"hidden DNS", NS records und glue-record

  • Hallo,


    ich hoffe, dass ich hier mit meiner Frage richtig bin. Die Frage ist nicht Netcup-spezifisch. Es geht um ein spezielle DNS-Konfiguration mit einem "hidden DNS".


    Ist die im folgenden beschriebene Konfiguration gültig, bei der der Masterserver nicht mit NS record auf dem DNS server als auch nicht im Netcup SCP als Glue-Record angegeben wird?


    DNS-Server auf Netcup VPS:

    Code
    SOA NS1.masterserver.de.
    @ NS NS2.slaveserver.net.
    @ NS NS3.slaveserver.net.
    @ NS NS4.slaveserver.net.
    NS1.masterserver.de A vvv.vvv.vvv.vvv


    Netcup SCP für Glue-Record:

    Code
    NS2.slaveserver.net     xxx.xxx.xxx.xxx
    NS3.slaveserver.net     yyy.yyy.yyy.yyy
    NS4.slaveserver.net     zzz.zzz.zzz.zzz

    masterserver.de ist dabei der Master DNS als Netcup VPS und slaveserver.net sind Slave DNS mit großen globalem und schnellem Netzwerk.


    Mein Ziel ist es, den "langsamen" VPS zu "verstecken" und alle anfragen auf das schnelle Salve-Netzwerk zu leiten.

  • Hallo,


    ich habe mich wohl missverständlich ausgedrückt oder die falschen Begriffe gewählt. Unter "versteckt" verstehe ich nicht "nicht auffindbar" und auch nicht "nicht erreichbar". Und um das Ganze weniger mysteriös zu umschreiben nennen wir das Kind beim Namen. Bei des Slave Servern handelt es sich um den DNS-Dienst von Hurricane Electric oder Cloudflaire.


    Was ich möchte ist, das eine reguläre Anfrage über die TLD oder bei den DNS der Domain direkt nur die Slave Server aufgelistet werden. Dies ist der Fall mit der von mir oben beschriebenen Konfiguration und funktioniert grundsätzlich so auch.


    Was ich aber nicht weiß ist, ob diese Konfiguration gültig ist oder ob ich noch sonstwo einen Denkfehler eingebaut habe.

  • Hallo,


    man muss hier unterscheiden; man kann soviele DNS-Server haben wie man will; aber gefragt werden nur die, welche an Hand der DNS-Einträge auch dazu aufgefordert werden;

    Beispiel:

    Du hast einen Master und 7 Slaves; M0.example.com bzw. S1.example.com bis S7.example.com

    gibst Du jetzt bei einer Domain z.B. example.net nur 3 Server, z.B. S5.example.com bis S7.example.com an

    dann können ruhig alle anderen diese ebenfalls auflösen,

    per DNS-request werden aber nur S5.example.com bis S7.example.com kontaktiert;


    was aber auf jeden gegeben sein muss,

    dass wenn im SOA-Record M0.example.com steht,

    dass es dafür auch einen entsprechenden A und/oder AAAA-Record geben muss;

    auch wenn dieser nirgends per NS-Record gelistet ist;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hello,


    thank you. I tested two configurations:


    What does not work is changing removing the master in parent DNS via Netcup CCP and keep the NS record for master in my DNS. In this configuration CCP does not accept and reports this error message:

    Code
    Fehler:
    Die Nameserver konnten nicht aktualisiert werden. Domain update at registrar failed. 53300102912: Nameserver error
    ERROR 118 Inconsistent set of NS RRs (IP, NS host names) (ns5.he.net./216.66.80.18, [ns3.he.net, ns1.masterserver.de, ns4.he.net, ns5.he.net, ns2.he.net])
    [...]

    Wenn ich aber den NS record für den Master im DNS auch entferne, so wie in meinem ersten Post beschrieben, dann ist auf SEiten Netcup CCP alles OK bei der Registration der Änderung. Sowohl https://www.zonemaster.net/ als auch https://intodns.com/ melden keinen Fehler. Zonemaster stuft es als "Notice" ein während intodns es als "Warnung" einstuft.

    Code
    ZONE    NOTICE    SOA 'mname' nameserver (ns1.masterserver.de) is not listed in "parent" NS records for tested zone (ns2.he.net; ns3.he.net; ns4.he.net; ns5.he.net).
    Code
    WARNING: SOA MNAME (ns1.masterserver.de) is not listed as a primary nameserver at your parent nameserver! 

    Danke für die Hilfe.


    Ergeben sich irgendwelche Nachteile durch diese Konfiguration mit "Hidden Master DNS"?

  • Nein daraus entstehen keine Nachteile, hab das soeben auch bei meiner Konstellation gemacht und festgestellt, dass diese genannten intoDNS bzw. ZONEmaster selbst irgendwie strange sind; ein rDNS Zone hat klarerweise keinen MX Record, und das zu bemängeln ist dann strange;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Nachtrag: bei mir ist der DNS-Master Firewalltechnisch von der Außenwelt abgeschottet; da finde ich dann diese Meldung bei ZONEmaster

    SOA 'mname' nameserver dnshome.example.com/2001:4711:affe:face:b00c::1 does not respond.

    sehr interessant; wozu braucht die weite Welt darauf einen Zugriff?

    (genau das ist ja der Sinn des 'hidden' Masters)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)