Anhaltende/sporadische Probleme mit Domains/DNSSEC

  • Ich habe mittlerweile ebenfalls resigniert und verwende seit einigen Monaten deSEC.io als Nameserver für meine paar netcup Domains. Die meisten liegen sowieso nach wie vor bei I**X. Nur ein paar geparkte Domains verwenden noch die netcup Nameserver, und bei denen ist DNSSEC auch immer wieder kaputt. X/


    Da ich mittlerweile alles mit DNSControl verwalte, ist für mich ein Wechsel der Nameserver keine große Sache mehr. Sollte deSEC.io irgendwann Probleme machen, kann ich z.B. schnell auf den bereits getesten Plan B umschalten: Cloudflare

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

    Like 3
  • Die Probleme sind ja hier im Forum seit langem bekannt, auch netcup kennt sie natürlich und arbeitet daran, wie [netcup] Lars S. ja beim letzten Community Event mitgeteilt hat. Da das Problem nun doch schon eine ganze Weile besteht und immer noch aktuell ist, stellt sich mir die Frage, ob man da in irgendeiner Form zur Ursachenfindung beitragen kann. Sollen wir alle gefundenen Domains mit "kaputtem" DNSSEC an den Support melden, damit ihr euch die Details anschauen könnt? Dann aktiviere ich das mal auf allen unbenutzten und unwichtigen Domains. Oder habt ihr selbst schon genügend Datenmaterial?


    Auf Dauer ist das jedenfalls ein unhaltbarer Zustand, ein vorhandenes Feature, was man aber mit den netcup Nameservern besser nicht benutzen sollte, wenn einem die Auflösbarkeit seiner Domains wichtig ist. Ok, das Problem mag erst ab einer gewissen Größenordnung registrierter und verwalteter Domains auftreten und bei vielen anderen Domainhostern ist DNSSEC gar nicht erst verfügbar. Aber das macht es ja für Kunden, die sich des Problems nicht bewusst sind - und das dürften die meisten sein, um keinen Deut besser.


    Edit: So, habe jetzt bei einer de-Inklusivdomain mit Defaulteinstellungen fü das Webhosting DNSSEC aktiviert und Verisign ist erst mal zufrieden. Schaun mer mal wie lang ... DNSViz bringt den üblichen "Fehler" mit der zu langen TTL des RRSets NSEC3PARAM (86400 länger als die TTL des RRSIG-RR (0)). Das scheint aber mittlerweile so gehandhabt zu werden entgegen den Empfehlungen des RFC und auch Sinn zu machen. Unbound stört sich daran auch nicht.

  • Da das Problem nun doch schon eine ganze Weile besteht und immer noch aktuell ist, stellt sich mir die Frage, ob man da in irgendeiner Form zur Ursachenfindung beitragen kann. Sollen wir alle gefundenen Domains mit "kaputtem" DNSSEC an den Support melden, damit ihr euch die Details anschauen könnt?

    Hallo tab,


    danke für deine Frage.


    Gerne unterstützt unser Support bei Problemen mit DNSSEC über die gewohnten Kontaktwege (am besten per E-Mail an mail@netcup.de).


    Zur Untersuchung des Sachverhalts hilft es uns, wenn zuvor (während das Problem besteht) eine Analyse mit dnsviz.net durchgeführt wird und diese in der E-Mail verlinkt wird. Dies erlaubt es uns, auch nach behobenem Sachverhalt den Zustand der Domain zu untersuchen und so etwaige Probleme auf unserer Seite finden und lösen zu können.

  • Hallo [netcup] Lars S. ,


    email ist gerade raus.

  • Gerne unterstützt unser Support bei Problemen mit DNSSEC über die gewohnten Kontaktwege

    Hallo Lars,

    ich hab leider immer wieder Probleme bei DNSSEC bei einer Domain... z.B. Ticket 217871, 170109

    Vom Support heute mal wieder so ne Antwort bekommen die nichts bringt...:

    Quote


    Bitte beachten Sie, dass es aktuell noch keine bessere Lösung zur Behebung des Problems gibt, als DNSSEC zu deaktivieren und wieder zu aktivieren. Ich bitte Sie daher, so nervig wie dies auch zu sein scheint, ist dies immer noch die beste Option in diesem Fall.

    Was ist denn das für ein Zustand?

    Ich hab jetzt nur ein paar Domains. Und eigentlich alles Hobbymäßig...


    Aber z.B mein Arbeitgeber hat 97 Domains hier. (Bewusst ohne DNSSEC, aber was ist, wenn ein Kunde das mal wünscht?)

    Das zu Monitoren geht so wie ich das mache nicht. Bzw da würde man zugespammt werden.

    Was wäre hier jetzt z.B wenn da ein Shop dahinter steckt und dieser dann für manche Kunden nicht erreichbar ist und genau in dem Zeitraum eine Aktion stattfindet?

    Weil euch ist der Fehler ja bewusst... und das Feature kann ohne eine Warnmeldung ausgewählt werden - also sollte dieses auch ohne Einschränkungen nutzbar sein.

  • Gerne unterstützt unser Support bei Problemen mit DNSSEC über die gewohnten Kontaktwege (am besten per E-Mail an mail@netcup.de).

    Ich hab schon wieder eine Domain bei der DNSSEC seit dem 10.10 kaputt ist... wenn ich jetzt dem Support schreiben würde bekomme ich zu 99% wieder die Nachricht mit:

    Quote

    Bitte beachten Sie, dass es aktuell noch keine bessere Lösung zur Behebung des Problems gibt, als DNSSEC zu deaktivieren und wieder zu aktivieren. Ich bitte Sie daher, so nervig wie dies auch zu sein scheint, ist dies immer noch die beste Option in diesem Fall.

    Moderators  
    Kann man da nicht mal irgendwas Lösungsorientiertes machen?
    Weil es ist immer der gleiche Fehler, die Lösung vom Support ist sehr nervig und bei vielen Domains so oder so nur Zeitaufwendig durchführbar...

  • Ja, das wäre schon eine sehr wünschenswerte Angelegenheit. Das Problem besteht ja gefühlt schon ewig. Bis dahin ist mein lösungsorientierter Ansatz eben die Nameserver zu deSEC zu verlegen für Domains mit DNSSEC und das Problem dann einfach zu vergessen. Ich habe so schon genug um die Ohren. Auch noch regelmäßig DNSSEC bei mehreren Domains zu kontrollieren und ggf. zu deaktivieren und wieder zu aktivieren (mit allen temporären Nebenwirkungen), darauf kann ich gut verzichten.

  • Kann man da nicht mal irgendwas Lösungsorientiertes machen?

    Ja. DNS Server wechseln. Do it! Do it now!


    Netcup hat offensichtlich kein Interesse an einer Lösung des Problems, also hilf Dir selbst.


    Dieses Problem ist ein Grund, wieso ich keine einzige Domain bei Netcup habe und auch nie dorthin verlagern werde. Ich habe einen reinen Domainprovider und delegiere die DNS Server wie sie mir passen an DNS Serverbetreiber, die das auch können.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited once, last by TBT ().

    Like 1
  • Hat noch keiner ein cron Script gebaut welches prüft ob DNS kaputt ist und das flag toggled?

    Da das Häkchen bei den Problemen meistens gesetzt ist, muss man DNSSEC zuerst deaktivieren. Das Problem ist dann, dass man einige Stunden warten muss, bevor man DNSSEC wieder aktivieren kann. Die Angabe mit "1 Stunde" funktionierte bei mir noch nie. Diesen Status mit der Wartezeit muss man halt entsprechend implementieren.


    Zum Prüfen von DNSEC alleine habe bzw. hatte ich dieses Script im Einsatz: gist.github.com


    (Ist mir persönlich aber mittlerweile egal, ich nutze die netcup Nameserver nicht mehr für produktiv genutzte Domains. Nur noch geparkte Domains laufen damit.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

  • Hat noch keiner ein cron Script gebaut welches prüft ob DNS kaputt ist und das flag toggled?

    Wenns um das generelle Funktionieren geht, hatte ich mal Uptime Kuma mit nem schlichten "ping heise.de" am Laufen. Ist täglich mehrfach angeschlagen. Seitdem da andere DNS Server drin sind, ist Ruhe.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Hmm, ich frage mich gerade, wieviele Leute wohl schon von netcup zu einem anderen Hoster gewechselt sind, weil ihre Überwachung für ihre Websites mehrmals täglich Alarm geschlagen hat weil die Seite vermeintlich down war.

  • Diejenigen, die eine Überwachung für ihre Websites haben, wissen auch um die DNS Probleme von Netcup und haben Maßnahmen ergriffen, imho. Und die die keine Überwachung haben kriegen das Dilemma wohl meist nicht mit.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited once, last by TBT ().

  • Die einzigen Domains die eine Berechtigung bei Netcup haben sind die .de in den Aktionen. Alles andere ist viel zu teuer.

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Like 1