verweisen (z. B. einen Cloud-Service, CDN-Endpunkt), die nicht mehr existiert, was es einem Angreifer ermöglicht, diese Ressource zu beanspruchen und bösartige Inhalte unter Ihrer Domain bereitzustellen.

Prävention:

  • Überprüfen Sie DNS-Einträge regelmäßig und entfernen Sie veraltete Delegationen
  • Überwachen Sie nicht beanspruchte Ressourcen, die mit Ihren Subdomains verknüpft sind
  • Verwenden Sie DNS-Monitoring-Tools, die Sie vor unerwarteten Änderungen warnen

Sicherheit des Registrar-Kontos

Da Domain-Delegation auf Registrar-Ebene gesteuert wird, ist Ihr Registrar-Konto ein hochrangiges Ziel. Schützen Sie es mit:

  • Starken, eindeutigen Passwörtern
  • Zwei-Faktor-Authentifizierung (2FA)
  • Registrar-Sperre (auch Domain-Sperre oder Transfer-Sperre genannt), um unbefugte Transfers zu verhindern

DNS-Cache-Poisoning

Cache-Poisoning-Angriffe versuchen, betrügerische DNS-Einträge in die Caches von Resolvern einzuschleusen und Benutzer auf bösartige Websites umzuleiten. DNSSEC ist die primäre Verteidigung gegen diesen Angriffsvektor.

Best Practices für Domain-Delegation

Die Anwendung dieser Best Practices hält Ihre DNS-Infrastruktur sicher, zuverlässig und wartbar.

✅ Mehrere Name Server verwenden

Konfigurieren Sie immer mindestens zwei Name Server für Redundanz. Idealerweise sollten sie geografisch verteilt sein und auf separater Netzwerkinfrastruktur betrieben werden, um Single Points of Failure auszuschließen.

✅ Angemessene TTL-Werte festlegen

  • Hohe TTL (86400 Sekunden / 24 Stunden): Reduziert die DNS-Abfragelast und verbessert die Leistung. Verwenden Sie dies für stabile Records.
  • Niedrige TTL (300–900 Sekunden): Ermöglicht schnellere Propagation von Änderungen. Verwenden Sie dies vorübergehend vor geplanten Migrationen.

✅ Alle DNS-Änderungen dokumentieren

Führen Sie ein Änderungsprotokoll für jede DNS-Änderung, einschließlich:

  • Was wurde geändert
  • Warum wurde es geändert
  • Wann wurde es geändert
  • Wer hat die Änderung vorgenommen

Diese Dokumentation ist bei der Incident Response und bei Audits von unschätzbarem Wert.

✅ DNS-Gesundheit kontinuierlich überwachen

Implementieren Sie Monitoring, das Sie auf folgende Punkte hinweist:

  • Unerwartete NS-Record-Änderungen
  • DNS-Auflösungsfehler
  • Ungewöhnliche Abfragemuster (möglicher DDoS oder Reconnaissance)
  • Zertifikatablauf (relevant für DNSSEC und SSL)

✅ Vor der Propagation testen

Verwenden Sie dig oder nslookup, um Ihre neuen Name Server direkt abzufragen, bevor Sie NS-Records beim Registrar aktualisieren. Dies bestätigt, dass die Zone korrekt konfiguriert ist, bevor die Delegation live geht.

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ DNSSEC implementieren

Aktivieren Sie DNSSEC auf allen öffentlich zugänglichen Domains, besonders auf solchen, die Authentifizierung, Zahlungen oder sensible Benutzerdaten verarbeiten.

✅ Delegationen regelmäßig überprüfen

Überprüfen Sie alle NS-Delegationen vierteljährlich. Entfernen Sie Delegationen für stillgelegte Subdomains und überprüfen Sie, dass aktive Delegationen immer noch auf die korrekten, funktionsfähigen Name Server verweisen.

Behebung häufiger Domain-Delegierungsprobleme

Problem: DNS wird nach Delegierungsänderung nicht aufgelöst

Ursache: Alte TTL-Werte führen dazu, dass zwischengespeicherte Antworten bestehen bleiben.

Lösung: Warten Sie, bis die vorherige TTL abläuft. Senken Sie in Zukunft die TTL-Werte vor Änderungen.

Problem: Zirkuläre Abhängigkeit / Glue Record fehlt

Ursache: Name Server sind Subdomänen der delegierten Domain, aber Glue Records wurden nicht hinzugefügt.

Lösung: Kontaktieren Sie Ihren Registrar und fordern Sie Glue Records für die Name Server IP-Adressen an.

Problem: Teilweise Auflösung (funktioniert an einigen Orten, nicht an anderen)

Ursache: DNS-Propagierung läuft noch, oder einige Resolver speichern alte Records zwischen.

Lösung: Warten Sie auf vollständige Propagierung (bis zu 48 Stunden). Verwenden Sie dnschecker.org, um den globalen Propagierungsstatus zu überwachen.

Problem: E-Mail funktioniert nach Delegierung nicht mehr

Ursache: MX Records sind nicht in der neuen Zone konfiguriert, oder die neuen Name Server sind noch nicht autoritativ.

Lösung: Überprüfen Sie, ob MX Records in der Child Zone vorhanden sind. Bestätigen Sie, dass die NS-Delegierung abgeschlossen ist, bevor Sie den alten DNS außer Betrieb nehmen.

Problem: DNSSEC-Validierungsfehler

Ursache: DS Records in der Parent Zone stimmen nicht mit DNSKEY Records in der Child Zone überein, oder Schlüssel wurden rotiert, ohne die Parent Zone zu aktualisieren.

Lösung: Generieren Sie DS Records neu und veröffentlichen Sie sie erneut in der Parent Zone. Befolgen Sie ordnungsgemäße Verfahren für den Schlüsselwechsel.

Fazit

Domain-Delegation ist einer der grundlegenden Mechanismen, die das DNS-System des Internets skalierbar, verteilt und verwaltbar machen. Wenn Sie verstehen, wie die Autorität von Root-Servern über TLD-Registries, Registrare und Hosting-Provider zu Ihren spezifischen Nameservern fließt, erhalten Sie das Wissen, das Sie benötigen, um zuverlässige, sichere und leistungsstarke Domain-Infrastruktur zu entwerfen.

Ob Sie eine einzelne Subdomain an eine SaaS-Plattform delegieren, eine gesamte Domain zu einem neuen Hosting-Provider migrieren oder eine komplexe Multi-Provider-DNS-Architektur aufbauen – die Prinzipien bleiben konsistent: Konfigurieren Sie NS-Records korrekt, fügen Sie Glue Records hinzu, wo nötig, überprüfen Sie Ihre Zone-Konfiguration vor dem Live-Gehen und überwachen Sie kontinuierlich.

Für eine solide Grundlage zum Aufbau Ihrer Online-Präsenz erkunden Sie AlexHost’s Shared Web Hosting für unkomplizierte Websites, VPS Hosting für Umgebungen, die vollständige DNS-Kontrolle erfordern, oder Dedicated Servers für Enterprise-Grade-Infrastruktur – alles unterstützt durch die Netzwerkzuverlässigkeit, auf die Ihre DNS-Konfiguration angewiesen ist.

*Haben Sie Fragen zur Konfiguration von DNS-Delegation für Ihre bei AlexHost gehostete Domain? Kontaktieren Sie unser Support-Team – wir sind hier, um Ihnen zu helfen, es richtig zu machen.*