Temporärer Fehlschlag beim Auflösen von ... || nach frischer Neuinstallation

netsurf · 16. November 2021

Liebe Community,
gestern habe ich folgende Mail erhalten:

Code

Guten Tag XXX,

um die Stabilität Ihres Systems weiterhin kontinuierlich gewährleisten zu können, war es dringend nötig, Ihren Server XXX - VPS 200 G8 OST20 auf ein anderes Wirtssystem zu verschieben.

Wir haben dies zum Schutz Ihrer Daten und zur Gewährleistung des regulären Betriebs Ihres Servers durchgeführt. Die Migration wurde gerade mit dem Neustart Ihres Servers abgeschlossen.

Wir empfehlen grundsätzlich, Snapshots zu entfernen, wenn diese nicht benötigt werden. Im Regelfall erlaubt uns dies, Ihren Server live umzuziehen, so dass kein Neustart erforderlich ist. In Ausnahmefällen ist es dennoch notwendig, dass wir einen solchen durchführen, dann informieren wir Sie selbstverständlich zuvor, so wie in diesem Fall.

In der Regel versuchen wir außerdem, Sie über einen solchen Migrationsvorgang mit Neustart auch im Voraus zu informieren. Leider war dies im aktuellen Fall aufgrund der Dringlichkeit nicht möglich.

Vielen Dank für Ihr Verständnis.

Alles anzeigen

Hab mich dann wieder eingeloggt. Da war aber einiges zerschossen, weswegen ich Ubuntu 20.04.3 LTS minimal neu installiert habe, da ich keinen Snapshot hatte (dachte ist schneller als zu suchen, was da schief gegangen ist).

Nun scheint der DNS Server Probleme zu machen:
Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com«

Code

systemd-resolve --status
Global
       LLMNR setting: no
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes
  Current DNS Server: 46.38.225.230
         DNS Servers: 46.38.225.230
                      46.38.252.230
                      2a03:4000:8000::fce6
                      2a03:4000:0:1::e1e6
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 2 (eth0)
      Current Scopes: none
DefaultRoute setting: no
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes

Alles anzeigen

Ideen zur Lösung? Ist da auf Netcup Seite was kaputt? Habe nichts verändert. Nur apt-get update ausgeführt, was zu dem Fehler führt.
Vielen Dank
Markus

frank_m · 16. November 2021

Versuch im Zweifel andere Nameserver. Kannst du 1.1.1.1 und 8.8.8.8 pingen?

netsurf · 16. November 2021

Ja das funktioniert. Für andere die auch das Problem haben: Hab die DNS Einträge geändert in /etc/systemd/resolved.conf + service systemd-resolved restart

Scheint, wie wenn die default DNS von netcup offline sind.

cltrmx · 16. November 2021

Das ist einer der Gründe, warum ich mein Basis-OS lieber selbst installiere, als dass ich ein fertiges Image von Netcup nutze: Es werden nicht per default die Resolver von Netcup eingetragen.

maex · 16. November 2021

Ich habe genau das gleiche Problem. Ubuntu Server neu aufgesetzt und seit dem bekomme ich die oben genannte Fehlermeldung.

**[netcup] Claudia H.** · 18. November 2021

Hallo zusammen,

bitte wendet euch mit diesen Themen an den Support.
Damit das Thema auch an der richtigen Stelle landet, bitte im Ticket auf diesen Thread verweisen.

Danke euch!

Liebe Grüße,
Claudia M.

SebTM · 20. Dezember 2021

Hallo,

bei mir trat das Problem nach der Installation des "Ubuntu 20.04 LTS - Minimal" - Images ebenfalls auf. Folgendes habe ich gemacht um das Problem zu analysieren:

Zitat

W: Fehlschlag beim Holen von http://de.archive.ubuntu.com/ubuntu/dists/focal/InRelease Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com

Die Meldung weist darauf hin, das die Namensauflösung also DNS nicht funktioniert hat, das wird bei dieser Ubuntu-Version (bei älteren Versionen/je nach OS kann das abweichen) per systemd-resolve gemacht.¹

Bash

resolvectl query de.archive.ubuntu.com
systemd-resolve de.archive.ubuntu.com

Über die o.g. Befehle (die im Grunde das selbe tun) kann man nun überprüfen, was bei der Namensauflösung wirklich passiert:

Zitat

de.archive.ubuntu.com: resolve call failed: DNSSEC validation failed: no-signature

Über den Befehl "resolvectl" ohne weitere Parameter bekommt man ausserdem eine Kurzübersicht der aktuellen globalen und per Interface-Konfiguration erhalten:

Zitat

Global

LLMNR setting: no

MulticastDNS setting: no

DNSOverTLS setting: no

DNSSEC setting: allow-downgrade

DNSSEC supported: yes

Current DNS Server: 46.38.225.230

DNS Servers: 46.38.225.230

46.38.252.230

2a03:4000:8000::fce6

2a03:4000:0:1::e1e6

DNSSEC NTA: 10.in-addr.arpa

16.172.in-addr.arpa

168.192.in-addr.arpa

17.172.in-addr.arpa

18.172.in-addr.arpa

19.172.in-addr.arpa

20.172.in-addr.arpa

21.172.in-addr.arpa

22.172.in-addr.arpa

23.172.in-addr.arpa

24.172.in-addr.arpa

25.172.in-addr.arpa

26.172.in-addr.arpa

27.172.in-addr.arpa

28.172.in-addr.arpa

29.172.in-addr.arpa

30.172.in-addr.arpa

31.172.in-addr.arpa

corp

d.f.ip6.arpa

home

internal

intranet

lan

local

private

test

Link 2 (eth0)

Current Scopes: none

DefaultRoute setting: no

LLMNR setting: yes

MulticastDNS setting: no

DNSOverTLS setting: no

DNSSEC setting: allow-downgrade

DNSSEC supported: yes

Alles anzeigen

Dort sieht man, das standardmäßig DNS-Resolver von Netcup genutzt werden und DNSSEC so konfiguriert ist, das es nur genutzt wird, wenn der Server es unterstützt.² Die Nameserver von Netcup werden per "/etc/systemd/resolved.conf" unter "DNS" global gesetzt, in meinen Tests hat es z.B. mit den DNS-Servern von Cloudflare bzw, Google wieder funktioniert. Nach einer Änderung habe ich per

Code

systemctl restart systemd-resolved

den Service neu gestartet und die Änderungen per "resolvectl" (Übersicht) verifiziert, dann noch per

Code

resolvectl reset-server-features
resolvectl flush-caches

mögliche Altlasten (Cache) explizit entfernt.

Der oben genutzte Befehl zur Namensabfrage ergibt nun folgendes:

Zitat

resolvectl query de.archive.ubuntu.com

de.archive.ubuntu.com: 141.30.62.22 -- link: eth0

141.30.62.26 -- link: eth0

141.30.62.23 -- link: eth0

141.30.62.25 -- link: eth0

141.30.62.24 -- link: eth0

(ubuntu.mirror.tudos.de)

-- Information acquired via protocol DNS in 6.6ms.

-- Data is authenticated: no

Alles anzeigen

Zusammenfassung: Auf andere DNS-Server zur Auflösung auszuweichen hat bei mir funktioniert, im Link (1 - s.u.) wird auch erklärt wie man die DNS-Server statt global auch nur für das per Netplan konfigurierte Interface ändert (Konfigurationsdatei: /etc/netplan/50-cloud-init.yaml). Warum es nun genau mit den Netcup DNS-Servern nicht funktioniert, kann ich mir bisher nicht erklären - habe aber auch keine weitere Zeit in investiert - ggf. ein guter Hinweis an die Technik da nochmal drauf zuschauen.

Grüße

1) https://www.ricmedia.com/set-c…rvers-on-ubuntu-18-or-20/

2) https://wiki.archlinux.org/title/Systemd-resolved#DNSSEC

KaptainKafka · 21. Dezember 2021

Jetzt weiß ich auch wo dieser eigenartige DNS-Server Eintrag in meiner Debian Installation herkam. Ich hatte nämlich das selbe Problem, dachte aber ich hätte es selbst durch Installation von irgendwelchen Paketen verursacht. Gut zu wissen.

kilians · 29. Dezember 2021

tudos.de scheint ein kaputtes DNSSEC zu haben. Zwar geben alle ihre Nameserver DNSKEY Records zurück, aber nur der Primary, ns.tudos.de, auch RRSIGs.

Je nachdem ob dein Resolver an den Primary oder einen Secondary gerät, siehst du einen Fehler oder nicht.

https://dnsviz.net/d/ubuntu.mirror.tudos.de/dnssec/

Also soweit ich das beurteilen kann, ist das kein Fehler der netcup Resolver, sondern alle validierenden Resolver werden (manchmal) Fehler werfen.

maex · 17. März 2022

Gibt es mittlerweile einen Workaround? Ich habe einen neuen Server aufgesetzt und wieder das gleiche Problem...

ThomasChr · 17. März 2022

Letzte Infos wohl hier: https://forum.netcup.de/admini…ng-de-archive-ubuntu-com/

maex · 17. März 2022

Zitat von ThomasChr

Letzte Infos wohl hier: https://forum.netcup.de/admini…ng-de-archive-ubuntu-com/

Danke für deine Antwort. Leider geht nicht genau hervor, was man tun muss um das Problem zu lösen. Hast du für mich eine Anleitung oder kannst mir sagen, was ich genau machen muss? Danke!

ThomasChr · 17. März 2022

Afaik in die /etc/resolv.conf andere Nameserver eintragen (z.B. die von google) oder in die apt.list das 'de.' vor den Ubuntupaketquellen weg machen.

(angaben aus dem Kopf)

maex · 17. März 2022

Zitat von ThomasChr

Afaik in die /etc/resolv.conf andere Nameserver eintragen (z.B. die von google) oder in die apt.list das 'de.' vor den Ubuntupaketquellen weg machen.

(angaben aus dem Kopf)

Funktioniert, danke

kilians · 21. März 2022

Heute Nacht scheint das DNS von tudos.de umgebaut worden zu sein. Es hat jetzt andere externe Secondaries, die korrekt RRSIGs mit ausliefern. Und in der Parent Zone ist auch ein DS Record eingetragen, d.h. DNSSEC is vollständig für die Domain aktiviert.

In meinen Tests geben jetzt auch die netcup Resolver wieder Ergebnisse zurück.

Tags