DNS Redundanz

    Servus zusammen,


    ich bin gerade von einem DNS GAU bei einem anderen Betreiber betroffen, bin zwar mit 2 Root-Servern vor einiger Zeit zu netcup umgezogen, die Domains sind aber noch beim alten provider..


    Wie sich gestern herausstellte, scheint der alte Provider keinerlei physische Redundanz Ihrer namserver zu haben, was aktuell dazu führt, dass wohl hunderte, wenn nicht mehr domains nicht mehr erreichbar sind (query A ESERVFAIL). Einen derartigen DNS Totalausfall über einen so langen Zeitraum hätte ich so nicht für möglich gehalten :-((


    Jetzt bin ich am überlegen wohin mit den Domains, zu netcup (all eggs in one basket...?) - wie sieht's dort mit Redundanz aus? Oder besser zu Cloudflare oder einem dedizierten DNS provider (cloudns, etc.). Gleichzeitig möchte ich sicherstellen, dass mein zukünftiger DNS provider auch eine API für die DNS-01 challenge unterstützt (um den TXT record für letsencrypt wildcard certs gescripted setzen zu können), da blick ich bei netcup auch noch nicht durch ob das geht.

    Uff, alle Domainserver ohne geografische Redundanz ist schon ein starkes Stück für einen "professionellen" Anbieter.


    Für den Anbieter Wolkenfackel (direktes Nennen von anderen Anbietern ist hier im Forum nicht so gerne gesehen) möchte ich nur anmerken, dass der nicht alle Features eines vollumfänglichen Domain-Registrars unterstützt. Z. B. sind dort ohne Weiteres keine eigenen autoritative DNS-Server möglich.

    Netcup stellt eine DNS API zur Verfügung und es gibt fertige Implementierungen z.B. bei acme.sh. Bei netcup musste ich des öfteren mit langen dnssleep values arbeiten (5 min+) da die Nameserver etwas langsam (geworden) sind. Daran wird aber aktuell auch gearbeitet seitens netcup. ^^

    DNS-Änderungen werden nur alle 10 Minuten übernommen. Mit einem Wait von 10 Minuten sollte man daher auf der sicheren Seite sein.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 3
    Zitat von cltrmx

    Uff, alle Domainserver ohne geografische Redundanz ist schon ein starkes Stück für einen "professionellen" Anbieter.


    Für den Anbieter Wolkenfackel (direktes Nennen von anderen Anbietern ist hier im Forum nicht so gerne gesehen) möchte ich nur anmerken, dass der nicht alle Features eines vollumfänglichen Domain-Registrars unterstützt. Z. B. sind dort ohne Weiteres keine eigenen autoritative DNS-Server möglich.

    Und diese geographische Redundanz ist bei netcup gegeben?


    Und ja, sorry wegen der Nennung, aber ich mach hier ja keine Werbung für den Mitbewerb sondern das Gegenteil...

    Zitat von arminus

    Und ja, sorry wegen der Nennung, aber ich mach hier ja keine Werbung für den Mitbewerb sondern das Gegenteil...

    Das hat damit nichts zu tun:

    Zitat von [netcup] Claudia H.

    Falls es unter den Mitlesenden jemanden gibt, der noch nicht weiß, warum es die Zensur überhaupt gibt:
    Wir möchten positive wie negative Gespräche über den Mitbewerb aus rechtlichen und aus Gründen der Fairness im Internet weniger leicht auffindbar gestalten. Es wurde deshalb vor langem Entschieden, dass eine Zensur der jeweiligen Markennamen einen brauchbaren Kompromiss darstellt. Es weiß zwar jeder, der eure durchaus unterhaltsamen Umschreibungen ;) findet, wer gemeint ist, aber eine Internetsuche liefert keine Ergebnisse zu unserem Forum.


    Sie soll euch nicht einschränken oder unser Ego schützen, sondern uns rechtlich absichern und dem Mitbewerb gegenüber Fairness bieten.
    Ob das noch zeitgemäß ist, oder ob eine andere Lösung die bessere ist, kann sich unser Legal Department bei Zeiten gerne ansehen.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von arminus

    Und diese geographische Redundanz ist bei netcup gegeben?

    Sicher bin ich mir nicht. Aber alle drei Nameserver sind laut ihren IP-Adressen in Nürnberg. Ich gehe mal stark davon aus, dass die Nameserver auf unterschiedlicher Hardware laufen, aber im selben Rechenzentrum.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    2 Mal editiert, zuletzt von Virinum ()

    Gefällt mir 1
    Zitat von Virinum

    Sicher bin ich mir nicht. Aber alle drei Nameserver sind laut ihren IP-Adressen in Nürnberg. Ich gehe mal stark davon aus, dass die Nameserver auf unterschiedlicher Hardware laufen, aber im selben Rechenzentrum.

    Ohne genauere Einblicke scheint mir aber genau das der Grund für den GAU beim anderen Provider zu sein. Batteriebrand, Löschwasser, Strom weg, USV (vielleicht) mitbetroffen, recovery dauert ewig, Zugriff auf ein admin panel um den auth code für einen Domain-Transfer zu bekommen geht auch nicht.


    Ich meine, klar, wenn dann ein Server auch noch am gleichen Ort steht, ist's eh egal. Aber das zumindest kann man selbst steuern.


    Und auf reddit wurde auf meine diesbezügliche Anfrage z.B. auf “Unicast DNS” verwiesen - ist das state of the art und wie sieht's damit bei netcup aus?

    Zitat von arminus

    Oder besser zu Cloudflare oder einem dedizierten DNS provider (cloudns, etc.).

    Ich nutze für meine Domains schon seit ca. 5 Jahren aufgrund der höheren Flexibilität bevorzugt nur noch ClouDNS.

    Deren API nutze ich nicht, sondern nutze deren DNS-Server nur als Secondary DNS Server und betreibe und pflege einen eigenen Hidden Primary DNS Server auf einen eigenen vServer.


    Auch wenn mal der Hidden Primary DNS Server komplett für mehrere Wochen ausgefallen sein sollte, so habe ich es auch schon mal getestet, so bleiben die einzelnen Domains dennoch erreichbar.

    Denn wenn es vom Hidden Primary DNS Server keine Änderungen abzuholen gibt, weil eventuell auch nicht erreichbar, bleiben die einzelnen Records auf den Secondary DNS Servern auch unverändert.

    Zur geographischen Redundanz der Netcup DNS Server kann ich wenig sagen - die DNS API funktioniert aber soweit zuverlässig, nutze ich selbst seit Jahren für acme.sh.


    Allerdings solltest du es bei Domains, die über Netcup DNS Server ausgeliefert werden, vermeiden DNSSEC zu aktivieren. Das gab bei mir vor 2 Jahren mal ein böses Ende und die komplette Domain samt aller Subdomains war mehrmals offline und konnte nur durch Eingriff durch den Support wieder instand gesetzt werden (SERVFAIL). Keine Ahnung ob das Feature immer noch verbuggt ist, aber ich meide es seither.


    Langfristig werde ich mir aber ein paar VPS mieten und dort selbst ein PowerDNS bereitstellen, dann hat man auch die volle Kontrolle über den Dienst, inkl. der Schlüsselverwaltung bzgl. DNSSEC :)

    arminus : Wie hier an anderer Stelle im Forum mehrfach diskutiert – Netcup arbeitet derzeit daran, Probleme mit DNSSEC zu beheben. Um diese zum derzeitigen Zeitpunkt zu umgehen, empfiehlt es sich, die Domänen ggf. zu Netcup als Registrar umzuziehen (oder einen anderen preiswerten Registrar – zu Ostern gibt es mit Sicherheit ein günstige Gelegenheit, um Domänen zu transferieren) … aber deSEC e.V. (kein direkter Mitbewerber) für die Verwaltung einzusetzen. DNSSEC ist damit kein Problem, eine API (und Schnittstellen zu acme.sh bzw. anderen einschlägigen Hilfsprogrammen) und eine sehr komfortable Web-Schnittstelle gibt es auch. (Einstellungen finden sich in diesem Diskussionsfaden.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    2 Mal editiert, zuletzt von m_ueberall ()

    Gefällt mir 2

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip