#Hosting · 10 Min. Lesezeit · Tim Rinkel

KeyHelp: Eigene Nameserver mit Hetzner Secondary DNS einrichten

So betreibst du deine Domain mit eigenen Nameservern auf einem KeyHelp-Server mit nur einer IP – dank Hetzners kostenlosem Secondary DNS. Schritt für Schritt, mit Screenshots.

KeyHelp: Eigene Nameserver mit Hetzner Secondary DNS einrichten

Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.

Dein KeyHelp läuft und ist abgesichert — jetzt willst du es richtig machen: deine Domain über eigene Nameserver betreiben und die komplette DNS-Zone direkt im KeyHelp-Panel verwalten. Das wirkt professionell, gibt dir volle Kontrolle und ist die saubere Grundlage, wenn du später mehrere Domains auf dem Server hostest. Falls du neu hier bist: Starte mit Teil 1: KeyHelp installieren und Teil 2: KeyHelp absichern & Backups.

Es gibt nur einen Haken — und genau den lösen wir hier.

Das Problem: zwei Nameserver, aber nur eine IP

Eine .de-Domain (und praktisch jede andere) verlangt mindestens zwei Nameserver, oft sogar in unterschiedlichen Netzen. Das ist Ausfallsicherheit: Fällt ein Nameserver aus, muss ein zweiter übernehmen, sonst ist deine Domain für die halbe Welt nicht mehr erreichbar.

Dein KeyHelp-Server hat aber meist genau eine IPv4-Adresse. Zwei eigene Nameserver auf einer einzigen IP bringen dir die geforderte Ausfallsicherheit nicht — und manche Registrare lehnen das schlicht ab.

Die Lösung kostet dich keinen Cent: Hetzners kostenloser Secondary DNS. Dein KeyHelp-Server bleibt der Primary (Master) und verwaltet die Zone. Hetzner betreibt auf eigenen Servern in eigenen Netzen drei weitere, immer aktuelle Kopien. Genau das, was die Registry sehen will — ohne zweiten Server.

Voraussetzungen

Bevor wir loslegen:

  • Ein laufendes KeyHelp auf einem Server mit fester IP (siehe Teil 1). Wir gehen von einem Hetzner Cloud Server* aus, das Prinzip gilt aber für jeden vServer.
  • Eine registrierte Domain, bei der du die Nameserver selbst setzen kannst. Im Tutorial dient do.de als Beispiel-Registrar — bei anderen Anbietern heißen die Menüpunkte ähnlich.
  • SSH-Zugang zu deinem Server (wir bearbeiten kurz eine BIND-Konfigurationsdatei).
  • Etwas Geduld: DNS-Änderungen brauchen bis zu 24–48 Stunden, bis sie überall greifen.

Schreib dir vorab zwei Werte auf: die IPv4-Adresse deines KeyHelp-Servers und deinen Domainnamen. In den Beispielen steht DEINE-SERVER-IP für deine Server-IP, deinserver.de für die Domain deines Servers und deinedomain.de für die Domain, die du hosten willst.

Schritt 1: Einen Nameserver-Namen für deinen Server (einmalig)

Damit dein Server als Nameserver auftreten kann, braucht er einen Namen, der im Internet auf seine IP zeigt — zum Beispiel ns1.deinserver.de. Das richtest du nur ein einziges Mal ein, danach nutzt du diesen Nameserver für alle Domains auf dem Server. Viele KeyHelp-Server bringen das aus der Installation bereits mit.

Der Charme dieser Lösung: Weil ns1.deinserver.de einmal sauber bekannt ist und Hetzners Nameserver ohnehin weltweit bekannt sind, brauchst du für jede weitere gehostete Domain keine eigenen Glue-Records mehr — du trägst die Nameserver später einfach ein.

Schritt 2: Nameserver in KeyHelp hinterlegen

Jetzt sagst du KeyHelp, welche Nameserver es in jede Zone schreiben soll. Öffne Einstellungen → Konfiguration → DNS-Server und trage vier Nameserver ein:

  • ns1.deinserver.de — dein eigener Server (Primary)
  • ns1.first-ns.de
  • robotns2.second-ns.de
  • robotns3.second-ns.com

Die letzten drei sind Hetzners öffentliche Secondary-Nameserver. KeyHelp schreibt diese vier ab jetzt automatisch als NS-Records in jede DNS-Zone.

KeyHelp DNS-Server-Einstellungen mit dem eigenen Primary-Nameserver und Hetzners drei Secondary-Nameservern
In KeyHelp unter Konfiguration → DNS-Server: der eigene Nameserver (geschwärzt) plus Hetzners drei Secondaries.

Speichern mit „Speichern“. Bestehende Domains mit benutzerdefinierten DNS-Einstellungen bleiben unberührt.

Schritt 3: Domain in KeyHelp anlegen

Lege nun die Domain an, die du hosten willst. Gehe auf Domains → Domain hinzufügen und wähle zuerst den Besitzer (den Benutzer-Account, dem die Domain gehört).

KeyHelp Domain hinzufügen, Auswahl des Besitzers
Zuerst den Besitzer der Domain auswählen.

Im nächsten Schritt trägst du den vollständigen Domainnamen ein, lässt den Domain-Typ auf Hauptdomain und das Ziel auf Lokales Verzeichnis stehen.

KeyHelp Domain-Formular mit Domain-Typ Hauptdomain und Domainname-Feld
Domainname eintragen, Hauptdomain auswählen.

Im Reiter Sicherheit wählst du gleich das kostenlose Let’s-Encrypt-Zertifikat und aktivierst „Sichere Verbindung erzwingen“ (Weiterleitung von HTTP auf HTTPS).

KeyHelp Sicherheits-Reiter mit ausgewähltem Let's-Encrypt-Zertifikat
Let’s-Encrypt-Zertifikat auswählen und HTTPS erzwingen.

Nach dem Speichern taucht die Domain in der Übersicht auf — KeyHelp hat im Hintergrund die DNS-Zone mit deinen vier Nameservern erzeugt.

KeyHelp Domain-Übersicht mit der neu angelegten Domain
Die Domain ist angelegt und die Zone wird ab jetzt von deinem Server ausgeliefert.

Schritt 4: Hetzner Secondary DNS einrichten

Jetzt sagst du Hetzner, dass es die zweite Kopie deiner Zone übernehmen soll. Melde dich in der Hetzner Console an und öffne DNS. Beim ersten Mal ist die Liste leer.

Hetzner Console DNS-Bereich ohne vorhandene Zonen
Noch keine Zonen vorhanden — wir legen die erste an.

Klick auf DNS-Zone hinzufügen, gib deinen Domainnamen ein und wähle als Typ Sekundär.

Hetzner Dialog DNS-Zone hinzufügen mit ausgewählter Option Sekundär
Als Zonentyp „Sekundär“ wählen.

Als Primary Nameserver IP trägst du die IPv4-Adresse deines KeyHelp-Servers ein (im Beispiel DEINE-SERVER-IP). TSIG-Schlüssel lässt du leer. Hetzner wird gleich versuchen, die Zone von dort abzuholen — das klappt erst nach dem nächsten Schritt. Eine Fehlermeldung an dieser Stelle ist also normal.

Hetzner Dialog DNS-Zone konfigurieren mit Feld für die Primary Nameserver IP
Die IP deines KeyHelp-Servers als Primary Nameserver eintragen.

Nach dem Hinzufügen erscheint die Zone in der Liste — zunächst mit dem Status „wird aktualisiert“, weil der Transfer noch aussteht.

Hetzner Console mit der neu angelegten sekundären DNS-Zone in der Übersicht
Die sekundäre Zone ist angelegt und wartet auf den ersten Zonentransfer.

Schritt 5: Zonentransfer in KeyHelp/BIND freigeben

Damit Hetzner die Zone ziehen darf, muss dein Server den Zonentransfer (AXFR) für Hetzners IPs erlauben und sie bei Änderungen benachrichtigen (also-notify). KeyHelp nutzt im Hintergrund den DNS-Server BIND. Verbinde dich per SSH und öffne die globale BIND-Optionsdatei:

nano /etc/bind/named.conf.options

Ergänze innerhalb des options { … }-Blocks diese zwei Zeilen mit Hetzners Secondary-IPs:

allow-transfer { 213.239.242.238; 213.133.100.103; 193.47.99.3; };
also-notify    { 213.239.242.238; 213.133.100.103; 193.47.99.3; };
BIND-Konfigurationsdatei named.conf.options im Editor mit allow-transfer und also-notify
allow-transfer und also-notify mit Hetzners drei Secondary-IPs.

Speichern, dann die Konfiguration prüfen und neu laden:

named-checkconf
Terminal mit dem Befehl named-checkconf ohne Fehlerausgabe
named-checkconf prüft die Konfiguration — keine Ausgabe bedeutet: alles in Ordnung.
rndc reload
Terminal mit dem Befehl rndc reload zum Neuladen von BIND
rndc reload übernimmt die Änderung ohne Neustart.

Gib Hetzner einen Moment — in der Hetzner Console sollte die Zone kurz darauf von „wird aktualisiert“ auf aktiv springen. Damit liefert Hetzner deine Zone aus.

Schritt 6: Nameserver der Domain umstellen (zuletzt!)

Logge dich bei do.de ein, öffne deine Domain und den Bereich „Externe eigene Nameserver“. Trag dort dieselben vier Nameserver ein, die du in KeyHelp hinterlegt hast:

  • ns1.deinserver.de
  • ns1.first-ns.de
  • robotns2.second-ns.de
  • robotns3.second-ns.com

Die Glue-Record-Spalten lässt du leer — diese Nameserver sind ja bereits global bekannt. Speichern mit „Änderungen durchführen“.

do.de Eingabemaske für externe eigene Nameserver mit den vier eingetragenen Nameservern
Bei do.de die vier Nameserver eintragen (eigener Server geschwärzt), Glue-Felder bleiben leer.

Test & Troubleshooting

Prüfe, ob beide Seiten deine Zone ausliefern — dein Server und Hetzner. Das geht am schnellsten mit dig (unter Windows in der PowerShell mit nslookup, oder direkt vom Server aus):

dig @ns1.deinserver.de deinedomain.de
dig @ns1.first-ns.de deinedomain.de

Beide Befehle sollten dieselbe IP in der ANSWER SECTION zurückgeben. Antwortet nur dein Server und Hetzner bleibt stumm, hat der Zonentransfer nicht geklappt — dann zurück zu Schritt 5.

Die häufigsten Stolpersteine:

  • Hetzner-Zone bleibt auf „wird aktualisiert“: Fast immer fehlt die allow-transfer-Freigabe (Schritt 5). Prüfe mit named-checkconf auf Tippfehler und ob rndc reload gelaufen ist. Achte auf die Firewall: Port 53 (TCP und UDP) muss von außen erreichbar sein.
  • Registrar meldet „Nameserver ungültig“: Klassiker, wenn du zu früh umgestellt hast. Erst Schritt 1–5 abschließen, dann Schritt 6.
  • Domain nicht erreichbar: Meist nur Propagation — ein paar Stunden warten. Mit einem „DNS Checker“ siehst du, wie weit die Änderung weltweit verteilt ist.
  • Let’s Encrypt schlägt fehl: DNS noch nicht propagiert oder Port 80/443 durch die Firewall blockiert.

Wie es jetzt weitergeht

Geschafft: Deine Domain läuft über eigene Nameserver, abgesichert durch Hetzners kostenlosen Secondary — die professionelle DNS-Grundlage, auf der du beliebig viele weitere Domains hosten kannst. Für jede neue Domain wiederholst du nur noch Schritt 3 bis 6. Die nächsten Etappen:

Häufige Fragen

Warum darf ich die Nameserver beim Registrar erst zum Schluss umstellen?
Weil der Registrar beim Umstellen prüft, ob die neuen Nameserver tatsächlich für deine Domain antworten. Tun sie das noch nicht — weil Zone oder Zonentransfer fehlen — lehnt er sie als „nicht eingerichtet“ oder „ungültig“ ab. Richte deshalb erst Server, KeyHelp-Zone und Hetzners Secondary vollständig ein und stell die Nameserver dann um.
Brauche ich für zwei Nameserver wirklich zwei Server?
Nein. Dein KeyHelp-Server ist der erste Nameserver. Die weiteren stellt Hetzners kostenloser Secondary DNS auf fremden Netzen bereit und zieht sich deine Zone automatisch per Zonentransfer. Damit erfüllst du die Anforderung „mehrere Nameserver in unterschiedlichen Netzen“, ohne einen zweiten Server zu mieten.
Kostet Hetzners Secondary DNS etwas?
Nein, der Dienst ist kostenlos. Du legst in der Hetzner Console eine sekundäre Zone an und gibst deinen Server als Primary an. Hetzner hält die Kopie aktuell und beantwortet Anfragen über seine eigenen Nameserver.
Muss ich für jede Domain eigene Glue-Records anlegen?
Nein. Du brauchst nur einmalig einen Glue-Record für den Nameserver deines Servers (z. B. ns1.deinserver.de → Server-IP). Hetzners Nameserver sind ohnehin global bekannt. Für jede weitere Domain trägst du die vier Nameserver einfach ein — ganz ohne neue Glue-Records.
Wie lange dauert es, bis die Umstellung greift?
Nameserver-Wechsel propagieren typischerweise innerhalb weniger Stunden, im Extremfall bis zu 48 Stunden. Mit einem DNS-Checker kannst du den Fortschritt weltweit beobachten. Sobald die Auflösung steht, stellt KeyHelp auch das Let’s-Encrypt-Zertifikat automatisch aus.

Quellen: Hetzner Docs — Secondary DNS, Hetzner Docs — Authoritative Name Servers, Hetzner Docs — Sekundäre Zone für DNS-Software (BIND)

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert