Dauer DNS-Aktualisierung bei A-Records

  • Hallo zusammen,


    ich habe vor gut 24h bei meiner Domain einen neuen A-Record hinzugefügt. Der neue A-Record ist auf anderen DNS-Servern offenbar nicht verbreitet worden und ist insbesondere auch auf dem Netcup-Nameserver nicht aktualisiert (eine Abfrage mittels dig @46.38.225.230 lieferte nicht die neue IP-Adresse des A-Records).


    Laut Telefonsupport soll man bis zu 48h warten. Aber auf dem Netcup-Nameserver müsste die Änderung doch mehr oder weniger sofort vorgenommen werden? Oder übersehe ich da etwas???


    Ich freue mich über Ideen/Kommentare zu dem Thema.


    VG



    Sven Wenigmann

  • Da dies eine häufige Ursache ist:


    Wie genau hast du den A-Record eingetragen?


    Falsch:

    subdomain.example.net   A   1.2.3.4


    Richtig:

    subdomain   A   1.2.3.4


    Edit: dazugehöriger Wiki-Artikel.


    Aber auf dem Netcup-Nameserver müsste die Änderung doch mehr oder weniger sofort vorgenommen werden?

    Ein Zone-Reload dauert bei Netcup i.d.R. bis zu 10 Minuten.

  • Hallo,


    danke für den Hinweis, aber ich habe es richtig eingetragen - also die zweite Variante. Und es ist auch nicht der erste A-Record, den ich habe. Auf der Domain sind einige und das ging mit der Umsetzung bislang immer sehr flott. Nur jetzt hängt es seit gestern. Der Telefonsupport hat auch mit in die DNS-Einstellungen geschaut und bestätigt, dass alles korrekt eingetragen sei.

  • Ich meine schon mal gelesen zu haben, dass es ganz selten auch dazu kommen kann, dass er die Änderung einfach nicht schluckt. Möglicherweise reicht es dann schon die DNS Einstellungen aufzurufen und einfach nochmal auf Speichern zu gehen.

    Falls du noch eine andere Domain hast, könntest du dort mal einen Test DNS Record anlegen. Ansonsten ist da vielleicht was bei dir kaputt gegangen, wenn wirklich alles richtig eingetragen ist :/

  • @46.38.225.230

    das ist nicht der Authoritative DNS Server, oder? Der Authoritative hat die Adresse 46.38.225.225 (root-dns.netcup.net)

    Die Resolver von Netcup sind irgendwie immer die langsamsten, was eine Zonenaktualisierung betrifft.


    Über die Authoritativen Server oder andere Resolver (8.8.8.8 1.1.1.1) solltest du die Änderung hingegen sehen können

  • 46.38.225.225

    Stimmt... da hatte ich den falschen Server erwischt. Aber mit dem authoritativen Server ist es genau das Gleiche.



    Falls du noch eine andere Domain hast, könntest du dort mal einen Test DNS Record anlegen.

    Guter Tipp... Habe es mit einer anderen Domain versucht und tatsächlich ist die Änderung nach ein paar Minuten durch. Bei der ersten Domain besteht das Problem aber weiterhin. Habe dort mal den A-Record gelöscht und neu angelegt, aber auch das hat nichts gebracht.


    Eine Anmerkung noch... Bei der Domain, wo die Änderungen nicht übernommen werden, ist DNSSEC aktiviert. Kann das die Probleme/Verzögerungen verursachen? Außerdem ist mir aufgefallen, dass alle DNS-Einträge der Domain unter 'gültig': 'unknown' stehen haben.


    pasted-from-clipboard.png

  • Bei der Domain, wo die Änderungen nicht übernommen werden, ist DNSSEC aktiviert. Kann das die Probleme/Verzögerungen verursachen? Außerdem ist mir aufgefallen, dass alle DNS-Einträge der Domain unter 'gültig': 'unknown' stehen haben.

    Ja, das kann Probleme verursachen. Ich hatte vor einigen Wochen wiederholt Probleme, was im konkreten Fall seitens des Supports mit Timeouts erklärt wurde. In dem Moment, in dem das "DNSSEC-Häkchen" gelöscht wird, sollten die Einträge korrekt veröffentlicht werden – allerdings dann für eine gewisse Zeit eben ohne DNSSEC, da diese Einstellung erst nach 24(?) Stunden wieder aktiviert werden kann.

    Aufgrund eigener Erfahrung empfiehlt es sich, die DNSSEC-Einträge unter Verwendung externer Dienste regelmäßig auf ihre Gültigkeit hin zu überprüfen (unabhängig von/kurz nach vorgenommenen Änderungen), beispielsweise hier oder hier. Kundenseitig kann man in diesem Fall jedoch lediglich die DNSSEC-Einstellung deaktivieren (in der Regel nicht erwünscht; könnte ggf. auch die Netcup-seitige Fehlerverfolgung erschweren) oder den Support kontaktieren.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Gerade mal die einzige Domain gecheckt, bei der noch die netcup Nameserver zuständig sind. Und siehe da - ungültiges DNSSEC RRSIG XXXXX.de/DNSKEY alg 8, id 23884: The cryptographic signature of the RRSIG RR does not properly validate.


    Sowas sollte nicht passieren. Bei DNS muss netcup unbedingt nachbessern!

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • ungültiges DNSSEC

    Immerhin ist bei mir DNSSEC noch gültig. Aber schon übel, wenn es so still und heimlich dahinstirbt...


    Ich habe jetzt mal ein Ticket aufgemacht. - Änderungen sind nach mehr als 24h immer noch nicht durch. Mal schauen, was da kommt.

  • Bei DNS muss netcup unbedingt nachbessern!

    Diesen Punkt kann ich leider nur unterschreiben. DNSSEC ist und bleibt ein Sorgenkind. ||


    Das war letzten Endes auch der Grund, weshalb ich mittlerweile einzelne Domains wieder weg transferiere.


    (Und seit einigen Wochen auch keine Tickets mehr dazu eröffne, wenn es wieder auftritt.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)