DNS problemen oplossen: de complete gids voor debugging

DNS debugging tools: dig, nslookup en Wireshark

Voordat je een DNS probleem kunt oplossen, moet je het eerst kunnen diagnosticeren. Er zijn drie essentiële tools die elke systeembeheerder moet kennen:

nslookup: de basis voor DNS queries

nslookup is standaard aanwezig op Windows, macOS en de meeste Linux-distributies. Het is de snelste manier om een DNS lookup uit te voeren:

# Basis DNS lookup
nslookup keurigonline.nl

# Query via een specifieke DNS server
nslookup keurigonline.nl 8.8.8.8

# Specifiek record type opvragen
nslookup -type=MX keurigonline.nl
nslookup -type=TXT keurigonline.nl
nslookup -type=NS keurigonline.nl

De output toont het IP-adres en de gebruikte DNS server. Als je een "non-authoritative answer" ziet, betekent dit dat het antwoord uit een cache komt — niet rechtstreeks van de autoritatieve nameserverKeurigOnline zegtAutoritatieve nameserverEen autoritatieve nameserver bevat de officiële DNS-records voor een domein en geeft definitieve antwoorden..

dig: geavanceerde DNS debugging

Het dig commando (Domain Information Groper) geeft veel meer detail dan nslookup. Op Linux en macOS is het standaard aanwezig. Voor Windows kun je het installeren via BIND tools van ISC.

# Basis query
dig keurigonline.nl

# Query via specifieke nameserver
dig @8.8.8.8 keurigonline.nl

# Alleen het antwoord tonen (korte output)
dig +short keurigonline.nl

# Alle record types opvragen
dig keurigonline.nl ANY

# Volledige resolutie traceren (van root tot authoritative)
dig +trace keurigonline.nl

# DNSSEC records opvragen
dig +dnssec keurigonline.nl

De +trace optie is bijzonder waardevol: het toont elke stap van de DNS resolutie, van de root servers tot je autoritatieve nameserver. Zo kun je precies zien waar een probleem optreedt.

dig output interpreteren

Een dig response bevat meerdere secties:

• QUESTION SECTION — Je oorspronkelijke query
• ANSWER SECTION — De DNS records die overeenkomen met je query
• AUTHORITY SECTION — De nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver. die authoritative zijn voor het domein
• ADDITIONAL SECTION — Extra informatie, zoals glue records
• Query time — Hoe lang de query duurde (in milliseconden)
• STATUS — NOERROR (success), NXDOMAINKeurigOnline zegtNXDOMAINNXDOMAIN is een DNS-antwoord dat aangeeft dat het opgevraagde domein niet bestaat. (niet gevonden), SERVFAIL (server fout)

Wireshark voor DNS traffic analyse

Wireshark is een network protocol analyzer waarmee je DNS-verkeer op pakket-niveau kunt inspecteren. Dit is nuttig wanneer dig en nslookup niet genoeg detail geven, bijvoorbeeld bij timeout-problemen of vermoedelijke firewallKeurigOnline zegtFirewallEen firewall beschermt je server tegen ongewenst netwerkverkeer en cyberaanvallen.-issues.

Filters voor DNS-analyse in Wireshark:

# Capture filter (tijdens het opnemen)
port 53

# Display filter (na het opnemen)
dns

# Filter op specifiek domein
dns.qry.name == "keurigonline.nl"

# Alleen DNS responses
dns.flags.response == 1

# Alleen fouten
dns.flags.rcode != 0

Let bij de analyse op:

• Response code (RCODE) — 0 = succes, 2 = SERVFAIL, 3 = NXDOMAIN
• TC flag — Als deze 1 is, was het antwoord te groot voor UDP en moet de query opnieuw via TCP
• Response time — Normaal onder 100ms^[1]; hoger kan wijzen op netwerk- of serverproblemen

DNS cache legen (flush DNS)

DNS caching versnelt het internet door recent opgezochte DNS records lokaal op te slaan. Maar soms wil je de cache juist legen — bijvoorbeeld na een DNS wijziging of bij troubleshooting. De methode verschilt per besturingssysteem.

Waarom DNS cache legen?

• Na DNS wijzigingen — Je wilt direct testen of de nieuwe records werken
• Verouderde records — Je client heeft nog een oud (fout) IP-adres in cache
• Beveiligingsredenen — DNS cache poisoningKeurigOnline zegtCache poisoningCache poisoning is een aanval waarbij vervalste DNS-informatie wordt opgeslagen om verkeer om te leiden. kan gecorrigeerd worden door de cache te legen
• Debugging — Je wilt zeker weten dat je een "verse" lookup doet

DNS cache legen op Windows

Open een Command Prompt als Administrator en voer uit:

ipconfig /flushdns

Je ziet de melding: "Successfully flushed the DNS ResolverKeurigOnline zegtDNS resolverEen DNS resolver is een server die domeinnamen vertaalt naar IP-adressen voor je internetverbinding. Cache."

Om de huidige cache te bekijken voordat je flusht:

ipconfig /displaydns

DNS cache legen op macOS

Het commando verschilt per macOS versie. Voor macOS Monterey (12.0) en nieuwer:

sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

Voor oudere versies kan het mDNSResponder proces een ander signaal nodig hebben. Controleer de Apple Support documentatie voor je specifieke versie.

DNS cache legen op Linux

Op Linux hangt het af van je DNS resolverKeurigOnline zegtDNS resolverEen DNS resolver is een server die domeinnamen vertaalt naar IP-adressen voor je internetverbinding.. Voor systemen met systemd-resolved (Ubuntu 18.04+, Fedora, etc.):

sudo systemd-resolve --flush-caches

# Of op nieuwere systemen:
sudo resolvectl flush-caches

Controleer of de flush succesvol was:

sudo systemd-resolve --statistics

De cache grootte zou 0 moeten zijn na de flush.

Browser DNS cache legen

Browsers houden hun eigen DNS cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. bij, los van het besturingssysteem. Na een OS-level flush moet je ook de browser cache legen:

• Chrome: Ga naar chrome://net-internals/#dns → klik "Clear host cache"
• Edge: Ga naar edge://net-internals/#dns → klik "Clear host cache"
• Firefox: Typ about:networking#dns → klik "Clear DNS Cache"

Google Public DNS cache legen

Als je Google Public DNS (8.8.8.8) gebruikt en je wilt dat zij je nieuwe DNS records ophalen, gebruik dan de Google Public DNS Flush tool. Vul je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. en record type in, en Google haalt direct de nieuwste records op.

Veelvoorkomende DNS problemen en oplossingen

Nu je de tools kent, bespreken we de meest voorkomende DNS problemen en hoe je ze oplost.

DNS server reageert niet

Dit is de meest voorkomende foutmelding. Mogelijke oorzaken:

1. Je ISPKeurigOnline zegtISPEen ISP (Internet Service Provider) is de aanbieder van jouw internetverbinding.'s DNS server is down — Test met een alternatieve DNS server: nslookup keurigonline.nl 1.1.1.1
2. Firewall blokkeert DNS — Controleer of poort 53 (UDP/TCP) open is
3. Verkeerde DNS instellingen — Check je netwerkinstellingen voor correcte DNS servers
4. VPN interfereert — Sommige VPNs hebben eigen DNS; probeer zonder VPN

Snelle oplossing: Probeer alternatieve publieke DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. servers:

SERVFAIL responses

Debug SERVFAIL met:

# Check of DNSSEC het probleem is
dig +dnssec example.nl

# Check zonder DNSSEC validatie
dig +cd example.nl

# Trace de volledige resolutie
dig +trace example.nl

Als +cd (checking disabled) wél werkt maar normale queries niet, heb je een DNSSEC probleem.

NXDOMAIN: domein niet gevonden

NXDOMAINKeurigOnline zegtNXDOMAINNXDOMAIN is een DNS-antwoord dat aangeeft dat het opgevraagde domein niet bestaat. betekent dat het domein niet bestaat in DNS. Oorzaken:

• Typfout — Dubbel-check de spelling van het domein
• Domein verlopen — Check de registratie op SIDN WHOIS (voor .nl)
• Propagatie nog bezig — Nieuwe domeinen kunnen tot 48 uur duren
• NS records ontbreken — De nameservers zijn niet (correct) ingesteld bij de registrar

Controleer met meerdere DNS servers om propagatie-issues uit te sluiten:

dig @8.8.8.8 example.nl
dig @1.1.1.1 example.nl
dig @9.9.9.9 example.nl

DNS timeout errors

Timeouts duiden op netwerk- of serverproblemen. Debugging stappen:

1. Test of je überhaupt DNS verkeer kunt versturen: dig @8.8.8.8 google.com
2. Check of de specifieke nameserver bereikbaar is: ping ns1.example.nl
3. Gebruik traceroute om te zien waar het verkeer vastloopt
4. Controleer firewallKeurigOnline zegtFirewallEen firewall beschermt je server tegen ongewenst netwerkverkeer en cyberaanvallen. logs op geblokkeerd verkeer op poort 53

Lame delegation: wat het is en hoe je het oplost

Hoe ontstaat lame delegation?

• Nameserver domein verlopen — De server waar je naar verwijst bestaat niet meer
• Verkeerde NS records — Je hebt ns1.oud-bedrijf.nl ingesteld maar die host je zone niet
• Configuratiefout — De zone file op de nameserver mist of is incorrect
• Na migratie — Je bent gewisseld van DNS provider maar de oude NS records staan nog bij de registrar

Lame delegation detecteren

Stap 1: Vraag de NS records op:

dig NS example.nl +short

Stap 2: Query elke nameserver individueel:

dig @ns1.provider.nl example.nl
dig @ns2.provider.nl example.nl

Als een nameserver niet antwoordt, een SERVFAIL geeft, of zegt dat hij niet autoritatief is voor het domein, heb je lame delegation.

Stap 3: Gebruik online tools voor een complete check:

• Zonemaster — Uitgebreide DNS health check
• SIDN — Voor .nl domeinen specifiek
• IntoDNS — DNS configuratie analyse

Lame delegation oplossen

1. Identificeer de juiste nameservers — Neem contact op met je DNS/hosting provider
2. Update NS records bij registrar — Log in bij je domeinregistrar (bijv. TransIP, Hostnet, Versio) en corrigeer de nameservers
3. Wacht op propagatie — NS record wijzigingen kunnen 24-48 uur duren
4. Verifieer — Gebruik dig +trace example.nl om te controleren of de juiste servers nu antwoorden

DNSSEC problemen debuggen en oplossen

DNSSEC voegt cryptografische beveiliging toe aan DNS. Maar als de configuratie niet klopt, kan je domein onbereikbaar worden voor gebruikers met DNSSEC-validerende resolvers (steeds meer mensen).

Waarom DNSSEC problemen ontstaan

• DS/DNSKEY mismatch — Het DS record bij de registrar komt niet overeen met de DNSKEY in je zone
• Verlopen RRSIG records — De signatures zijn niet tijdig vernieuwd
• Key rollover fouten — Bij het roteren van keys is iets misgegaan
• Clock skew — De server heeft een verkeerde systeemtijd waardoor signatures als verlopen worden gezien

DNSSEC debugging tools

DNSViz is de beste tool voor DNSSEC debugging. Daarnaast zijn er andere handige tools:

Andere handige tools:

• Verisign DNSSEC Debugger
• dig +dnssec example.nl — Toont DNSSEC-gerelateerde records
• delv example.nl — DNSSEC lookup tool (onderdeel van BIND)

# Check DNSSEC records
dig +dnssec example.nl DNSKEY
dig +dnssec example.nl DS

# Validate de chain
dig +sigchase +trusted-key=./root.key example.nl

Veelvoorkomende DNSSEC fouten

DS record ontbreekt bij registrar

Je hebt DNSSEC ingesteld op je nameservers maar bent vergeten de DS records door te geven aan de registrar. Oplossing: Log in bij je registrar en voeg de DS records toe.

RRSIG verlopen

Je DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude. signatures zijn verlopen. Dit gebeurt vaak bij handmatige DNSSEC configuraties. Oplossing: Heronderteken je zone of schakel automatische re-signing in.

Algorithm rollover mismatch

Je bent overgestapt naar een nieuw cryptografisch algoritme maar de oude DS records staan nog bij de registrar. Oplossing: Volg het correcte key rollover proces (RFC 6781).

.nl specifiek: SIDN en DNSSEC

SIDNKeurigOnline zegtSIDNSIDN beheert alle .nl-domeinnamen., de beheerder van .nl, biedt uitgebreide DNSSEC ondersteuning. Voor Nederlandse overheidsdomeinen is DNSSEC verplicht. Veel Nederlandse registrars bieden één-klik DNSSEC activatie.

Check je .nl DNSSEC status via het SIDN WHOIS — het toont of DNSSEC actief is en de actuele DS records.

Graceful DNS wijzigingen zonder downtime

Of je nu van hosting provider wisselt, een nieuwe webserver inricht, of e-mail migreert — DNS wijzigingen kunnen downtime veroorzaken als je ze niet goed plant. De sleutel is TTL management.

TTL strategie voor DNS migratie

De TTL (Time To Live) bepaalt hoe lang DNS records gecachet worden. Een hoge TTL (bijv. 86400 seconden = 24 uur) is goed voor performance, maar slecht voor snelle wijzigingen. Volg dit schema:

DNS migratie checklist

1. Exporteer huidige DNS records — Maak een backupKeurigOnline zegtBackupEen backup is een veilige kopie van je websitegegevens voor noodgevallen. van alle records (dig AXFR of via je DNS panel)
2. Verlaag TTL — Volg het schema hierboven, wacht tot oude TTL verlopen is
3. Bereid nieuwe zone voor — Configureer alle records bij de nieuwe provider
4. Test nieuwe configuratie — Query de nieuwe nameservers direct: dig @ns1.nieuwe-provider.nl example.nl
5. Update NS records — Wijzig de nameservers bij je registrar
6. Houd oude zone actief — Laat de oude DNS provider minstens 72 uur draaien als fallback
7. Monitor — Check of je website en e-mail correct werken vanuit verschillende locaties
8. Verhoog TTL weer — Na 24-72 uur zonder problemen

E-mail continuïteit tijdens DNS migratie

E-mail is extra gevoelig voor DNS problemen. Tips:

• MX records eerst — Zorg dat MX records correct zijn vóór je andere wijzigingen doet
• SPF, DKIM, DMARCKeurigOnline zegtDMARCDMARC beschermt je domein tegen e-mailmisbruik en phishing. — Vergeet niet deze TXT records mee te nemen; anders kunnen e-mails als spam worden gemarkeerd
• Test — Gebruik Mail-Tester om je e-mail configuratie te verifiëren

Rollback plan

Dingen gaan soms mis. Zorg voor een rollback plan:

• Documenteer je oude configuratie volledig
• Houd de oude nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver. actief tijdens de migratie
• Als er problemen zijn: revert de NS records bij de registrar
• Met een lage TTL ben je binnen 5-10 minuten terug op de oude configuratie

DNS problemen simuleren voor testing

Soms wil je DNS-problemen nabootsen om te testen hoe je applicatie reageert. Dit is nuttig voor:

• Testen van failover mechanismen
• Valideren van timeout handling in applicaties
• Trainen van teams op incident response

Trage DNS simuleren

Op Linux kun je met tc (traffic control) latency toevoegen aan DNS verkeer:

# 500ms vertraging op alle DNS queries
sudo tc qdisc add dev eth0 root netem delay 500ms

# Verwijderen:
sudo tc qdisc del dev eth0 root

Falende DNS simuleren

Gebruik iptables om DNS verkeer te blokkeren:

# Blokkeer alle uitgaande DNS
sudo iptables -A OUTPUT -p udp --dport 53 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 53 -j DROP

# Verwijderen:
sudo iptables -D OUTPUT -p udp --dport 53 -j DROP
sudo iptables -D OUTPUT -p tcp --dport 53 -j DROP

Of wijs naar een niet-bestaande DNS server in /etc/resolv.conf:

# Backup maken eerst!
sudo cp /etc/resolv.conf /etc/resolv.conf.backup

# Niet-bestaande DNS instellen
echo "nameserver 192.0.2.1" | sudo tee /etc/resolv.conf

Veelgestelde vragen over DNS debugging

Bronnen en referenties

Officiële bronnen

• SIDN — Registry voor .nl domeinen
• RIPE NCC — Regional Internet Registry voor Europa
• ICANN — Internet Corporation for Assigned Names and Numbers
• ISC — Internet Systems Consortium (BIND developers)

Performance en benchmarks

• [1] Google Public DNS Performance — Documentatie over DNS query response times en performance optimalisatie

DNS debugging tools

• DNSViz — DNSSEC visualisatie en debugging
• Zonemaster — DNS health check tool
• Google Public DNS Flush — CacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. clearing voor Google DNS
• What's My DNS — DNS propagation checker
• Wireshark — Network protocol analyzer

Relevante RFC's

• RFC 1034, RFC 1035 — DNS fundamentals
• RFC 4033, RFC 4034, RFC 4035 — DNSSEC specifications
• RFC 6781 — DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude. key rollover best practices
• RFC 8484 — DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. over HTTPS (DoH)

Gerelateerde artikelen

• Hoe DNS werkt: de complete gids over het Domain Name System
• Geavanceerde DNS: van caching tot split-horizon en DDNS