DNS-Änderungen / Reihenfolge / temporärer DNS-Ausfall mit akt. DNSSEC

  • Hi Forum,


    ich besitze mehrere Domains mit DNSSEC. Ergänze ich DNS-Records für meine Zone, kommt es gelegentlich zu einer kurzen temporären Unterbrechung in der DNS-Auflösung.


    Mein Resolver meldet dann:

    SERVFAIL


    Befrage ich öffentliche DNS-Server wie 8.8.8.8 oder 1.1.1.1, melden diese, dass bestimmte Records (A,MX usw.) nicht existieren für meine Domains.

    Nach Ablauf der TTL (zum Glück auf 120s) passt es dann wieder.


    Diese kurzen Ausfälle jedoch führen dazu, dass div. Kommunikation scheitert. Wir betreiben selbst Dienste für Kunden, die dann jeweils Unterbrechungen haben.


    Hat jemand ähnliche Probleme? Bitte nicht mit dem Problem verwechseln, was Netcup - zumindest bei mir - vor Jahren hatte, dass ganze Zonen kaputt waren und man DNSSEC manuell deaktivieren/aktivieren muss. Das Problem habe ich nicht. Support kennt das Problem - konnte sich jedoch bis jetzt noch keiner Lösung erbarmen (NCSUP-234410)


    Danke.

  • Wie an anderer Stelle im Forum mehrfach von Nutzern diskutiert (und von mir selbst praktiziert): Es empfiehlt sich, die Domänen bei desec.io (betrieben von deSEC e.V.) zu verwalten. (Ein Vorab-Vergleich mit einer Test-Domäne kann nicht schaden.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Edited 2 times, last by m_ueberall ().

    Like 4
  • Sorry, da war ich zu ungenau. Ich wollte diesen Beitrag eigentlich nutzen, eine Root-Cause Analyse zu machen. Ich habe die Vermutung, dass Netcup in der falschen Reihenfolge die DNS-Updates macht und es somit zu einem kurzen Zeitpunkt kommt, wo keine Info vorliegt.


    Vereinfacht:


    Aktuell (falsch): alte Records löschen -> neue Records anlegen

    Zukunft (richtig): neue Records anlegen -> alte records löschen