Anhaltende/sporadische Probleme mit Domains/DNSSEC

  • mfnalex Für so etwas gibt es zum Glück eine API 8o

    Da hab ich jetzt aber keinen Bock mich drum zu kümmern :D a/aaaa für @ und * und mx setz ich jetzt noch, das muss für heute reichen. Support hat auch schon geantwortet, vielleicht finden die ja schnell den Fehler und dann ist ja alles wieder gut :3

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Möchte mich nochmal entschuldigen für die Wortwahl im ersten Post, ich war halt echt sauer weil zwei meiner wichtigsten Domains aus dem Nichts kaputt waren - leider ist die Bearbeitungszeit abgelaufen, vielleicht könnte ja jemand vom Team ( [netcup] Claudia H. ) den Titel in etwas "neutraleres" abändern, z.B. "Anhaltende/sporadische Probleme mit Domains/DNSSEC" oder so :) Ich hoffe jetzt einfach dass der Support das Problem findet und wir dann alle in Zukunft wunschlos glücklich werden :D

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • ich find den titel passend


    *duck und weg*

    Ja, ich fande den auch passend :D Trotzdem hätte ich etwas objektiver in der Wortwahl sein können :P

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

    • Offizieller Beitrag

    Hallo zusammen,



    vielen Dank für euer zahlreiches Feedback.


    DNSSEC ist ein komplexes technisches Thema, bei dem viele Zahnräder ineinander greifen müssen, damit alles korrekt funktioniert. Kommt es auch nur zu kleinen Abweichungen, können Probleme auftreten und, dies ist ja bekanntlich der Sinn des Konzepts, die Domain löst unter Umständen nicht mehr korrekt auf. Wir haben natürlich entsprechende Vorsorge getroffen, um möglichst alle denkbaren Fehler, die auftreten könnten, abzufangen und so eine Unerreichbarkeit von Domains zu verhindern.


    Im Thread wurden verschiedene Beispiele genannt, bei denen es bereits zu Einschränkungen aufgrund von DNSSEC kam. Das Feature DNSSEC mit automatischer Schlüsselverwaltung durch uns bieten wir nun bereits seit Mitte 2016 an. Seitdem wurden, wie bei komplexen technischen Systemen auch mit größter Sorgfalt kaum zu verhindern, diverse Fehler gefunden, die nach ihrem Bekanntwerden schnellstmöglich behoben wurden. Es ist mir wichtig, zu betonen: Die verschiedenen hier genannten Einschränkungen hatten sicherlich unterschiedliche Ursachen und das DNSSEC-Feature wird kontinuierlich weiter entwickelt. Unseren Beobachtungen zufolge arbeitet DNSSEC für die absolut überwiegende Mehrzahl der Domains durchgehend ohne Probleme. So nutzen wir z.B. DNSSEC auch bei uns für verschiedene äußerst wichtige Domains – darunter das CCP und das SCP. Ausfälle bei diesen Domains würden bei uns umgehend bemerkt werden, bei den Domains ist DNSSEC schon längere Zeit aktiv. Von einem allgemeinen Problem bei der Funktionalität kann also nicht die Rede sein, dieser Eindruck kann aber verständlicherweise schnell entstehen, da das letztliche Fehlerbild – die Domain löst nicht mehr auf, falls DNSSEC validiert wird – das Selbe ist. Die Ursachen unterscheiden sich aber erheblich, sind teilweise auch individuell bedingt. Es ist also nicht so, dass wir unehrlich sind, wenn wir schreiben, dass der Sachverhalt gelöst wurde. Es ist nur möglich, dass andere Ursachen hinzukommen, oder neue entdeckt werden (wobei hier recht wahrscheinlich ist, dass es nicht mehr die gleichen TLDs / Kunden trifft). Die hier erwähnte Ticket-Antwort in einem anderen Fall ("found an issue in the DNSSEC renewal tasks which can occur under certain conditions (when another update job for the domain is pending at the same time)") hat z.B. ein Problem gelöst, welches nur bei bestimmten Registrys auftrat. Hierdurch treten nun aber bei den betroffenen TLDs tatsächlich keine zusammenhängenden Fehler mehr auf.


    Im konkreten Fall stehen wir mit mfnalex per Ticket in Kontakt. Leider gestaltet sich die Fehlersuche schwierig, da der Sachverhalt schnellstmöglich durch mfnalex bereits gelöst wurde, wofür wir natürlich Verständnis haben, was uns nun aber nicht mehr die Möglichkeit bietet, den Fehler "live" zu untersuchen. Was wir daher in jedem Fall empfehlen können, sollten bei euch Probleme mit DNSSEC auftreten: Bitte prüft die Domain wenn möglich auf der Webseite dnsviz.net, dies ist ein Tool, mit dem DNSSEC-Probleme gefunden werden können. Das Tool speichert auch vergangene Analysen und diese können dann mit dem Domainnamen öffentlich eingesehen werden, so dass wir den Fehler auch später noch nachvollziehen können. Wenn Kunden uns kontaktieren, während der Sachverhalt noch besteht, nutzen wir dies auch, um Einschränkungen prüfen und kategorisieren zu können. Hier ist natürlich die beste und umfangreichste Fehleranalyse möglich. Wir gehen davon aus, dass es sich auch im hier vorliegenden Fall um einen individuellen Fehler, den wir so nur unter ganz bestimmten Umständen beobachten können, handelt.


    Ich danke euch für eure zahlreichen Rückmeldungen. Wir wissen, dass die Unerreichbarkeit einer Domain große Probleme für den betroffenen Kunden erzeugen kann. DNSSEC stellt aufgrund seiner hohen Komplexität und zahlreichen potenziellen Fehlerquellen immer ein geringes, aber eben vorhandenes Risiko für die Verfügbarkeit einer Domain dar. Natürlich ist das keine Entschuldigung für etwaige Fehler bei uns. Grundsätzlich sollte aber jedem Anwender klar sein, dass DNSSEC, kommt es zu einem Fehler (auf wessen Seite auch immer), dazu führen kann, dass die Erreichbarkeit einer Domain erheblich eingeschränkt wird. Solche Probleme können nicht nur uns treffen, auch bei anderen Anbietern kann es bedauerlicherweise zu Fehlern kommen, die dann ähnliche Probleme bedingen können.

    • Offizieller Beitrag

    Möchte mich nochmal entschuldigen für die Wortwahl im ersten Post, ich war halt echt sauer weil zwei meiner wichtigsten Domains aus dem Nichts kaputt waren - leider ist die Bearbeitungszeit abgelaufen, vielleicht könnte ja jemand vom Team ( [netcup] Claudia H. ) den Titel in etwas "neutraleres" abändern, z.B. "Anhaltende/sporadische Probleme mit Domains/DNSSEC" oder so :) Ich hoffe jetzt einfach dass der Support das Problem findet und wir dann alle in Zukunft wunschlos glücklich werden :D

    Hallo mfnalex, ich habe es wunschgemäß geändert.

  • mfnalex halte uns mal.bitte auf dem.laufenden. die fehler und probleme.betreffen ja nicht nur dich und auch deine darstellung dass diese auftreten ohne dass du an den dns Einstellungen was geändert hast sind durchaus auch ein hinweis auf ein grundsätzliches problem.bei netcup ;)

  • mfnalex halte uns mal.bitte auf dem.laufenden. die fehler und probleme.betreffen ja nicht nur dich und auch deine darstellung dass diese auftreten ohne dass du an den dns Einstellungen was geändert hast sind durchaus auch ein hinweis auf ein grundsätzliches problem.bei netcup ;)

    Klar :)


    Hier ein Auszug aus der letzten Mail mit dem Support (hoffe das ist okay, sind ja keinen persönlichen Daten enthalten):


    Den Anbieter habe ich im Übrigen doch nicht gewechselt, sondern lediglich DNSSEC bei den Domains ausgeschaltet, die APIs anbieten. Damit kann ich vorerst leben und habe das so auch dem Support mitgeteilt. Sollte es nochmal bei einer unwichtigeren Domain auftreten, lass ich tunlichst die Finger von den DNS-Einstellungen und werd direkt den Notfall-Support anrufen :D

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Die einfachste Lösung wär zu Cloudflare zu gehen und deine Nameserver dahin zu ändern. So bleiben bei einem Anbieter wechsel wie gesagt die Einstellungen vorhanden und die TTL ist da ein paar Millisekunden.

    Mit dem Netcup DNS hatte ich in letzter Zeit zuviel Probleme

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    c@compi.moe

    Gefällt mir 1
  • Ich habe mal eine meiner Domains bei netcup, bei der DNSSEC aktiviert ist, bei dnsviz.net analysieren lassen. Dabei werden mir einige Probleme angezeigt. Ich bin jetzt kein DNSSEC-Experte, die Domain und alle Subdomains/Server sind auch erreichbar. Allerdings wird unten bei domain.de/NS angezeigt, dass root-dns.netcup.net per UDP nicht geantwortet hat und noch ein weiterer Error ("The TTL of the RRSET (3600) exceeds the value of the original TTL field of the RRSIG RR covering it (0).") sowie eine Warnung ("No response was received from the server over UDP (tried 7 times) until the NSID EDNS option was removed (however, this server appeared to respond legitimately to other queries with the NSID EDNS option present). (46.38.225.225, 2a03:4000:0:1::e1e1, UDP_-_EDNS0_4096_D_KN")

    Könnte das von Interesse sein für den Support oder ist so etwas "normal"? Meine letzte Änderung am DNS der Domain ist schon eine Weile her (>1 Monat soweit ich keine neuere Änderung verdrängt habe ;))

  • Ich habe mal eine meiner Domains bei netcup, bei der DNSSEC aktiviert ist, bei dnsviz.net analysieren lassen. Dabei werden mir einige Probleme angezeigt. Ich bin jetzt kein DNSSEC-Experte, die Domain und alle Subdomains/Server sind auch erreichbar. Allerdings wird unten bei domain.de/NS angezeigt, dass root-dns.netcup.net per UDP nicht geantwortet hat und noch ein weiterer Error ("The TTL of the RRSET (3600) exceeds the value of the original TTL field of the RRSIG RR covering it (0).") sowie eine Warnung ("No response was received from the server over UDP (tried 7 times) until the NSID EDNS option was removed (however, this server appeared to respond legitimately to other queries with the NSID EDNS option present). (46.38.225.225, 2a03:4000:0:1::e1e1, UDP_-_EDNS0_4096_D_KN")

    Könnte das von Interesse sein für den Support oder ist so etwas "normal"? Meine letzte Änderung am DNS der Domain ist schon eine Weile her (>1 Monat soweit ich keine neuere Änderung verdrängt habe ;))

    Same here. Eine meine unwichtige Domain bei Netcup zeigt auch bei dnsviz.net diesen Fehler an. DNS Server ist einfach kaputt. Punkt. Sorry, aber ich kann das Problem mit DNSSEC nicht genau nachvollziehen. Mein Vertrauen zu DNS von Netcup ist endgültig kaputt. Beim Anbieter, den ich hier erwähnt habe, gibt es so gut wie keine Probleme mit DNSSEC, und das seit vielen vielen Jahren. Bei anderen Anbieter haben das mit DNSSEC auch besser im Griff. Ich weiß, dass DNSSEC komplex ist, aber ist m.E. absolut machbar, stabil zu halten.


    P.S. bitte nicht falsch verstehen, ich habe absolutes Vertrauen zu den Root-Server.

  • Klar, DNSSEC ist kein so einfaches Thema. Es war jetzt aber auch kein Hexenwerk das bei meinen selbstbetriebenen Nameservern mit Bind einzurichten. Und wenn es einmal eingerichtet ist, läuft es auch stabil. Ich verstehe ehrlich gesagt nicht, wie es einfach aus dem Nichts kaputt gehen kann. Außer netcup wechselt oft die Keys durch, was aber absolut nicht notwendig ist und erst passieren sollte, wenn ein privater Schlüssel abhanden gekommen ist.


    dnsviz.net und zonemaster.net sind mit meinen Domains absolut glücklich. Es sind aber halt auch eben meine eigenen Nameserver. netcup ist natürlich eine andere Dimension als ich mit meinen 9 Domains hier. Aber vom Grundprinzip sollte es doch ähnlich sein. Und dann verstehe ich echt nicht, warum aus dem Nichts etwas kaputt geht.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • "The TTL of the RRSET (3600) exceeds the value of the original TTL field of the RRSIG RR covering it (0)."

    Ja, das bekomme ich auch. (Ich hab jetzt aus Neugierde auch mal bei einer domain DNSSEC angeschaltet;))

    Außerdem wird unter "DNSKEY/DS/NSEC status" die domain selbst (DNSKEY) als unsicher eingestuft.

    Richtig interpretieren kann ich das mangels entsprechendem Know-How aber nicht wirklich.


    Ich auch aber nicht. ob beides überhaupt irgendeine Relevanz hat.

    Wenn ich diesen dnssec-Analyzer hier benutze ist nämlich alles grün:

    https://dnssec-analyzer.verisignlabs.com/


    Auch https://zonemaster.net/ ist zufrieden (Bis auf die Warnung: "DNSKEY ... has a size smaller than the recommended one")


    Ich beobachte diese dnssec-estdomian jetzt einfach mal. längere Zeit... :)

  • Klar, DNSSEC ist kein so einfaches Thema. Es war jetzt aber auch kein Hexenwerk das bei meinen selbstbetriebenen Nameservern mit Bind einzurichten. Und wenn es einmal eingerichtet ist, läuft es auch stabil. Ich verstehe ehrlich gesagt nicht, wie es einfach aus dem Nichts kaputt gehen kann. Außer netcup wechselt oft die Keys durch, was aber absolut nicht notwendig ist und erst passieren sollte, wenn ein privater Schlüssel abhanden gekommen ist.


    dnsviz.net und zonemaster.net sind mit meinen Domains absolut glücklich. Es sind aber halt auch eben meine eigenen Nameserver. netcup ist natürlich eine andere Dimension als ich mit meinen 9 Domains hier. Aber vom Grundprinzip sollte es doch ähnlich sein. Und dann verstehe ich echt nicht, warum aus dem Nichts etwas kaputt geht.

    So ist es! Daher kann ich das Statement von Netcup in diesem Fall überhaupt nicht nachvollziehen. Bei diesem Fall von mfnalex ist höchstwahrscheinlich der DNSSEC-Key kaputt. Das erklärt sich auch das Verhalten bei mfnalex. Wenn der Key kaputt ist, dann hilft das Neusetzen der Records (wie bei mfnalex mit 8.8.8.8) absolut gar nicht. Auch das Neusetzen des DNSSEC-Hakens (auch nach 48 Std.) hat keine Wirkung. Erst nach mehrmaligen Anstoßen beim Support mit der Bitte, dass sie den DNSSEC-Key resetten soll, ist das Problem mit DNSSEC behoben. Nach spätestens sechs bis zwölf Monaten fängt das Spiel wieder von vorne an und der DNSSEC-Key ist wieder aus dem Nichts kaputt.

    Sogar das Transferieren meiner Domain mit aktiviertem DNSSEC-Key von Netcup zum anderen Anbieter war fehlerhaft. Beim Transferieren werden die DNSSEC-Keys automatisch entfernt. Netcup bestätigt das auch per Mail. Leider ist das nicht der Fall und die Domain ist dann mit kaputten DNSSEC beim anderen Anbieter gelandet. Ich musste dann ein UPDATE-Befehl mit neuen korrekten DNSSEC-Key rausschicken, was dann auch funktioniert hat. Also nochmal Fazit: Der DNS-Server von Netcup ist einfach fehlerhaft und kaputtprogrammiert. Das ist nun mal Fakt!

  • Bei mir hat das Anlegen eines weiteren Records bei allen drei Domains praktisch sofort geholfen, danach ging alles wieder

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com