Plötzlich auftretende Probleme mit (Netcup) Nameserver

    Hallo,

    Ich hatte in den letzten Tagen Probleme mit Nameservern.


    Konkret: Nachdem ich von einer mehrtägigen Skiwanderung zurückgekommen bin, habe ich festgestellt, dass meine hauptsächliche Domain plötzlich nicht mehr aufgelöst werden kann. Die Wanderung erwähne ich, weil ich tagelang in der Wildnis war - ohne Internet - und keine Einstellungen verändert haben konnte.


    Ich habe sowohl einen Root-server als auch meine Domain bei netcup gehostet. Mit dnschecker.org konnte ich feststellen dass meine Domain plötzlich kaum noch aufgelöst wurde, und zwar weder google, noch opendns, noch cloudflare etc. konnten meine Domain auflösen.


    Nach ein bisschen herumstöbern bin ich drauf gekommen, dass es wohl ein Problem mit dem DNSKey meiner Domain gegeben hat. Mit dem Befehl

    dig @1.1.1.1 meinedomain.com +dnssec

    konnte ich dank herausfinden dass der DNSKey fehlen würde. Ich habe daher im customercontrolpanel zuerst DNSSEC deaktiviert und etwas später wieder aktiviert (das ist jetzt ca. 24 Stunden her). Seitdem können die meisten Nameserver meine Domain wieder problemlos auflösen, allerdings nicht der Netcup Domainserver.


    resolvectl status zeigt mir, dass mein Server 2a03:4000:0:1::e1e6 bzw. 46.38.225.230 als ersten nameserver verwendet.

    Mit

    dig @46.38.225.230 meinedomain.com

    bekomme ich allerdings einen "status: SERVFAIL"


    Das ist insofern problematisch, als ich einige Subdomains habe, die zusammenhängen und sich teilweise gegenseitig bedingen, für manche meiner Webseiten.


    Nun weiß ich nicht wirklich was ich machen soll. Ich könnte einerseits beim Server über einen anderen Nameserver gehen, aber sollte nicht der Netcup Nameserver meine Domain, die bei Netcup gehostet wird, korrekt auflösen? (In den DNS-Einstellungen im CCP verwende ich die Netcup Domainserver). Und wie konnte es überhaupt dazu kommen dass meine Domain plötzlich auch von anderen Nameserven nicht mehr aufgelöst wurde?


    Im übrigen, der zweite netcup Nameserver (46.38.252.230) kann meine Domain auflösen, allerdings bekomme ich auf meinem Server nur die Fehlermeldung "Could not resolve hostname" wenn ich versuche meine domain oder ein sub-domain anzusprechen.

    Ist ein altbekannten Problem, seit mehr als fünf Jahren. Das Forum ist voll mit solchen Threads :(


    Ich persönlich verwende bei den wenigen Domains, die ich hier liegen habe, die Nameserver von deSEC.io. Funktioniert einwandfrei mit DNSSEC und ist wesentlich stabiler :)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 3

    Mache ich genauso bei Domains mit DNSSEC, die hier bei netcup registriert sind. Nameserver grundsätzlich bei desec.io

    Wenn du auf DNSSEC verzichten kannst, dann sollte es auch mit den netcup Nameservern stabil (oder zmindest stabiler) laufen. Am Problem wird wohl derzeit (endlich!) ernsthaft gearbeitet, aber bis dahin ...

    Danke für eure rasche Rückmeldung und eure Tipps.


    Persönlich versuche ich so wenig wie möglich 3rd party services zu verwenden, weshalb mich der Hinweis auf desec auch nicht sofort überzeugt. :) Ich behalte es aber im Hinterkopf, sollte ich ich wieder Probleme haben!

    Ich habe einige Domains bei netcup, manche schon seit Jahren, und bisher keine derartigen Probleme gehabt. Auch jetzt war nur eine Domain von den Problemen betroffen.


    Mein temporärer workaround:

    • Ich habe in meinen Servern die Datei /etc/systemd/resolved.conf so modifiziert, dass sie auf ein anderen Nameserver verweist.
    • In der Zwischenzeit habe ich die DNS Einstellungen der betroffenen Domain kurzfristig auf eine andere IP geleitet und - nach dem Speichern - sofort wieder richtig gestellt, in der Hoffnung, dass das Überschreiben auch zu einem Update des netcup Nameservers führt. Das scheint dieses mal funktioniert zu haben, und inzwischen routen auch die netcup Nameserver meine Domain wieder korrekt.

    Vielleicht hast du Glück und netcup fixt das Problem, bevor es wieder auftaucht. Es ist durchaus nicht so, dass es jeden Tag wieder auftreten muss. Ich habe Domains, an deren DNS habe ich seit über einem Jahr nichts mehr geändert und sie funktionieren mit DNSSEC immer noch so, dass alles aufgelöst wird. Andere dagegen sind ab und zu plötzlich so "kaputt", dass die Auflösung fehlschlägt. Da das keine für mich wichtigen Domains sind, habe ich DNSSEC da einfach deaktiviert. Wären es wichtige Domains, dann würden sie jetzt mit desec Nameservern laufen. Ginge wohl auch mit Cloudflare, aber ein deutscher, eingetragener Verein ist mir datenschutztechnisch lieber als eine Firma mit Sitz in den USA. Außerdem sind die Nameserver sehr flott bei der Propagation von Änderungen.


    Aber, wie bereits geschrieben, mit etwas Glück liefert netcup eine Lösung, bevor es wieder auftritt. Das kann man freilich nur hoffen, verlassen kann man sich darauf nicht, weil es ja morgen bereits wieder auftreten könnte.

    Zitat von freibadschwimmer

    Persönlich versuche ich so wenig wie möglich 3rd party services zu verwenden, weshalb mich der Hinweis auf desec auch nicht sofort überzeugt. :) Ich behalte es aber im Hinterkopf, sollte ich ich wieder Probleme haben!

    Falls du dich auf externe Services nicht einlassen möchtest, kannst du deine authoriative DNS Server auch selbst betreiben. Bei mir läuft das seit einiger Zeit recht problemlos.

    Ich "verlasse" mich eigentlich eher gern auf 3rd party services. Gerade bei auftretenden Problemen hat man dann meist noch eher die Chance, einen funktionierenden Workaround zu finden. So trenne ich wenn möglich Domains und Webhosting und Domains auch noch von den Nameservern. Natürlich nur bei wichtigen Domains. Bei den unwichtigen warte ich halt bis das Problem gelöst ist und habe keinen Aufwand damit. Dass eine solche Trennung echte Vorteile bringt und woran man da alles denken muss, wurde mir erst vor einigen Wochen mal wieder auf schmerzliche Weise bewusst.


    Der Hoster eines Bekannten hatte einen Stromausfall im Rechenzentrum. Der Betreiber hatte Wartungsarbeiten bei der Stromversorgung angemeldet, aber der Notstrom sei nicht betroffen. Der Hoster hatte sich auf diese Aussage verlassen (mutig!) und zack, auch der Notstrom war dann doch weg und das Rechenzentrum komplett stromlos. Somit waren natürlich auch Webseiten und E-Mail-Postfächer meines Bekannten tot. Auch ich habe dort ein paar Sachen laufen, aber nichts vergleichbar Wichtiges. Trotzdem bin ich da so aufgestellt, dass ich für mein Zeug einen Workaround hinbekommen hätte, das war es mir aber nicht wert wegen voraussichtlich einigen Stunden Ausfall übers Wochenende.


    Die wichtigen Domains meines Bekannten hatte ich schon von Beginn an bei einem separaten Registrar untergebracht. Aber leider nicht die Nameserver nochmal woanders. Und die Kontaktadresse meines Bekannten beim Registrar hatte ich geschickter Weise bei seinem Hoster gelassen, was sich nun durch einen weiteren unglücklichen Umstand fatal auswirkte. Da er geschäftlich auf seine Mailaccounts angewiesen ist, wollte ich "mal eben" ein behelfsmäßiges Postfach auf einem meiner Server zur Verfügung stellen. Aber dazu hätte ich die MX-Einträge im DNS seiner Domains ändern müssen. Bin ich auch gleich drangegangen, musste aber nach wenigen Minuten aufgeben, da der Registrar netterweise kurz davor auf 2FA umgestellt hatte und übergangsweise Einmal-Passwörter an die Kontaktadresse der Kunden versandte. (Nein, der Registrar ist nicht netcup, auch wenn es seltsam vertraut klingt. Kann es aber noch werden, wenn die ganzen DNS-Probleme endlich mal gelöst sind ;) ) Das Einmal-Passwort ist dann nach dem Wochenende auch erfolgreich zugestellt worden.

    Zitat von tab

    Das Einmal-Passwort ist dann nach dem Wochenende auch erfolgreich zugestellt worden.

    "Das Passwort ist 15 Minuten gültig ab Samstag 08:15 CET"

    RS Eggnog | VPS 1000 G10 | VPS 1000 G10 SE | VPS piko G11s | VPS nano G11s | VPS mikro G11s | Webhosting 4000 NUE ADV23