DNS-Einträge von Netcup-DNS in CCP plötzlich ungültig.

    • Offizieller Beitrag

    Hallo douzer,



    wenn du nachvollziehen kannst, dass eine deiner Domains bei uns nicht korrekt auflöst, da DNSSEC defekt ist, bzw. die Propagierung nicht korrekt arbeitet, ist das eine Sache, mit der du dich kostenfrei an den Notfallsupport wenden kannst, denn dann liegt der Fehler ja nicht bei dir. Es ist allerdings auch möglich, dass DNSSEC nicht korrekt arbeitet, wenn ungültige DNS-Records hinzugefügt werden. In dem Fall wird dies neben dem jeweiligen Record dargestellt. Dann kann keine DNSSEC-Signatur erfolgen. In dem Fall wird unser System aber automatisiert DNSSEC deaktivieren, damit die Auflösung eben nicht beeinträchtigt wird, und unser Hostmaster-Team wird informiert.

  • Hallo [netcup] Lars S.


    ok, das wäre in meinem Fall kein Problem gewesen, die fehlerhaften Zonen zu belegen.

    Es hatten aber einige Kunden, hier im Forum über unterschiedliche Effekte berichtet. Bei mir, z.B. wurde im CCP nichts als ungültig markiert und die im Ticket angemerkte Zone hatte eigentlich keine Änderungen in den letzten Wochen, dennoch wurde sie, Sonntag Abend, ich vermute jetzt mal aus der Support Antwort, durch Änderungen, welche nicht durch mich durchgeführt wurden, zu 100% beschädigt.


    Zitat

    Es ist allerdings auch möglich, dass DNSSEC nicht korrekt arbeitet, wenn ungültige DNS-Records hinzugefügt werden. In dem Fall wird dies neben dem jeweiligen Record dargestellt. Dann kann keine DNSSEC-Signatur erfolgen. In dem Fall wird unser System aber automatisiert DNSSEC deaktivieren, damit die Auflösung eben nicht beeinträchtigt wird, und unser Hostmaster-Team wird informiert.

    In meinem Fall, war die komplette Zone nicht mehr erreichbar. Im CCP war kein Hinweis, auf einen ungültigen DNS-Record. Es wurde auch, mindestens in den letzten vier Wochen, kein Record, der Zone hinzugefügt - bitte übermittelt mir, die Ticketnummer ist ja bekannt, den Record und die Ursache, die das Problem Sonntag Abend verursacht hat - DNSSec wurde hier nicht automatisiert deaktiviert und ich würde bitte gerne darüber informiert, wenn an meinen DNS Records, ohne mich, Änderungen durchgeführt werden! - dann brauch ich ja kein DNSSec mehr, wenn hier irgendwer nach belieben Records ändert !?! - man betrachte die Serial.


    Bitte teile uns doch mit, was ungültige DNS-Records denn sein können, welche plötzlich komplette Zonen unbrauchbar machen.

    WH 4000 SE | VPS 1000 G8 Plus | VPS Karneval 2020

    • Offizieller Beitrag

    Hallo douzer,


    insofern die Zone einen SMIMEA-Record enthielt, wird der Fehler der hier beschriebene sein und dieser hatte nichts mit ungültigen Records zu tun. Das von dir beschriebene Fehlerbild war in dem Fall möglich. Es wurden unsererseits keine Änderungen an deiner Zone vorgenommen. Die Veränderungen an der Serial sind auf das Fehlerbild zurückzuführen. Das ganze ist ja nun behoben.


    Die ungültigen Records habe ich nur als eine weitere Möglichkeit für DNSSEC-Schwierigkeiten angemerkt.

  • Gestern ab 17:30h waren bei einer über Netcup-DNS-Server verwalteten .org-Domäne nach Rückmeldungen aus dem Ausland (verschiedene Länder) für einige Stunden keine DNS-A-Einträge mehr sichtbar; im CCP war das DNSSEC-Häkchen verschwunden. Ein "Refresh" – durch Setzen des genannten Häkchens, natürlich mit entsprechender Verspätung, weil entsprechende E-Mails erst 16h später gelesen wurden – hat laut https://www.whatsmydns.net/ inzwischen wohl den gewünschten Heilungseffekt angestoßen.


    Nachdem die Domäne jedoch niemals einen SMIMEA-Eintrag besessen hat, an dessen Existenz vorherige/selbst beobachtete Probleme in diesem Diskussionsfaden festgemacht wurden, und von Netcup selbst keine (proaktive) Störungsmeldung vorliegt, beunruhigt mich dieser Vorfall.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • m_ueberall: Die Ergebnisse der Seite whatsmydns.net sind mit Vorsicht zu genießen, da selbst bei Abfragen für Domains wie google.de, google.com und bund.de angezeigt wird, dass sie auch nicht von überall her aus erreichbar sein sollen. Es könnte von daher auch sein, dass die jeweiligen abzufragenden DNS-Server zu diesem Zeitpunkt auch nicht erreichbar sind. Von daher nimmt man auch, falls eine Domain auf jeden Fall rund um die Uhr im Jahr ohne Unterbrechung von möglichst vielen Ländern erreichbar sein soll, auch AnyCast DNS-Server, um damit den Ausfall von einigen DNS-Servern zu kompensieren.

  • m_ueberall: Die Ergebnisse der Seite whatsmydns.net sind mit Vorsicht zu genießen.

    Sofern infolge einer Änderung im CCP nach kurzer Zeit aber an zahlreichen, unterschiedlichsten Orten mehr grüne Häkchen/zurückgelieferte IP-Adressen sichtbar sind als davor, tendiere ich dazu, von einer Besserung auszugehen, die ihren Ursprung bei den Netcup-Servern/-Einträgen hat (wobei wie geschildert insbesondere das "verlorene DNSSEC-Häkchen" ein Indiz eines lokalen Ereignisses ist). ;)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing