Ich habe in der Blackweek beschlossen etliche Domains von einem anderen Registrar zu netcup umzuziehen.
Dass dies der Auftakt zu einem Abenteuer wird, war mir nicht klar.
Ich habe zunächst alle Domains in meinen Account übernommen, jedoch zunächst einen leeren Auth-Code eingegeben,
so dass ich die Domains dann später Stück für Stück transferieren kann. Da Domain-Transfers bis zu einer Woche dauern können,
muss ich sicherstellen, dass ich die jeweils im Transfer befindliche Domain im Auge behalten kann, um Probleme durch diskonnektierte Domains zu vermeiden bzw. zu minimieren.
Das klappte dann auch, wie erwartet. Ich bekam recht bald für jede Domain eine Mail, dass der Transfer nicht akzeptiert wurde.
Diese Mail enthielt auch einen Link, um einen erneuten Transfer einzuleiten.
Problem 1:
Leider gibt es dazu keine Entsprechung im Control-Panel, wie ich es von anderen Anbietern gewohnt bin, so dass man hier dann später in seinen Mails die passende finden muss. Die Funktionalität ist darüber jedoch da.
Problem 2:
Erkenntnis beim Transfer der ersten beiden relativ unproblematischen Domains zeigte mir:
Man kann beim Einleiten des Transfers dann Nameserver angeben, diese werden jedoch nicht übernommen. Ich kann aber keine DNSSEC-Einträge vornehmen.
Selbst wenn die Übernahme der Nameserver klappen würde, DANE beim Mailserver ist zunächst kaputt!
Wie bei folgenden Transfers dann im Detail herausgefunden, sieht man zwar seine eingetragenen Nameserver unter dem DNS-Tab, aber der Auswahlbutton unterhalb steht auf "netcup Nameserver (empfohlen)". dig +trace +additional DOMAINNAME zeigt dann, dass die Domain nun von den netcup-Servern verwaltet wird, die keine Ahnung von der Domain mit all Ihren Services, Hosts, Subdomains etc. hat. Alles tot!
Es ist auch nicht möglich DNSSEC-Settings zu hinterlegen.
Problem 3:
Sobald man dann im Auswahl-Feld "eigene Nameserver" auswählt, sind all die vorher vorhandenen Nameserver weg und müssen neu eingegeben werden.
Problem 4:
Wenn man nun einen Nameserver konfigurieren will, der in dieser -nun durch netcup zwangsverwalteten Domain- liegt, bekommt man die Fehlermeldung, dass dieser Nameserver nicht gewählt werden kann, da er die Domain nicht unterstützt. Hier ist der Fehler, dass netcup diese DNS-Anfrage nicht gegen die diesen Nameserver kontrolliert, wie es richtig wäre, sonden gegen die falschen Netcup-Server.
Es gibt zwei Fälle beim Domaintransfer: Ich transferiere meine Domain zu einem anderen Dienstleister (wie in meinem Fall) oder aber ich habe einen Domainnamen erworden und möchte diesen nun für mich und meine Services nutzen. In beiden Fällen ist es notwendig, dass die zum Transfer eingegebenen Nameserver bereits perfekt konfiguriert sind. Für die Kontrolle der Richtigkeit müssen also die hier angegebenen Nameserver geprüft werden. Im Falle eines GLUE-Nameservers (Nameserver liegt in seiner eigenen Zone) muss hierzu unbedingt auch die hier angegebene IP konnektiert werden, bei Nameservern in anderen Domains muss für die richtige Kontrolle die IP des Nameservers aufgelöst werden und dieser befragt werden.
Problem 5:
Wenn dies geschehen ist, erhält man endlich die Möglichkeit, DNSSEC-Einträge zu hinterlegen. Meine Domains haben hier jeweils zwei (8, 13) jedoch wurden in der Mehrzahl meine Domains bislang dann nur der Typ 8 veröffentlicht. Auch mehrfache Eingabe nacheinander brachte den zweiten Eintrag nicht zum Erscheinen. Tickets dazu wurden auch nach Tagen nicht beantwortet. Heute habe ich nach mehreren Tagen Wartezeit bei zwei Domains die Einträhe nochmals eingegeben, und glücklicherweise wurden diese nun veröffentlicht.
Verbesserungspotential:
Es wäre hier tatsächlich hilfreich, wenn es eine Option gäbe, die den hinterlegten Kontakt per Mail informiert, sobald irgendeine DNS-Änderung vorgenommen wurde. So hätte man dann auch eine Historie und würde ggf. gleich sehen, was an der Eingabe evtl. nicht geklappt hat.
Problem 6:
Nachdem die ersten beiden Domains endlich transferiert waren ging ich an die nächsten Domains. Wie bei den ersten beiden verwendete ich die URL aus der Erstanmeldung, bekam als Reaktion auf die Eingabe der Nameserver auch wieder die Mitteilung, dass ich nun warten müsse, und eine Benachrichtigung erhalten würde, wenn der Transfer abgelehnt wird. Als nach Tagen nicht passierte, konatktierte ich sowohl den Support des abgebenden Registrars als auch den von Netcup. Beim abgebenden Registrar erhielt ich die Info, dass kein Transfereintrag eingegangen sei.
Netcup informierte mich dann später, dass der Transfer abgelehnt wurde, weil die Domain für den Transfer gesperrt sei. Dies ist ziemlich unwahrscheinlich, da beim abgebenen Registrar die Erzeugung des AuthCodes alle Sperren aufhebt, wenn diese nicht bereits -wie in meinem Fall- vorher aufgehoben waren.
Vermutung: Wenn beim erneuten Transferauftrag warum auch immer irgendwas schiefläuft, gibt es leider keine versprochene Mail! Siehe auch hier das über die Fehlerbehebung hinausgehende Verbesserungspotential, wenn alleine schon der Transferauftrag bestätigt werden könnte.
Die Reaktion von netcup führte auch dazu, dass der Support alle noch nicht aktiven Domains aus meinem Accounts löschte, weil dies angeblich nötig wäre, um einen neuen Transferauftrag zu starten.
Aber: Ich habe doch die Links, die bei den ersten beiden ja auch funktionierten. Wenn dieser Link im CCP verfügbar wäre, wäre dies ja offensichtlich. So verlor ich zunächst auch die Blackweek-Rabatte, hier wurde mir nun versprochen, dass nach Transfer aller Domains diese wieder aktiviert würden. Ich informiere darüber dann, wenn es soweit ist.
Problem 7:
Wenn man nun in einer Domain, die über eigene Nameserver verfügt, einzelne Einträge hinzufügt oder verändert, erhält man die erschreckende Fehlermeldung:
"Die Nameserver wurden erfolgreich aktualisiert. Zone wurde zum löschen in den netcup Nameservern vorgemerkt."
Nach den bisher gemachten Erfahrungen brint das den Puls auch wieder um ein paar Takte nach oben. Ist aber wohl tatsächlich nur ein Fehler in der Programmierung.
Problem 8:
So, nun bin im soweit, dass parallel zum Schreiben dieser Nachricht meine letzte Domain auf die Reise geht. Ich habe nun die Maske zum Transferauftrag aufmerksam angesehen und festgestellt:
Hurra, hier gibt es die Möglichkeit für GLUE-Records! Ich kann zu diesem Zeitpunkt auch MX, DS und eine Vielzahl anderer Records setzen, die ich später im CCP nicht wieder finde 
Da es sich hier um eine .org Domain handelt, bei der DNSSEC nach oben durch den DS-Key konfiguriert wird (.de z.B. DNSKEY), habe ich hier nun mal meine zwei DS Keys gesetzt. Diese wurden anstandslos akzeptiert, gleichermassen wie die zwei der drei NS, die in der eigenen Zone liegen. Kunststück: Noch ist die Zone ja nicht durch netcup verwaltet, so dass die CCP Prüfung hier grünes Licht gibt.
Ich halte auf dem Laufenden, ob dieser Kniff irgendetwas ändert, oder ob die beiden Einträge nun das gleiche Schicksal teilen, wie die Nameservereinträge zuvor.
Problem 9:
Theoretisch kann netcup also GLUE-Einträge, praktisch fehlen diese jedoch im CCP. Wer also weitere oder andere Nameserver bzw. Mailserver die in der eigenen Zone liegen, gerne als GLUE-Record eintragen möchte, kann dies nicht.
Problem 10:
Die Reaktion auf Tickets ist mit Antwortzeiten >7 Tagen ist katastrophal, Zu den einzelnen beschriebenen Problemen gab es auch noch keine explizite Rückmeldung. Daher habe ich hier nun mal die aus meiner Sicht wichtigsten Punkte zusammengefasst.
Es würde mich interessieren, wie andere Kunden, die konnektierte DNSSEC Domains transferierten, dies gemanged haben, um den Ausfall so gering als möglich zu halten.
