DNS Probleme

  • Hi,

    ich habe scheinbar DNS Probleme, ist hier sonst noch jemand betroffen?


    Im CCP habe ich DNS konfiguriert (diverse cname etc.) und das hat auch alles gut funktioniert.

    Jetzt ist mir aufgefallen das die Domain nicht von überall erreichbar ist und nach etwas Detektivarbeit scheint es DNS zu sein.

    Scheinbar kennen nicht alle DNS server meinen DNS Eintrag obwohl ich ihn schon lange nicht geändert habe (Monate) und er daher schon bis in den letzten Winkel propagiert sein sollte.


    DNS checker zeigen mir das scheinbar die hälfte der server meine Domain kennt und die andere Hälfte nicht...


    pasted-from-clipboard.png


    Ideen?


    Code
    nslookup thexperiments.com 1.1.1.1
    
    Server:  one.one.one.one
    
    Address:  1.1.1.1
    
    
    
    *** one.one.one.one can't find thexperiments.com: Server failed




    Danke

  • Sieht nach dem altbekannten Problem DNSSEC aus. Gab den Fall schön öfter hier im Forum (auch ich war schon davon betroffen), dass aus dem Nichts das DNSSEC nicht mehr gültig ist. Siehe https://zonemaster.net/result/0e0f8e71c45448ef

    De- und anschließendes Aktivieren von DNSSEC sollte das Problem (vorerst) beheben.

    Ich traue den Nameservern von netcup nicht mehr und betreibe jetzt meine eigenen. Vorher war ich bei dns.het.net und cloudflare.com.


    PS: Übrigens ein sehr schöner Beitrag von dir. Gut das Problem geschildert und welche Recherche bisher unternommen wurde. Da macht helfen Spaß. Finde das muss auch mal gelobt werden. :)

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Ideen?

    Bereits mehrere Nutzer haben festgestellt, dass es derzeit wohl Probleme mit .com-Domänen gibt (wahrscheinlich ein Problem, das mit Signierung von DNSSEC-Einträgen zusammenhängt); da die Netcup-eigenen DNS-Server für diese Domänen keine gültigen Werte weiterliefern, können andere DNS-Server diese nicht (erneut) übernehmen und allenfalls Ergebnisse aus ihrem Cache zurückliefern:

    Code
    [2021-08-13T10:14:16+0200] ueberall_l@desktop01:/tmp% for usual_suspect in 1.1.1.1 8.8.8.8 9.9.9.9; do dig +short -t NS thexperiments.com @${usual_suspect}; done | wc
          0       0       0
    [2021-08-13T10:14:36+0200] ueberall_l@desktop01:/tmp% for usual_suspect in 1.1.1.1 8.8.8.8 9.9.9.9; do dig +short -t NS example.org @${usual_suspect}; done | wc
          6       6     120

    Testweise einmal versuchen, einen Dummy-TXT-Eintrag im DNS hinzuzufügen oder eine andere Modifikation vornehmen, was die Signierung erneut anstoßen sollte. Bleibt das Problem bestehen – oder unabhängig davon, um es Netcup gegenüber bekannt zu machen – hilft nur eine Kontaktierung des Supports.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Scheinbar kennen nicht alle DNS server meinen DNS Eintrag obwohl ich ihn schon lange nicht geändert habe (Monate) und er daher schon bis in den letzten Winkel propagiert sein sollte.

    Die DNS Server fragen den jeweils höheren - die Idee von "Propagieren" ist hier i.d.R. nicht richtig.

    Die Netcup DNS Server antworten richtig auf die Domain, jedoch die Public Resolver nicht.


    Bildschirmfoto zu 2021-08-13 10-20-21.png


    Status Servfail ist hier der relevante Fehler. Ggf. ein DNSSEC Fehler - stehen bei dir im CCP alle Records auf Valid?

    Ich denke das ist ein Fall für den Support. Schreibe mal eine E-Mail an mail@netcup.de

  • Danke für die Antworten, mal in ein paar Stunden schauen, das mit dem ändern damit neu verteilt wird habe ich mir vorhin schon gedacht und mal einen cname geändert, mal schauen ob das schon reicht. wenn nicht werde ich DNSsec aus/an versuchen.

  • Danke für die Antworten, mal in ein paar Stunden schauen, das mit dem ändern damit neu verteilt wird habe ich mir vorhin schon gedacht und mal einen cname geändert, mal schauen ob das schon reicht. wenn nicht werde ich DNSsec aus/an versuchen.

    Leider wird dir das nicht weiterhelfen, da in der Whois-DB DNSSEC-Keys hinterlegt sind, aber nicht in den drei DNS-Servern von Netcup.


    Begründung:

    Code
    whois thexperiments.com | grep DNSSEC
    DNSSEC: signedDelegation
    DNSSEC DS Data: 44041 8 2 836914BCE3482F62C4F267B2D463AA7F7D786110875BAFCB0529E6DBD8E47801
    DNSSEC DS Data: 44041 8 1 F67882E84D1125D2D7BE1BBD73A8289AF2F7826F


    Code
    dig @root-dns.netcup.net +dnssec thexperiments.com | grep RRSIG
    Kein Ergebnis


    Workaround:

    DNSSEC einmal deaktivieren und wieder aktivieren.

  • Hatte selbst auch schon dieses Problem mit einer .com-Domain bei Netcup. Woran es am Ende lag, weiß ich nicht (der Support konnte mir da keine genaue Rückmeldung geben). Letzten Endes bin ich dazu übergegangen, eigene DNS-Server zu betreiben.

  • Ich denke du solltest in jedem Fall den Support einmal kontaktieren. Nur so merkt netcup endlich mal, dass bei ihren Nameservern irgendwas gewaltig schief läuft.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Hmm ok mittlerweile kennt fast kein nameserver mehr meine domain. DNSSEC habe ich mittlerweile getoggelt und es scheint auch jetzt von seiten netcup promoted zu werden. Leider liefert trotzdem kein Server mehr meine domain aus :(


    Ab zum support... ich will jetzt für eine domain nicht anfangen domainserver zu betreiben ^^

  • Für mich sieht es besser aus als vorher: https://zonemaster.net/result/f9e0bfa80b56b864


    Auch hier sieht’s ganz gut aus: https://dnschecker.org/#A/thexperiments.com


    Bei https://www.whatsmydns.net/#A/thexperiments.com sind anscheinend generell gerade ein paar Testserver down. Bei anderen Domains gibt es da nämlich auch viele rote X auf der Karte.


    Support kontaktieren ist trotzdem eine gute Idee.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Das DNSSEC-Problem kenne ich seit einigen Jahren auch zu genüge. Ursache nach wie vor unbekannt und für mich Grund genug, meine Domains seit einiger Zeit schrittweise wegzutransferieren…


    Rein aus Interesse, thex: Verwendest Du die DNS-API vom CCP? Bei mir trat das vermehrt immer nach (automatischen) Änderungen für die Let's Encrypt DNS-Challenge auf.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Aktuell geht wieder alles, war auch mein erstes Problem seit 2-3 Jahren (habe ausser ein paar cname auch nicht viel getan) daher gebe ich den netcup nameservern mal noch einen Chance.


    Ich habe beim Support auch mal etwas nachgebohrt und das hier war die neuste Antwort:


    Zitat

    Thank you for your patience.

    I've discussed this issue with our development team. They found an issue in the DNSSEC renewal tasks which can occur under certain conditions (when another update job for the domain is pending at the same time). This has been fixed now and therefore, I do not expect any further issues like this. However, should this happen once more, please ideally answer to this email and we will examine the cause.

  • thex : Könnte ich für eine Bezugnahme (gerne hier oder per privater Konversation) die Ticketnummer haben? Laut eigenem Monitoring sind nämlich alle meine .de-Domänen derzeit wieder einmal wie folgt mit Warnungen versehen, was darauf hinweist, dass die automatisierte Re-Signierung (ich selbst habe seit Wochen keine DNS-Einträge verändert) hier noch mindestens einen Fehler hat (lies: alte RRSIG-Einträge werden nicht korrekt entfernt):


    <domäne>.de [2021-08-24T00:10:02+0200]

    <domäne>.de

    Found an invalid RRSIG record in the published zone data.

    This is only a warning, rather than an error, since the zone may contain additional (valid) RRSIG records. However, there is no legitimate reason to have an invalid signatures in the zone data.

    The zone should be resigned or the RRSIG record should be manually removed.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing