Guten Tag,
wir versuchen momentan von den Netcup DNS weg zu kommen und eigene DNS für unsere Domain syncosync.de zu hosten.
Nach DENIC müssen es zwei NS mit unterschiedlichen Subnetzen sein:
Master 37.221.198.234 (vServer bei Netcup) - ns1.syncosync.de
Slave 95.156.229.185 (vServer bei externem Host... langsamere Kiste) - ns2.syncosync.de
Wie der Titel schon vermuten lässt: auf beiden läuft Bind9.
Der NAST Test der DENIC läuft ohne Fehler und Warnungen - sofern IPv4 only. Wenn der Master mit IPv4 und IPv6 angegeben wird kommt es zu einem Timeout (ggf fehlerhafte Eingabe der IPs meinerseits im NAST Tool). Also der Einfachheit halber erstmal die IPv4 Adressen im CCP als eigene DNS eingetragen.
dig syncosync.de @37.221.198.234
sowie
dig syncosync.de @95.156.229.185
laufen auch ohne Probleme.
Problem ist nun, dass die DNS nicht bekannt werden. Jegliche Anfragen gehen an die drei Netcup NS und dort ist dann Sense.
Ist die TTL der drei Netcup NS bzw DENIC entsprechend lange, dass mit einer Änderung wirklich erst nach knapp zwei Tagen zu rechnen ist?
https://intodns.com/syncosync.de
Ist doch so zu verstehen, dass die DENIC auf die Netcup NS zeigt und eben dort kein korrekter Eintrag vorliegt?
Ggf ist bei den Bind9 Configs noch ein Fehler vorhanden.
Die named.conf.options schaut so aus:
// ACL - Allow queries from ANY source address
acl "allowed-queries" {
any;
};
// ACL - Allow recursion from LOCALHOST only.
acl "allowed-recursion" {
127.0.0.1;
::1;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-recursion { "allowed-recursion"; };
allow-transfer { none; };
allow-query { "allowed-queries"; };
rate-limit {
responses-per-second 10;
exempt-clients { 127.0.0.1; ::1; };
};
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
};
Alles anzeigen
Die zone-file für syncosync.de wie folgt
$ORIGIN .
$TTL 60 ; 1 minute
syncosync.de IN SOA ns1.syncosync.de. root.syncosync.de. (
2017062903 ; serial
7200 ; refresh (2 hours)
1800 ; retry (30 minutes)
604800 ; expire (1 week)
180 ; minimum (1 minute)
)
;
NS ns1.syncosync.de
NS ns2.syncosync.de
A 37.221.198.234
AAAA 2a03:4000:9:2d6::1
$ORIGIN syncosync.de.
$TTL 3600
; A Records for name servers
ns1 A 37.221.198.234
; AAAA 2a03:4000:9:2d6::1
ns2 A 95.156.229.185
Alles anzeigen
Hatte auch schon $ORIGIN syncosync.de und dann eben bei SOA ein @ anstelle von syncosync.de eingetragen, geändert hat es augenscheinlich relativ wenig.
Den AAAA record bei ns1 habe ich aus oben genannten Gründen vorerst kommentiert
Weiß da jemand einen Rat?