DNS Einträge werden nach Zeit ungültig

  • Hallo zusammen,


    ich setzte per API zwei DNS Einträge einer Subdomain (Typ A und Typ AAAA) dynamisch auf die IPs meines DSL Zugangs.

    Diese stehen dann bis zur Prüfung/Aktivierung im Feld "gültig" auf "unknown" und wechseln dann auf "yes".

    So funktioniert das jetzt seit ca. zwei Jahren. Seit ein paar Tagen habe ich das Problem, dass die Namensauflösung dann irgendwann nicht mehr funktioniert.

    Wenn ich dann per CCP auf den DNS schaue, stehen einer oder beide Einträge auf "gültig" -> "no". Sie werden also nachträglich für ungültig erklärt.

    Das passiert inzwischen oft innerhalb eines Tages.


    Der Support sagt sie können das Problem nicht nachvollziehen und ich soll doch im Forum suchen.

    Echt super. X/


    Hat evtl. jemand eine Idee?


    Viele Grüße und schon mal Danke!

  • Sofern DNSSEC involviert war/ist, gibt es sehr viele Diskussionsfäden dazu im Forum. Offenbar gibt es hier ein Problem mit einem Netcup-internen Ablauf, welcher für die Signierung zuständig ist.

    • Kurzfristige Abhilfe kann das Anlegen eines „Dummy“-TXT-Eintrags sein, da jede Änderung bei aktiviertem DNSSEC eine erneute Signierung anstößt. (Man könnte DNSSEC deaktiviert lassen, aber das ist für viele Anwender aus mehreren Gründen keine Lösung.)
    • Langfristige Abhilfe leistet derzeit (nur) ein Wechsel zu einem externen Anbieter wie deSEC (kein Netcup-Mitbewerber, sondern ein gemeinnütziger Verein), da dies den vorgenannten problematischen Ablauf umgeht, ohne auf DNSSEC verzichten zu müssen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Happy Duck 2
  • du meinst, das problem tritt nur auf, wenn man keine TXT-einträge hat?

    Nein. Durch das Erstellen eines TXT-Eintrags (kann auch jeder beliebige andere DNS-Eintrag sein), werden die DNS-Einträge erneut signiert (Signatur wird wieder gültig). Das muss man immer dann tun, wenn die Signatur ungültig wird. Sinnvoll ist so eine Lösung nicht. Deswegen am besten zu einem anderen DNS-Anbietern wie deSEC wechseln (Domain kann trotzdem bei netcup registriert blieben). Ob man einen TXT-Eintrag hat oder nicht, ist irrelevant.

  • Hallo zusammen,


    erst mal herzlichen Dank für die Tipps!

    Ich habe jetzt mal das Häkchen bei DNSSEC status draußen gelassen.

    Seit zwei Tagen sind die Einträge, welche CCP mir anzeigt "gültig".

    Heute war die Subdomain aber trotzdem nicht mehr auflösbar, genauso die Hauptdomain.

    Sowohl google als auch cloudflare kennen sie nicht mehr.

    Erst nachdem ich das Häkchen wieder gesetzt und gespeichert habe, funktioniert nach 10 Min. wieder alles.

    Kann es sein, dass die großen DNS Betreiber alles ohne DNSSEC nicht mehr akzeptieren?


    Für mich ist die Erklärung von oben mit dem fehlerhaften signing bei Netcup schlüssig.

    Wäre schön wenn die das wieder hinbekommen könnten.

    Sollte das länger so sein, werde ich wohl zu deSEC wechseln müssen.

    Auch wäre es schön, wenn der Support mit offenen Karten spielen würde.

    Die könnten ja sagen, dass es da gerade ein Problem gibt.

    Ein "können wir nicht nachvollziehen" ist schon ein wenig traurig.


    Übrigens: Bietet deSEC die Möglichkeit, den DNS per API anzupassen?

    Das war ja eigentlich der Hauptgrund, warum ich zu Netcup gewechselt bin.



    Viele Grüße

  • Übrigens: Bietet deSEC die Möglichkeit, den DNS per API anzupassen?

    jap, geht. ich hatte mal ne Zeit lang mit der API gespielt, aber nur im Rahmen einer eigenen DynDNS Lösung. Die API bietet aber durchaus auch mehr Möglichkeiten.


    übrigens: ich hatte bei Netcup noch nie DNSSEC aktiviert und (vermutlich deswegen) auch noch nie Probleme mit den Netcup Nameservern. Wirklich schade, dass dieses Feature hier beworben wird, wenn es scheinbar so anfällig ist. Die Beiträge dazu ziehen sich ja schon eine ganze Weile durchs Forum.

  • Heute hat das Internet wieder mal meine Domain vergessen.

    Sprich Google und Cloudflare melden beim Versuch, diese Aufzulösen mit


    Host not found: 2(SERVFAIL)


    Wäre schön, wenn das mal dauerhaft gelöst werden würde!

    Für eine Umstellung auf deSEC tuts noch nicht genug weh.

    Außerdem sehe ich den extra Aufwand nicht ein.

    Immerhin ist der DNS in der bezahlten Dienstleistung enthalten!

  • Ich hoffe auch, das netcup dieses Problem irgendwann mal lösen wird. Und möglichst nicht auf die Art und Weise, dass DNSSEC einfach nicht mehr angeboten wird, was bei anderen Registraren leider teilweise der Fall ist. In der Zeit bis dahin ist es wohl die noch am wenigsten aufwändige Verfahrensweise, im CCP andere Nameserver einzutragen, wenn man DNSSEC ernsthaft nutzen will. Es ist ja auch jedes Mal ein Aufwand, das Problem zu beheben wenn es (wieder mal) auftritt. Außerdem funktioniert es einfach jedes Mal längere Zeit nicht, man hat also Ausfallzeiten.

  • So,


    nachdem jetzt täglich oder spätestens alle zwei Tage meine DNS Einträge im Internet nicht mehr bekannt sind, obwohl mir CCP sagt es sei alles gültig,

    bekommt NetCup jetzt die letzte Chance. Ich habe erneut ein Ticket aufgemacht.


    Jetzt suche ich schon mal alternativ nach einem Hoster, der folgendes bietet:


    • IPv6 Support
    • DNS per API dynamisch änderbar und/oder per client (z.B. ddclient)
    • alternativ die Nutzung von deSEC als DNS Server
    • Mailboxen inkl.
    • Webmailer
    • PHP
    • .de und .org Domains
    • RZ in Deutschland
    • 100% Ökostrom

    Ist eigentlich trivial, das sollten viele können. Da ich mich aber die letzten Jahre damit nicht befasst habe und die Suchmaschinen nicht unbedingt unbefangen sind in der Beziehung, wäre ich für den ein oder anderen Tipp sehr dankbar.


    Viele Grüße und schon mal Danke!

  • Ich werfe Mal das rote H in den Raum. Passt zu deinen Anforderungen.

    Dort ist DNSSEC nicht verfügbar. Ohne DNSSEC funktionieren auch die Nameserver von netcup.

    Wenn DNSSEC nicht verfügbar ist, kann deSEC nicht genutzt werden.


    §4 Secure Delegation Required
    Domains created at deSEC which do not include deSEC's nameservers in their set of authoritative nameservers ("NS records") or which fail to establish a DNSSEC chain of trust may receive a deletion warning and may be deleted four weeks thereafter if that condition still applies.

    Anyone who can prove ownership of a domain name by an upstream registry may claim control over this domain at all deSEC nameservers, even if a corresponding deSEC zone has been created by another user. During the transfer of control, the zone's DNS information and signing keys will be deleted; a backup of the zone's record sets will be made available to the user account that previously held the domain at deSEC.

  • Tja, sooo furchtbar verbreitet unter Shared Hostern ist DNSSEC leider nicht. Man kann aber freilich anders vorgehen und Domains und Hosting trennen, was ich sowieso befürworte. Oder sogar E-Mail auch noch getrennt von Webhosting und Domains.

  • Habe ich etwas überlesen oder warum ist deSEC keine Option, solange die Domänen (noch) bei Netcup registriert sind? Ich habe in dieser Kombination seit vielen Monaten keinerlei Probleme mehr.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Like 4