Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Samenvatting: DNS
KeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. in de praktijk
DNS caching versnelt je internet met 50-100ms per request door resultaten tijdelijk op te slaan. De TTL-waarde bepaalt hoe lang: standaard 300-3600 seconden voor dynamische records, tot 86400 seconden voor stabiele records. Cloudflare DNS (1.1.1.1) is momenteel de snelste publieke DNS resolverKeurigOnline zegtDNS resolverEen DNS resolver is een server die domeinnamen vertaalt naar IP-adressen voor je internetverbinding. met ~11ms gemiddelde responstijd. Voor privacy kun je DNS over HTTPS (DoH) of DNS over TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. (DoT) gebruiken om je DNS-verkeer te versleutelen. Met DDNS koppel je een dynamisch IP-adres aan een vaste domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. — ideaal voor thuisservers.
Je kent DNS misschien als het "telefoonboek van het internet" — maar hoe werkt een DNS server eigenlijk achter de schermen? In ons artikel over DNS-basisprincipes legden we uit wat DNS is en hoe het je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. vertaalt naar een IP-adres. Nu gaan we dieper: wanneer je keurigonline.nl intypt, doorloopt je browser een complex proces van recursieve queries, DNS caching en protocol-keuzes voordat de pagina laadt.
In dit artikel duiken we diep in de operationele kant van DNS. Je leert hoe DNS queries worden verwerkt, waarom TTL-waardes cruciaal zijn voor prestaties, welke publieke DNS resolvers het snelst zijn, en hoe je met DDNS en DoH je DNS-infrastructuur naar een hoger niveau tilt. Of je nu een .nl, .com of .be domein beheert — deze kennis helpt je betere keuzes maken.
Definitie: Operationele DNS omvat alle runtime-aspecten van het Domain Name System: hoe queries worden verwerkt, gecachet en beveiligd terwijl gebruikers websites bezoeken. Dit in tegenstelling tot DNS-configuratie, dat zich richt op het instellen van records zoals A, CNAME en MX. Bekijk ons overzicht van DNS-records voor meer over configuratie.
Recursieve DNS queries: hoe een lookup werkt
Wanneer je browser een domein opvraagt, start een keten van DNS queries die binnen milliseconden resultaat moet opleveren. Er zijn twee soorten DNS queries: recursieve en iteratieve. Als eindgebruiker gebruik je bijna altijd recursieve queries.
Definitie: Een recursieve DNS query is een verzoek waarbij de DNS resolver het volledige werk doet: hij doorzoekt de DNS-hiërarchie totdat hij het definitieve antwoord vindt, en stuurt alleen dat eindresultaat terug naar de client.
De 8 stappen van een DNS lookup
Stel je typt www in je browser. Dit gebeurt er:KeurigOnline zegtWWWWWW staat voor World Wide Web en omvat alle websites op internet..voorbeeld.nl
- Browser cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. check — Je browser controleert eerst zijn eigen DNS cache
- OS cache check — Daarna controleert je besturingssysteem (Windows, macOS, Linux) de lokale DNS cache
- Query naar recursive resolver — Geen cache hit? De query gaat naar je DNS resolver (bijv. je ISPKeurigOnline zegtISPEen ISP (Internet Service Provider) is de aanbieder van jouw internetverbinding. of Cloudflare 1.1.1.1)
- Root serverKeurigOnline zegtRoot serverRoot servers zijn de 13 server-clusters aan de top van de DNS-hiërarchie die verwijzen naar TLD-nameservers. query — De resolver vraagt een van de 13 root server clusters (a.root-servers.net t/m m.root-servers.net) waar .nl te vinden is
- TLD nameserverKeurigOnline zegtTLD nameserverEen TLD nameserver beheert DNS-informatie voor een topleveldomein zoals .nl, .com of .be. query — De root server verwijst naar de TLD nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver. voor .nl (beheerd door SIDNKeurigOnline zegtSIDNSIDN beheert alle .nl-domeinnamen.)
- Autoritatieve nameserverKeurigOnline zegtAutoritatieve nameserverEen autoritatieve nameserver bevat de officiële DNS-records voor een domein en geeft definitieve antwoorden. query — De TLD server verwijst naar de autoritatieve nameserverKeurigOnline zegtAutoritatieve nameserverEen autoritatieve nameserver bevat de officiële DNS-records voor een domein en geeft definitieve antwoorden. van voorbeeld.nl
- Antwoord — De autoritatieve server stuurt het IP-adres (bijv.
93.184.216.34) terug - Response naar client — De resolver cachet het antwoord en stuurt het naar je browser
Dit hele proces duurt typisch 20-120ms, afhankelijk van je locatie en of er al gecachte data beschikbaar is.
Root servers: de top van de DNS-hiërarchie
De 13 root server clusters vormen de absolute top van de DNS-boom. Ondanks de naam "13" zijn er via anycastKeurigOnline zegtAnycastAnycast is een netwerktechniek waarbij meerdere servers hetzelfde IP-adres delen en verkeer naar de dichtstbijzijnde server wordt gerouteerd. honderden fysieke servers wereldwijd verspreid. Voor Nederlandse gebruikers is de dichtstbijzijnde root serverKeurigOnline zegtRoot serverRoot servers zijn de 13 server-clusters aan de top van de DNS-hiërarchie die verwijzen naar TLD-nameservers. vaak in Amsterdam (AMS-IX).
| Server | Beheerder | Locaties |
|---|---|---|
a.root-servers.net |
VeriSign | Wereldwijd |
k.root-servers.net |
RIPE NCC | Europa (incl. Amsterdam) |
TLD nameservers voor .nl, .com en .be
Na de root servers wijzen de TLD nameservers de weg naar specifieke domeinen:
- .nl domeinen — Beheerd door SIDN (Stichting Internet Domeinregistratie Nederland)
- .com domeinen — Beheerd door VeriSign
- .be domeinen — Beheerd door DNS Belgium
SIDN verwerkt dagelijks meer dan 2 miljard DNS queries voor de 6+ miljoen geregistreerde .nl domeinen. Meer over hoe domeinnamen en TLDs werken lees je in ons artikel Hoe domeinnamen werken.
Glue records: het kip-ei probleem oplossen
Stel je hebt het domein voorbeeld.nl en je wilt ns1.voorbeeld.nl als nameserver gebruiken. Maar om het IP van ns1.voorbeeld.nl te vinden, moet je eerst voorbeeld.nl opvragen — een circulaire afhankelijkheid.
Definitie: Een glue recordKeurigOnline zegtGlue recordEen glue record is een A-record bij de TLD dat het IP-adres bevat van een nameserver binnen hetzelfde domein. is een A-recordKeurigOnline zegtA-recordEen A-record koppelt een domeinnaam aan een specifiek IPv4-adres in het DNS-systeem. dat direct bij de TLD nameserverKeurigOnline zegtTLD nameserverEen TLD nameserver beheert DNS-informatie voor een topleveldomein zoals .nl, .com of .be. wordt opgeslagen om circulaire afhankelijkheden te doorbreken. Het bevat het IP-adres van een nameserver die zich binnen hetzelfde domein bevindt als het domein dat hij bedient.
Wanneer zijn glue records nodig?
Glue records zijn verplicht wanneer:
- Je nameserver een subdomeinKeurigOnline zegtSubdomeinEen subdomein is een extra voorvoegsel voor je domeinnaam, zoals blog.voorbeeld.nl of shop.voorbeeld.nl. is van het domein zelf (bijv.
ns1.voorbeeld.nlvoorvoorbeeld.nl) - Je zelf-hosted nameservers gebruikt in plaats van die van je provider
Glue records zijn niet nodig wanneer:
- Je externe nameservers gebruikt (bijv.
ns1.transip.nlvoor jouw domein) - Je Cloudflare of vergelijkbare DNS-services gebruikt
Glue records beheren bij SIDN
Voor .nl domeinen worden glue records beheerd via je registrar (zoals TransIP, Hostnet, of KeurigOnline). In je domeinbeheer zie je typisch een optie voor "Host records" of "Nameserver IP". Dit is waar je glue records configureert.
; Voorbeeld glue records voor voorbeeld.nl
voorbeeld.nl. IN NS ns1.voorbeeld.nl.
voorbeeld.nl. IN NS ns2.voorbeeld.nl.
; Glue records (bij de TLD opgeslagen)
ns1.voorbeeld.nl. IN A 203.0.113.1
ns2.voorbeeld.nl. IN A 203.0.113.2DNS caching: snelheid door slim opslaan
Zonder DNS caching zou elke website die je bezoekt de volledige 8-stappen lookup vereisen. Caching slaat DNS-antwoorden tijdelijk op, waardoor herhaalde requests direct beantwoord kunnen worden.
De 4 cache-lagen
DNS-antwoorden worden op meerdere niveaus gecachet:
- Browser cache — Chrome, Firefox en Edge houden hun eigen DNS cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. bij (typisch 1 minuut)
- OS cache — Windows, macOS en Linux cachen DNS op systeemniveau
- Recursive resolver cache — Je ISP of publieke DNS (zoals 1.1.1.1) cachet antwoorden
- ISP cache — Sommige ISPs hebben extra caching op netwerkniveau
TTL: Time To Live uitgelegd
De TTL (Time To Live) bepaalt hoe lang een DNS-record gecachet mag worden, in seconden. Na het verstrijken van de TTL moet de resolver opnieuw een query doen.
Definitie: TTL (Time To Live) is een waarde in seconden die aangeeft hoe lang een DNS-record geldig blijft in caches. Een hogere TTL vermindert DNS-verkeer maar vertraagt wijzigingen; een lagere TTL maakt snellere updates mogelijk maar verhoogt de belasting.
| TTL (seconden) | Duur | Geschikt voor |
|---|---|---|
300 |
5 minuten | Dynamische records, DDNS, failover |
3600 |
1 uur | Standaard websites, goede balans |
86400 |
1 dag | Stabiele records, MX, nameservers |
604800 |
1 week | Nameserver records (NS) |
DNS cache legen per platform
Soms moet je de DNS cache handmatig legen, bijvoorbeeld na het wijzigen van records:
Windows 10/11
ipconfig /flushdnsmacOS
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponderLinux (systemd-resolved)
sudo systemd-resolve --flush-cachesChrome browser
Ga naar chrome://net-internals/#dns en klik op "Clear host cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt.".
Negative caching: NXDOMAIN onthouden
Negative cachingKeurigOnline zegtNegative cachingNegative caching slaat "niet gevonden" DNS-antwoorden (NXDOMAIN) tijdelijk op om herhaalde queries te voorkomen. is het cachen van "niet gevonden" antwoorden (NXDOMAIN). Zonder negative caching zou elke typfout of niet-bestaand subdomein de DNS-infrastructuur overbelasten.KeurigOnline zegtNXDOMAINNXDOMAIN is een DNS-antwoord dat aangeeft dat het opgevraagde domein niet bestaat.
De TTL voor negative cachingKeurigOnline zegtNegative cachingNegative caching slaat "niet gevonden" DNS-antwoorden (NXDOMAIN) tijdelijk op om herhaalde queries te voorkomen. wordt bepaald door het SOA (Start of Authority) record, specifiek het minimum TTL veld. Typische waarden zijn 300-3600 seconden.
; SOA record met negative cache TTL
voorbeeld.nl. IN SOA ns1.voorbeeld.nl. hostmaster.voorbeeld.nl. (
2024010101 ; Serial
7200 ; Refresh
3600 ; Retry
1209600 ; Expire
3600 ; Negative cache TTL
)Het DNS protocol: verrassend eenvoudig
Het DNS protocol (gedefinieerd in RFC 1035 uit 1987) is verrassend eenvoudig gebleven ondanks decennia van uitbreidingen. Een DNS message bestaat uit vijf secties:
- Header — 12 bytes met flags, query ID, en counters
- Question — De daadwerkelijke vraag (welk domein, welk type record)
- Answer — De antwoord-records
- Authority — Verwijzingen naar autoritatieve nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver.
- Additional — Extra informatie (zoals glue records)
UDP versus TCP: wanneer wat?
DNS gebruikt traditioneel UDP port 53 voor queries, maar schakelt over naar TCP in specifieke situaties:
- Response > 512 bytes — TCP voor grote antwoorden (of met EDNSKeurigOnline zegtEDNSEDNS (Extension Mechanisms for DNS) breidt het DNS-protocol uit voor grotere pakketten en moderne features zoals DNSSEC. tot 4096 bytes via UDP)
- Zone transfers (AXFR/IXFR) — Altijd TCP voor het synchroniseren van DNS zones
- Truncated response — Als een UDP-antwoord te groot is, wordt de TC-flag gezet en moet de client TCP proberen
EDNS: DNS uitbreiden voor de moderne tijd
EDNS (Extension Mechanisms for DNS, RFC 6891) breidt het originele DNS protocol uit om moderne features te ondersteunen:
Definitie: EDNS (Extension Mechanisms for DNS) is een uitbreiding van het DNS protocol die grotere UDP paketten (tot 4096+ bytes), extra flags, en nieuwe opties mogelijk maakt. Het is essentieel voor DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude., client subnet (ECS), en andere moderne DNS features.
EDNSKeurigOnline zegtEDNSEDNS (Extension Mechanisms for DNS) breidt het DNS-protocol uit voor grotere pakketten en moderne features zoals DNSSEC. voegt een OPT pseudo-record toe aan de Additional sectie met:
- UDP payload size — Geeft aan hoeveel bytes de client kan ontvangen via UDP (bijv. 4096)
- Extended RCODE — Meer foutcodes dan de originele 4-bit RCODE
- DNSSEC OK (DO) flag — Geeft aan dat de client DNSSEC-antwoorden wil
- Client Subnet (ECS) — Stuurt een deel van het client IP mee voor geo-based DNS
Transport protocollen: van UDP tot DoQ
Traditionele DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. via UDP is snel maar onversleuteld — je ISP (en anderen) kunnen zien welke websites je bezoekt. Moderne encrypted DNS protocollen lossen dit privacyprobleem op.
| Protocol | Poort | EncryptieKeurigOnline zegtEncryptieEncryptie is het versleutelen van gegevens zodat alleen bevoegden ze kunnen lezen. |
Standaard |
|---|---|---|---|
| UDP | 53 | Geen | RFC 1035 |
| TCP | 53 | Geen | RFC 1035 |
| DoT (DNS over TLS) | 853 | TLS 1.3 | RFC 7858 |
| DoH (DNS over HTTPS) | 443 | TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. 1.3 + HTTPKeurigOnline zegtHTTPHTTP is het protocol waarmee webclients en -servers gestructureerd data uitwisselen via requests en responses./2 |
RFC 8484 |
| DoQ (DNS over QUIC) | 853 | QUIC | RFC 9250 |
| DNSCrypt | 443/5443 | X25519-XSalsa20 | Geen RFC (community) |
DNS over HTTPS (DoH) instellen
DoH verpakt DNS queries in HTTPS-verkeer, waardoor ze niet te onderscheiden zijn van normaal webverkeer. Dit maakt het moeilijker voor ISPs om DNS te blokkeren of monitoren.
DoH inschakelen in Firefox
- Ga naar Instellingen → Privacy & Beveiliging
- Scroll naar DNS via HTTPS
- Selecteer Maximale bescherming
- Kies een provider (Cloudflare, NextDNS, of custom)
DoH inschakelen in Chrome
- Ga naar Instellingen → Privacy en beveiliging → Beveiliging
- Schakel Beveiligde DNS gebruiken in
- Kies Met en selecteer Cloudflare, Google, of custom
DoH inschakelen in Windows 11
- Open Instellingen → Netwerk en internet → Wi-Fi (of Ethernet)
- Klik op je verbinding en dan Hardwaraeigenschappen
- Bij DNS-servertoewijzing klik Bewerken
- Stel handmatig in:
1.1.1.1(Cloudflare) of8.8.8.8(Google) - Schakel DNS via HTTPS in (optie verschijnt automatisch voor ondersteunde servers)
DNS over TLS (DoT) instellen op Android
Android 9+ ondersteunt Private DNS (DoT) native:
- Ga naar Instellingen → Netwerk en internet → Privé-DNS
- Selecteer Hostnaam van privé-DNS-provider
- Voer in:
one.one.one.one(Cloudflare) ofdns.google(Google)
Oblivious DoH: extra privacy
Oblivious DoHKeurigOnline zegtOblivious DoHOblivious DoH (ODoH) routeert DNS-queries via een proxy, zodat de provider je query ziet maar niet je IP-adres. (ODoH) voegt een extra laag privacy toe door queries via een proxy te routeren. De DNS-provider ziet je query maar niet je IP; de proxy ziet je IP maar niet je query. Apple en Cloudflare ondersteunen ODoH in hun iCloud Private Relay service.
Publieke DNS resolvers vergeleken
De keuze voor een publieke DNS resolver in plaats van je ISP's DNS kan snelheid, privacy en beveiliging verbeteren. Hier zijn de populairste opties voor Nederlandse gebruikers:
| Provider | Primary | Secondary | Snelheid* | Privacy |
|---|---|---|---|---|
| Cloudflare | 1.1.1.1 |
1.0.0.1 |
~11ms | ⭐⭐⭐ Geen logging, audit |
8.8.8.8 |
8.8.4.4 |
~15ms | ⭐⭐ IP gelogd 24-48u | |
| Quad9 | 9.9.9.9 |
149.112.112.112 |
~18ms | ⭐⭐⭐ Swiss non-profit |
| OpenDNS | 208.67.222.222 |
208.67.220.220 |
~22ms | ⭐⭐ Cisco-owned |
| dns0.eu | 193.110.81.0 |
185.253.5.0 |
~12ms | ⭐⭐⭐ EU non-profit |
*Snelheid gemeten vanuit Nederland. Bron: dnsperf.com
Speciale varianten
- Cloudflare 1.1.1.2 — Blokkeert malware
- Cloudflare 1.1.1.3 — Blokkeert malware + adult content
- Quad9 9.9.9.11 — Geen DNSSEC validatie (voor debugging)
- Google 8.8.8.8 + DoH — Via
https://dns.google/dns-query
Waarom niet je ISP DNS?
Nederlandse ISPs (Ziggo, KPN, Odido) bieden hun eigen DNS servers. Nadelen kunnen zijn:
- Tragere updates — ISP caches kunnen langer vasthouden aan oude records
- Geen DoH/DoT — De meeste ISP DNS servers ondersteunen geen encrypted DNS
- Logging — Je surfgedrag kan worden gelogd voor marketing of compliance
- DNS hijacking — Sommige ISPs redirecten
NXDOMAINnaar eigen zoekpagina'sKeurigOnline zegtNXDOMAINNXDOMAIN is een DNS-antwoord dat aangeeft dat het opgevraagde domein niet bestaat.
DDNS: dynamisch IP, vaste domeinnaam
De meeste Nederlandse huishoudens krijgen een dynamisch IP-adres van hun ISP — het adres verandert periodiek. Dit is problematisch als je een thuisserver, NAS, of beveiligingscamera extern bereikbaar wilt maken.
Definitie: DDNS (Dynamic DNS) is een dienst die automatisch je DNS-record bijwerkt wanneer je IP-adres verandert. Hierdoor blijft je domein of subdomeinKeurigOnline zegtSubdomeinEen subdomein is een extra voorvoegsel voor je domeinnaam, zoals blog.voorbeeld.nl of shop.voorbeeld.nl. altijd bereikbaar, ook met een dynamisch IP.
Twee methoden voor DDNS
- Client-update methode — Software op je apparaat (router, NAS, PC) detecteert IP-wijzigingen en stuurt een HTTPKeurigOnline zegtHTTPHTTP is het protocol waarmee webclients en -servers gestructureerd data uitwisselen via requests en responses.-request naar de DDNS-provider
- DNS UPDATE protocol (RFC 2136) — Direct updates naar een DNS server via het standaard DNS protocol, vaak met TSIG authenticatie
Populaire DDNS-providers
| Provider | Gratis? | Eigen domein? | Update interval |
|---|---|---|---|
| No-IP | 1 gratis subdomain | Ja (betaald) | 5 min |
| DuckDNS | Onbeperkt gratis | Nee | 5 min |
| Cloudflare | Gratis (via APIKeurigOnline zegtAPIKoppeling tussen verschillende systemen of software.) |
Ja (eigen domein vereist) | 1 min |
| Dynu | Gratis | Ja (gratis) | 2 min |
DDNS instellen op je router
De meeste moderne routers (ASUS, Synology, FRITZ!Box) hebben ingebouwde DDNS-ondersteuning:
ASUS router
- Ga naar WAN → DDNS
- Schakel Enable DDNS Client in
- Kies je provider (ASUS biedt gratis
asuscomm.comsubdomeinen) - Voer je gegevens in en sla op
Synology NAS
- Open Control Panel → External Access → DDNS
- Klik Add
- Kies Synology (gratis
.synology.me) of externe provider - Configureer en test de verbinding
Dynamische DNS responses: load balancing via DNS
DNS kan meer dan alleen statische IP-adressen teruggeven. Met dynamische DNS responses kun je verkeer verdelen, failover implementeren, of verschillende antwoorden geven op basis van locatie.
Round-robin DNS
Round-robin DNSKeurigOnline zegtRound-robin DNSRound-robin DNS verdeelt verkeer over meerdere servers door de volgorde van A-records te roteren bij elke query. is de eenvoudigste vorm van DNS-gebaseerde load balancingKeurigOnline zegtLoad balancingLoad balancing verdeelt verkeer over meerdere servers voor betere prestaties en betrouwbaarheid.: je configureert meerdere A-records voor hetzelfde domein, en DNS servers roteren de volgorde bij elke query.
; Round-robin configuratie
www.voorbeeld.nl. IN A 203.0.113.1
www.voorbeeld.nl. IN A 203.0.113.2
www.voorbeeld.nl. IN A 203.0.113.3Voordelen: Eenvoudig, geen extra software nodig
Nadelen: Geen health checks — dode servers krijgen nog steeds verkeer
Weighted round-robin
Met weighted round-robin kun je servers een gewicht geven. Een server met gewicht 2 krijgt twee keer zoveel verkeer als een server met gewicht 1. Dit is handig wanneer servers verschillende capaciteiten hebben.
Fewest connections
Fewest connections load balancingKeurigOnline zegtLoad balancingLoad balancing verdeelt verkeer over meerdere servers voor betere prestaties en betrouwbaarheid. stuurt nieuwe requests naar de server met de minste actieve verbindingen. Dit vereist een intelligente load balancer (niet puur DNS-gebaseerd).
Geografische load balancing (GeoDNS)
GeoDNSKeurigOnline zegtGeoDNSGeoDNS geeft verschillende IP-adressen terug op basis van de geografische locatie van de gebruiker. geeft verschillende IP-adressen terug op basis van de geografische locatie van de gebruiker. Een Nederlandse gebruiker krijgt een Amsterdamse server, een Duitse gebruiker een Frankfurtse.
Providers die GeoDNSKeurigOnline zegtGeoDNSGeoDNS geeft verschillende IP-adressen terug op basis van de geografische locatie van de gebruiker. ondersteunen:
Split-horizon DNS (split-brain)
Split-horizon DNSKeurigOnline zegtSplit-horizon DNSSplit-horizon DNS geeft verschillende antwoorden afhankelijk van of een query intern of extern komt. geeft verschillende antwoorden afhankelijk van waar de query vandaan komt. Typisch gebruik: interne gebruikers krijgen private IP-adressen, externe gebruikers krijgen publieke IPs.
Definitie: Split-horizon DNSKeurigOnline zegtSplit-horizon DNSSplit-horizon DNS geeft verschillende antwoorden afhankelijk van of een query intern of extern komt. (ook wel split-brain DNS) is een configuratie waarbij een DNS server verschillende antwoorden geeft op basis van de bron van de query. Dit wordt gebruikt om interne en externe toegang te scheiden zonder aparte domeinnamen.
Voorbeeld:
- Intern netwerk vraagt
mail.bedrijf.nl→ krijgt192.168.1.10 - Extern netwerk vraagt
mail.bedrijf.nl→ krijgt203.0.113.10
Veelgestelde vragen over DNS in de praktijk
Hoe lang duurt DNS propagatie?
DNS propagatie hangt af van je TTL-instellingen. Met een TTL van 3600 seconden (1 uur) zie je wijzigingen binnen 1-2 uur bij de meeste gebruikers. De vaak genoemde "24-48 uur" is een worst-case scenario voor zeer hoge TTLs en trage ISPKeurigOnline zegtISPEen ISP (Internet Service Provider) is de aanbieder van jouw internetverbinding. caches. Tip: verlaag je TTL naar 300 seconden vóór een geplande wijziging.
Wat is de beste TTL voor mijn domein?
Voor de meeste websites is een TTL van 3600 seconden (1 uur) een goede balans tussen snelheid en flexibiliteit. Gebruik 300 seconden voor records die vaak veranderen (DDNS, failover). Gebruik 86400 seconden (1 dag) voor stabiele records zoals nameserver delegaties.
Is Cloudflare DNS veiliger dan Google DNS?
Beide zijn technisch veilig en ondersteunen DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude.. Het verschil zit in privacy: Cloudflare belooft geen IP-adressen te loggen en laat dit auditen door KPMG. Google logt IP-adressen voor 24-48 uur. Voor maximale privacy is Cloudflare (1.1.1.1) of Quad9 (9.9.9.9, Zwitsers non-profit) de betere keuze.
Wat gebeurt er als een DNS server niet reageert?
Je systeem probeert automatisch de secondary DNS server. Daarom stel je altijd twee DNS servers in. Als beide falen, krijg je een "DNS lookup failed" of "Server not found" foutmelding. Grote resolvers zoals Cloudflare hebben via anycastKeurigOnline zegtAnycastAnycast is een netwerktechniek waarbij meerdere servers hetzelfde IP-adres delen en verkeer naar de dichtstbijzijnde server wordt gerouteerd. honderden servers, waardoor uitval vrijwel onmogelijk is.
Kan ik DDNS gebruiken met een .nl domein?
Ja, maar niet via traditionele DDNS-providers zoals No-IP (die bieden alleen subdomeinen). Voor je eigen .nl domein gebruik je een DNS-provider met API-toegang, zoals Cloudflare (gratis) of TransIP. Je combineert dit met een DDNS-client die de API aanroept bij IP-wijzigingen.
Hoe schakel ik DoH in op Windows 11?
Ga naar Instellingen → Netwerk en internet → Wi-Fi/Ethernet → [Je verbinding] → Hardware-eigenschappen. Klik bij DNS-servertoewijzing op Bewerken. Stel handmatig 1.1.1.1 (Cloudflare) of 8.8.8.8 (Google) in. Windows 11 toont automatisch de optie "DNS via HTTPS" voor ondersteunde servers. Schakel deze in.
Conclusie: DNS optimaliseren voor je website
DNS is veel meer dan alleen het vertalen van domeinnamen naar IP-adressen. Door te begrijpen hoe recursieve queries werken, kun je betere TTL-waardes kiezen. Door DNS caching te begrijpen, weet je waarom wijzigingen tijd kosten. En door DoH of DoT te gebruiken, bescherm je je privacy tegen afluisteren.
De belangrijkste takeaways:
- Kies een snelle, privacy-vriendelijke DNS resolverKeurigOnline zegtDNS resolverEen DNS resolver is een server die domeinnamen vertaalt naar IP-adressen voor je internetverbinding. — Cloudflare 1.1.1.1 of dns0.eu zijn uitstekende opties voor Nederlandse gebruikers
- Stel realistische TTL-waardes in — 3600 seconden voor normale records, 300 voor dynamische
- Gebruik encrypted DNS — DoH in je browser, DoT op je telefoon
- DDNS voor thuisservers — Cloudflare APIKeurigOnline zegtAPIKoppeling tussen verschillende systemen of software. of DuckDNS voor .nl domeinen
Heb je vragen over DNS-configuratie voor je .nl, .com of .be domein? Neem contact op met ons — we helpen je graag met het optimaliseren van je DNS-infrastructuur. Bekijk ook onze LiteSpeed Cache instellingen voor nog meer snelheidswinst.
Bronnen en referenties
Dit artikel is gebaseerd op officiële documentatie en gerenommeerde bronnen:
- IETF RFC 1035 (1987) — Domain Names - Implementation and Specification: De originele DNS-specificatie
- IETF RFC 8484 (2018) — DNS Queries over HTTPS (DoH): De DoH-standaard
- IETF RFC 7858 (2016) — DNS over Transport Layer Security (DoT): De DoT-standaard
- IETF RFC 6891 (2013) — Extension Mechanisms for DNS (EDNS): EDNS0-specificatie
- Cloudflare (2025) — What is DNS?: Educatieve DNS-documentatie
- SIDNKeurigOnline zegtSIDNSIDN beheert alle .nl-domeinnamen. — Stichting Internet Domeinregistratie Nederland: Beheerder van .nl domeinen
- DNSPerf (2025) — DNS Speed Test: Prestatiemetingen van publieke DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. resolvers