DNS-Fehler (SERVFAIL/NXDOMAIN): Welche Schicht? + schneller Debug

DNS-Fehler wie SERVFAIL und NXDOMAIN gehören zu den häufigsten Ursachen, wenn Websites nicht laden, APIs ausfallen oder Anwendungen „plötzlich“ nicht mehr erreichbar sind. Gleichzeitig sorgen sie für Verwirrung: Ist das ein Netzwerkproblem, ein Serverproblem oder „nur“ ein DNS-Thema? Die kurze Antwort lautet: DNS ist in erster Linie Layer 7 (Application) im OSI-Modell – aber die eigentliche Ursache kann sehr wohl in Layer 3 oder Layer 4 liegen, etwa wenn der DNS-Resolver nicht erreichbar ist oder UDP/TCP 53 gefiltert wird. Genau deshalb ist ein schneller Debug wichtig, der nicht beim Fehlercode stehen bleibt, sondern die Frage beantwortet: Welcher Teil der DNS-Kette versagt? Dieser Praxisleitfaden zeigt Schritt für Schritt, wie Sie SERVFAIL und NXDOMAIN einordnen, woran Sie die häufigsten Ursachen erkennen und wie Sie mit wenigen Tests die zuständige Schicht bzw. das zuständige System identifizieren. Sie erhalten eine klare OSI-Zuordnung, typische Muster aus dem Betrieb, sowie eine schnelle Debug-Checkliste, die Sie direkt im Support oder NOC einsetzen können.

Welche OSI-Schicht ist DNS – und warum die Ursache trotzdem woanders liegen kann

DNS ist ein Anwendungsprotokoll und damit OSI Layer 7. Es beantwortet Fragen wie „Welche IP gehört zu diesem Hostnamen?“ oder „Welche Mailserver sind zuständig?“. In der Praxis läuft DNS jedoch über Transport und Netzwerk: typischerweise UDP/53 für normale Abfragen und TCP/53 für größere Antworten oder Zonentransfers (und als Fallback). Deshalb gilt:

• DNS-Fehlercode sichtbar = Layer 7 Symptom (die DNS-Antwort ist „kaputt“ oder unerwartet).
• DNS-Timeout/keine Antwort = häufig Layer 3/4 (Pfad, Firewall, NAT, MTU, Reachability).
• „DNS geht nicht“ im User-Sinn kann auch Proxy-, VPN- oder Policy-Themen einschließen.

Als Orientierung: Wenn Sie eine DNS-Antwort mit SERVFAIL oder NXDOMAIN erhalten, sind Transport und Pfad grundsätzlich funktionsfähig. Wenn Sie keine Antwort erhalten, ist die Wahrscheinlichkeit hoch, dass Layer 3/4 zuerst geprüft werden müssen.

SERVFAIL vs. NXDOMAIN: Was die Codes bedeuten – und was nicht

Die beiden Fehler werden häufig in einen Topf geworfen, haben aber völlig unterschiedliche Bedeutungen. Wer sie sauber trennt, spart viel Zeit.

NXDOMAIN: Der Name existiert nicht (aus Sicht des befragten DNS)

NXDOMAIN bedeutet: „Für diesen Namen gibt es keinen Eintrag“ (Non-Existent Domain). Das ist oft ein echtes „Domain/Record existiert nicht“-Problem – kann aber auch durch falsche DNS-Sicht (Split DNS), Tippfehler, falsche Suchsuffixe oder Filter/Rewrite entstehen.

• Typisch: neue Subdomain wurde noch nicht angelegt, oder wurde gelöscht.
• Häufig bei Split-DNS: intern existiert der Name, extern nicht – oder umgekehrt.
• Auch möglich: DNS-Filter ersetzt Antworten oder blockiert bestimmte Domains.

SERVFAIL: Der Resolver konnte die Anfrage nicht erfolgreich auflösen

SERVFAIL bedeutet: „Ich (Resolver/Nameserver) konnte die Anfrage nicht sauber beantworten.“ Das ist ein Sammelsignal für Probleme wie DNSSEC-Validierung, fehlerhafte Delegationen, unerreichbare autoritative Server, Timeouts in der Kette oder fehlerhafte Serverkonfiguration.

• Typisch: DNSSEC schlägt fehl (Signaturen ungültig, Kette kaputt).
• Delegation/NS-Records zeigen auf falsche oder nicht erreichbare Server.
• Autoritative Nameserver antworten zu langsam oder gar nicht.

Für vertiefende Details zu DNS-Grundlagen und Begriffen sind die Referenzen im Anchor-Text IANA-Informationen zu DNS und Domains sowie als Standardwerk der Anchor-Text RFC 1034 (DNS Konzepte) hilfreich.

Der schnelle OSI-Check: Antwort bekommen oder nicht?

Bevor Sie in Details gehen, treffen Sie eine klare Entscheidung: Kommt eine DNS-Antwort zurück (mit NXDOMAIN/SERVFAIL) oder kommt gar nichts (Timeout)? Das bestimmt den nächsten Layer.

• Antwort kommt zurück (NXDOMAIN/SERVFAIL): Fokus auf Layer 7 (Resolver-Logik, Autoritativ-Kette, DNSSEC, Records, Split DNS).
• Keine Antwort/Timeout: zuerst Layer 3/4 prüfen (Erreichbarkeit des Resolvers, UDP/TCP 53, VPN/Proxy/Firewall, MTU).

Schneller Debug in der Praxis: Schritt-für-Schritt-Runbook

Die folgenden Schritte sind bewusst so formuliert, dass sie unabhängig von Tools funktionieren. Sie können sie mit beliebigen DNS-Clients umsetzen (z. B. nslookup/dig/kdig, Resolver-UI, Monitoring-Checks).

Schritt 1: Ist das Problem domänenspezifisch oder global?

• Testen Sie 2–3 bekannte Domains (z. B. große öffentliche Seiten) und 1–2 betroffene Domains.
• Wenn alles scheitert: eher Resolver-Erreichbarkeit, Policy, falsche DNS-Konfiguration oder Netzproblem.
• Wenn nur eine Domain/Subdomain scheitert: eher Record/Delegation/DNSSEC/Zone.

Schritt 2: Welcher Resolver wird genutzt?

Viele DNS-Probleme sind schlicht eine Frage des „falschen“ Resolvers: ein interner DNS im VPN, ein lokaler Router-DNS im Homeoffice, ein Unternehmensresolver mit Filter, oder ein Client, der eine alte Adresse cached.

• Prüfen Sie, welche DNS-Server der Client tatsächlich verwendet (nicht nur „konfiguriert“).
• Vergleichen Sie mit einem alternativen Resolver (z. B. öffentlicher Resolver oder ein zweiter interner Resolver).
• Wenn nur ein bestimmter Resolver SERVFAIL liefert, liegt die Ursache wahrscheinlich dort (Cache, DNSSEC-Policy, Forwarder).

Schritt 3: NXDOMAIN analysieren – Name wirklich nicht vorhanden?

Bei NXDOMAIN ist die Kernfrage: Existiert der Name objektiv nicht, oder sieht Ihr Resolver ihn nicht? Gehen Sie strukturiert vor:

• Tippfehler/Suffix: Prüfen Sie Schreibweise, Suchsuffixe, Umleitungen, interne Shortnames.
• Split DNS: Testen Sie intern und extern getrennt. NXDOMAIN extern kann intern korrekt sein.
• Record-Typ: Prüfen Sie A/AAAA/CNAME separat. Manchmal existiert A, aber AAAA nicht – Clients mit IPv6-Präferenz stolpern dann indirekt.
• Propagation/TTL: Wurde der Record gerade erst angelegt oder geändert? Caches können alte Zustände halten.

Ein nützlicher, schneller Check ist ein Lookup über mehrere Perspektiven. Für Messungen aus unterschiedlichen Netzen und Standorten eignet sich der Anchor-Text RIPE Atlas, um Auflösung und Erreichbarkeit unabhängig gegenzuprüfen.

Schritt 4: SERVFAIL analysieren – wo bricht die Kette?

SERVFAIL entsteht häufig „hinter“ dem Resolver, also in der Kommunikation zu autoritativen Nameservern oder bei Validierung. Typische Ursachencluster:

• DNSSEC-Validierung: Signaturen oder DS-Records passen nicht zusammen, Zeit/Key-Rollover fehlerhaft.
• Delegation kaputt: NS-Records zeigen auf falsche Server, Glue-Records fehlen oder sind veraltet.
• Autoritative Server nicht erreichbar: Firewall, DDoS-Protection, Anycast-Störung, Rate-Limits.
• Forwarder-Probleme: Interner Resolver forwardet an Upstream, der selbst Fehler liefert oder blockiert.

Wenn Sie schnell klären wollen, ob DNSSEC beteiligt ist, prüfen Sie, ob das Problem bei validierenden Resolvern auftritt, aber bei nicht-validierenden Tests anders aussieht. Zur Einordnung von DNSSEC-Konzepten ist der Anchor-Text DNSSEC-Grundlagen bei ICANN hilfreich.

Timeout statt Fehlercode: Dann sind Layer 3/4 zuerst dran

Nicht jede DNS-Störung zeigt SERVFAIL oder NXDOMAIN. Häufig sehen Nutzer nur „DNS funktioniert nicht“, weil Anfragen ins Leere laufen. Dann ist die OSI-Logik anders: Sie haben keinen Layer-7-Fehlercode, sondern ein Kommunikationsproblem.

Layer 3: Erreichbarkeit des Resolvers

• Ist der DNS-Server (IP) erreichbar? Wenn nicht: Routing, VPN, Segmentierung, Gateway prüfen.
• Gibt es einen Unterschied zwischen WLAN und LAN oder zwischen Standorten?
• Bei IPv6: Ist der IPv6-Pfad stabil oder „halb“ kaputt (häufige Ursache für sporadische DNS-Ausfälle)?

Layer 4: UDP/TCP 53 und stateful Geräte

• UDP/53 wird häufig gefiltert oder rate-limitiert; auch TCP/53 muss im Zweifel funktionieren.
• Stateful Firewalls/NAT können DNS-Last falsch behandeln (State-Exhaustion, Timeouts).
• Bei großen Antworten (DNSSEC, viele Records) wird TCP wahrscheinlicher; blockiertes TCP/53 erzeugt dann scheinbar „zufällige“ Fehler.

Fehlerbilder, die oft falsch eingeordnet werden

Viele DNS-Probleme wirken wie „Netzwerk kaputt“, obwohl die Ursache DNS-spezifisch ist – oder umgekehrt. Die folgenden Muster helfen, schneller richtig zu priorisieren.

„Nur manche Websites gehen“

• Wahrscheinlich DNS/Policy: Webfilter, Secure DNS, Kategorienblock, Split DNS.
• Auch möglich: IPv6/AAAA liefert andere Ziele, die nicht erreichbar sind.

„Ping zur IP geht, aber Domain nicht“

• Wahrscheinlich Layer 7 (DNS): Auflösung, Resolver, Filter, NXDOMAIN.
• Hinweis: Wenn die Domain SERVFAIL liefert, ist es nicht „kein Internet“, sondern DNS-Kette/Validierung.

„Gleiches Gerät, anderes Netz: funktioniert“

• Wahrscheinlich Resolver/Policy: Unternehmensresolver, VPN-DNS, Proxy-DNS, lokaler Router-DNS.
• Gegenprobe: Resolver wechseln und Unterschiede dokumentieren.

TTL und Cache: Warum Fehler „kleben“ und plötzlich wieder verschwinden

DNS ist stark cache-basiert. Das ist im Normalfall gut für Performance, macht Fehler aber zäh: Ein NXDOMAIN kann gecacht werden (negative Caching), ein falscher A/AAAA-Record kann im Resolver hängen, und Clients (Browser/OS) haben eigene Caches. Das erklärt, warum ein Problem „bei manchen geht es, bei anderen nicht“ auftreten kann.

Negative Caching bei NXDOMAIN

Viele Resolver speichern NXDOMAIN-Ergebnisse für eine Zeit, damit wiederholte Anfragen nicht ständig bis zu den autoritativen Nameservern laufen. Diese Zeit hängt vom SOA-Record und Resolver-Policy ab. Praktisch bedeutet das: Ein neu angelegter Record kann trotz korrekter Konfiguration noch eine Weile als NXDOMAIN erscheinen.

Cache-Ebenen, die Sie im Debug berücksichtigen sollten

• Browser-Cache: DNS-Caching im Browser (je nach Produkt unterschiedlich).
• OS-Cache: lokaler Resolverdienst/Cache des Betriebssystems.
• Netzwerk-Resolver: Unternehmensresolver, Router, VPN-Resolver.
• Zwischenresolver: Forwarder, Upstream-Resolver, CDN-/ISP-Resolver.

Schnelle Debug-Checkliste zum Mitnehmen: SERVFAIL/NXDOMAIN in 5 Minuten einordnen

Wenn Sie wenig Zeit haben, folgen Sie dieser kompakten Reihenfolge. Jeder Schritt liefert eine klare Entscheidung.

• 1. Antwort oder Timeout? NXDOMAIN/SERVFAIL = Antwort vorhanden (Layer 7). Keine Antwort = Layer 3/4 zuerst.
• 2. Nur eine Domain oder viele? Eine Domain = Zone/Delegation/DNSSEC/Record. Viele = Resolver/Policy/Netz.
• 3. Resolver vergleichen: Interner Resolver vs. alternativer Resolver. Unterschied = Resolver/Forwarder/Policy.
• 4. NXDOMAIN: Schreibweise, Split DNS, Record-Typen (A/AAAA/CNAME), Cache/TTL.
• 5. SERVFAIL: DNSSEC-Validierung, Delegation/NS/Glue, Erreichbarkeit autoritativer Server, Forwarder-Kette.

Wenn Sie quantifizieren müssen: Fehlerquote verständlich berechnen

In Tickets, bei Provider-Eskalationen oder im Monitoring ist es oft hilfreich, nicht nur Einzelfehler zu nennen, sondern eine Quote: Wie viele DNS-Anfragen schlagen fehl? Das macht Auswirkungen messbar und vergleichbar.

Fehlerquote = fehlgeschlageneAnfragen gesamtAnfragen × 100 %

Dokumentation für saubere Eskalationen: Was Sie immer notieren sollten

DNS-Probleme eskalieren schneller, wenn klar dokumentiert ist, welcher Resolver welchen Code liefert und ob es ein Domain-spezifisches oder ein Resolver-spezifisches Problem ist. Notieren Sie deshalb konsequent:

• Betroffener Name: FQDN (voll qualifiziert), Record-Typ (A/AAAA/CNAME/MX).
• Fehlerbild: NXDOMAIN oder SERVFAIL oder Timeout (keine Antwort).
• Resolver: Welche DNS-Server wurden befragt (IP/Name), intern vs. extern.
• Vergleichstest: Ergebnis mit zweitem Resolver oder aus anderem Netz (z. B. RIPE Atlas).
• Zeitraum: Seit wann, sporadisch oder konstant, Änderungen/Deployments/Provider-Meldungen.

Wenn Sie zusätzlich tiefer in Protokolldetails oder Mitschnitte gehen müssen, ist als praxisnahe Referenz der Anchor-Text Wireshark-Dokumentation sinnvoll, um DNS-Response-Codes, Retransmits und TCP-Fallbacks sauber zu erkennen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.