DNS Migrations Problem

  • Hallo liebes Forum.


    Keine Ahnung ob das hier der richtige Ort ist, aber ich weiß auch ehrlichgesagt nicht, wo ich es hinposten soll. Und mir ist auch klar dass das Problem das ich beschreibe nicht bei Netcup liegt. Aber alles von Anfang an:


    Ich schiebe schon lange vor mir her, etliche Domains (10 Stück oder so) von Domainfactory zu Netcup umzuziehen. Heute wegen BF habe ich es dann endlich komplett durchgezogen, der gute Preis hat mich motiviert :) Jedesmal also derselbe Act: df.eu Produkt gekündigt, Authcode auswendig lernen :D, rüber zu Netcup, registriert, Authcode eintippen, DNS Einstellungen machen, bäm. Hat 9 Mal perfekt geklappt und eine Domain "hängt". Und dummerweise halt genau die, die ich zum weiterarbeiten bräuchte. Und ich checke einfach nicht woran es liegt.


    Vorab: Alle Domainnamen und IP-Adressen sind anonymisiert (per sed, damit mir kein Fehler passiert).


    Fangen wir ganz easy an:


    OK, namespace4you, also wird noch von DF beantwortet. Soweit kann das ja am Cache liegen (ist erst 12 Stunden her). Mir fällt ein, die Domains habe ich ja schon gestern Abend umgezogen, so um 20 Uhr. Das ist also schon 26+ Stunden her...


    Wenn man den DF DNS direkt fragt:


    Und das irritiert mich. Der DNS von DF stellt sich also breitbeinig hin und sagt, nö, ich bin hier noch die SOA. Ist er aber doch nicht mehr, nachdem ich den weggezogen habe?


    Und die SOA hat ja 2560 Sekunden TTL, sollte dann nicht nach spätestens einer Stunde fehlendem SOA Eintrag der Cache leer sein und die Records nach oben propagiert werden? Das passiert aber nicht, die NIC Rootserver sagen immernoch, dass DF die Autorität ist (obwohl das ja Netcup sein sollte):


    Ich bin jetzt nicht so der DNS Checker muss ich zugeben. Interpretiere ich SOA einfach falsch? Und relevant ist der Tag TTL (86440 Sekunden) die der NIC Rootserver drin hat? Also einfach Tee trinken für die nächsten 12 Stunden und dann löst sich das Problem in Wohlgefallen aus?


    Danke euch schonmal für die Unterstützung!

  • Verdammt das war die EINE Stelle die ich nicht anonymisiert habe, die nicht durch mein Skript geht. Das ist meine Problemdomain, ja. Könntest du deinen Post bitte editieren? Ich hab es auch geändert.


    Aber, ja, zeigt auf eine Netcup-IP, weil die hat sich auch nicht geändert. Nur der DNS Provider hat sich geändert. Die Records sollen erstmal alle identisch bleiben.


    EDIT: Na toll das Forum hier hat eh ne Historyfunktion, also ist glaube ich editieren auch sinnlos. Hrmpf.

  • Na toll das Forum hier hat eh ne Historyfunktion

    Ich meine die History sieht man nur selbst, und das auch nur im Zeitraum in dem die Bearbeitung noch möglich ist.

    Ungeachtet dessen kannst du aber auch einfach den netten Foren-Mods Bescheid geben; dann löschen sie die ungewollte Nennung sicher. Ping [netcup] Claudia H. z.B. :)


    So sehe ich deinen Beitrag:

    pasted-from-clipboard.png

    Keine History zu sehen, nur der Hinweis.

  • Hast du mal den DNS Netcup gefragt was er dazu sagt?


    Quote

    dig @third-dns.netcup.net -t NS meine-problemdomain.de a.nic.de

    Wenn dort deine erwarteten Einträge zurückkommen würde ich vermuten dass die Propagation / Providerwechsel noch nicht abgeschlossen ist.



    Quote


    Und die SOA hat ja 2560 Sekunden TTL, sollte dann nicht nach spätestens einer Stunde fehlendem SOA Eintrag der Cache leer sein und die Records nach oben propagiert werden? Das passiert aber nicht, die NIC Rootserver sagen immernoch, dass DF die Autorität ist (obwohl das ja Netcup sein sollte):

    Die TTLs von SOA interessieren in erster Linie nur ( falls vorhanden) secondaries von der Zone. Ansonsten machen die DNS Resolver was sie wollen. Kannst die 2 bekanntesten mal fragen, die setzen beide unterschiedliche TTLs wenn es nicht explizit vorgegeben ist, bspw. bei 'NXDOMAIN'


    2 Dinge die du machen kannst:

    1.) DNS Flush Cache bei den öffentlichen Resolvern auslösen und danach prüfen ob die neue Information verfügbar ist

    2.) Netcup DNS Server direkt fragen.


    Der hat vermutlich dein Ergebnis mit der 86400 TTL noch gecached die halt beim alten Anbieter anscheinend gesetzt war ( falls deine Ausgaben oben von einem Netcup Server aus gemacht wurden)

  • ich würde den NC-support mal anschreiben, evtl. bist du ja gestern mit in den domain-hänger reingeraten.

    Code
    whois …
    Nserver: ns2.namespace4you.de
    Nserver: ns.namespace4you.de
    Status: connect
    Changed: 2021-11-25T19:31:54+01:00


    https://www.netcup-status.de/2…customercontrolpanel-ccp/

    Code
    Am 25.11.2021 um 19:36 Uhr
    Die Einschränkung wurde behoben und die Domainbestellung über das CCP ist wieder problemlos möglich.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    »This is extremely dangerous to our democracy«

  • Ah, vielen Dank für den Tipp. Ja, das wäre gut. Vielelicht bin ich ja übervorsichtig aber naja :)

  • Hast du mal den DNS Netcup gefragt was er dazu sagt?


    Wenn dort deine erwarteten Einträge zurückkommen würde ich vermuten dass die Propagation / Providerwechsel noch nicht abgeschlossen ist.

    Ja, hatte ich, habe ich vergessen zu schreiben. Der Netcup DNS ist perfekt konfiguriert und reagiert auch zackig, wenn ich an den DNS Einstellungen was ändere. Nur eben der authoritative Server der zeigt noch auf den Domainfactory DNS:



    Quote

    2 Dinge die du machen kannst:

    1.) DNS Flush Cache bei den öffentlichen Resolvern auslösen und danach prüfen ob die neue Information verfügbar ist

    2.) Netcup DNS Server direkt fragen.

    Oh, ich wusste gar nciht wie man einen DNS Flush Cache auslösen kann. Muss ich mal danach suchen. Vielen Dank für den Tipp!

  • ich würde den NC-support mal anschreiben, evtl. bist du ja gestern mit in den domain-hänger reingeraten.

    Code
    whois …
    Nserver: ns2.namespace4you.de
    Nserver: ns.namespace4you.de
    Status: connect
    Changed: 2021-11-25T19:31:54+01:00


    Oha, ich hab zwar bei der Bestellung Probleme gehabt, bin aber davon ausgegangen dass das nur an der Last liegt. Vielen Dank für den Tipp!

  • Oh, ich wusste gar nciht wie man einen DNS Flush Cache auslösen kann. Muss ich mal danach suchen. Vielen Dank für den Tipp!


    Das bringt halt begrenzt was, aber speziell bei Let's Encrypt hilft es dann doch weil die normalerweise die beiden großen für ihre Lookups nutzen.


    Der Netcup DNS Resolver gehört zu denen die länger cachen. Das heißt, obwohl es im Root Netcup DNS schon aktualisiert ist, kriegst du auf Anfragen vom Server aus noch "alte" Antworten. Andererseits kriegst du sehr schnelle Antworten auf bekannte Einträge da dieser diese gecached hat.


    Bei solchen Migrationen drehe ich mindestens ne Woche vorher die TTL auf 5 Minuten runter (sofern der Anbieter es erlaubt). Falls du davon abhängig bist, dass die Adresse korrekt auflöst für Weiterarbeiten, kann ein lokaler DNS Resolver wie DNSmasq oder Unbound mit Konfiguration helfen. Dort kannst du nämlich sagen:

    - löse Domain X über Nameserver Y auf

    - überschreibe Eintrag A durch B lokal, egal was das Internet sagt

    - löse Eintrag C als ALIAS von D auf

    - cache keine Anfragen, löse jedes Mal neu auf <= nicht dauerhaft empfehlenswert


    etc.

  • Das bringt halt begrenzt was, aber speziell bei Let's Encrypt hilft es dann doch weil die normalerweise die beiden großen für ihre Lookups nutzen.

    Hast du dafür eine Quelle? Soweit ich weiß fragt letsencrypt immer die Nameserver direkt und verlässt sich nicht auf irgendeinen Resolver.

    https://community.letsencrypt.…d-by-lets-encrypt/65406/3

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Verdammt das war die EINE Stelle die ich nicht anonymisiert habe, die nicht durch mein Skript geht. Das ist meine Problemdomain, ja. Könntest du deinen Post bitte editieren? Ich hab es auch geändert.

    Ohne diesen Fauxpas wäre der Fehler garnicht durch uns zu lokalisieren.

    Das wichtigste hast du nämlich garnicht gepostet.

    Deine Domain ist entweder garnicht umgezogen, oder NC hat es mal wieder verpeilt, nach der KK ein NS Update an Denic zu senden.

    Schreib dem Support, die sollen ein Update von Hand anstoßen.


    Und zu deinem Flame gegen DF: Sei froh, dass die dich nicht sofort nach dem Umzug aus den NS gelöscht haben. Dann wäre deine Domain nämlich garnicht mehr erreichbar.

    Das direkte Löschen (auch von Postfächern, E-Mails etc) ist eine schreckliche Unart von schlechten Providern (leider weit verbreitet).

  • Mit das wichtigste meinst du den whois, oder? Das stimmt, den hatte ich vergessen.


    Interessanterweise sagt das whois aber auch, dass der geändert wurde am 25.11. Abends (da habe ich bestellt), aber er zeigt iimmernoch auf dieselben Server. Support ist schon kontaktiert gestern morgen) aber bisher noch unverändert. Mal abwarten.


    Zu dem Flame: Also ich glaube das hast du das reingelesen. Ich war im Großen und Ganzen mit DF schon zufrieden, aber habe fälschlicherweise geglaubt dass deren Record (mit SOA) als nsupdate an die Denic geht, und deswegen halt vielleicht der Netcup DNS (der ja auch ein SOA hat) mit dem DF DNS darum ringt, Requests für meine Domain zu beantworten. Das habt ihr ja geschrieben dass das nicht so stimmt, wiegesagt, ich kenne ich da nicht so aus mit DNS. Primär finde ich es eine unendliche Erleichterung dass Netcup ne API anbietet, das ist wirklich der Hauptgrund. Wird irgendwann lästig bei 10+ Domains, die Records händisch zu pflegen.


    Aber falls das wie ein Flame rübergekommen sein sollte tut es mir jedenfalls leid. Zum Flamen im Internet bin ich mittlerweile zu oll glaube ich :)

  • Ja, ich meinte den Whois Eintrag.


    Die Änderung am 25. bedeutet, dass die Domain schon bei NC ist. Aber NC verbockt jetzt das Update der NS Daten.

    Was genau hast du dem Support geschrieben? Es ist richtig, dass der Eintrag noch immer falsch ist. Solche Sachen sind es, die NC für mich als ernsthaften Registrar für wichtige Domainnamen ausschließen.


    Also "stellt sich breitbeinig hin" klingt schon so, als würdest du das als "was erlauben die sich" sehen.


    Du solltest dem Support nochmal schreiben, daß die Automatik das NS Update bei Denic verbockt hat und sie das nochmal von Hand anstoßen sollen.

    Oder hast du etwa die NS von namespace nach der Bestellung angegeben?

  • Hmja, schön ist das nicht. Hätte gerne das WE genutzt um ein Paar Sachen einzurichten, das klappt jetzt leider nicht. Und du hast natürlich Recht, sobald DF den Stecker zieht geht gar nichts mehr. Wegen der Forulierung, ja naja hatte ich ja geschrieben das war nicht als Flame gemeint. Dem Support habe ich das hier geschrieben:


    Code
    Hallo NCler, ich habe ein Problem beim Umzug einer Domain zu euch. Der whois zeigt
    leider immernoch auf den alten DNS (bei Domainfactory) obwohl scheinbar alles
    geklappt hat. Die Domain heißt XXX. Im Forum habe ich das auch
    beschrieben und die meinten ich soll mich mal an den Support wenden:
    https://forum.netcup.de/netcup-intern/technik/p169688-dns-migrations-problem/#post169739


    Bisher nur die Bestätigung, dass es weitergeleitet wurde. Ich hoffe/denke mal dass das heute gelöst wird.

  • Hm,

    ja, wirklich seltsam, dass das noch immer nicht gemacht ist.

    Wie sehn denn deine Einträge für den NC NS aus?

    Ich weiß zwar nicht ob das der NC Parser zulässt (ich würde erwarten, dass nicht), aber vielleicht ist ja dein Zoneneintrag im NC NS falsch und das Update schlägt ständig fehl.

    So lange DF nicht abschaltet ist das ganze allerdings auch eher Prio 2...

  • Hm,

    ja, wirklich seltsam, dass das noch immer nicht gemacht ist.

    Wie sehn denn deine Einträge für den NC NS aus?

    Ich weiß zwar nicht ob das der NC Parser zulässt (ich würde erwarten, dass nicht), aber vielleicht ist ja dein Zoneneintrag im NC NS falsch und das Update schlägt ständig fehl.

    So lange DF nicht abschaltet ist das ganze allerdings auch eher Prio 2...

    Hmmm, die werden alle als "gültig" angezeigt:

    Bildschirmfoto zu 2021-11-29 10-58-56.png


    Aber kann natürlich sein, ich bin schon n b00n was DNS angeht, geb ich ja auch gerne zu. Sieht für mich auch plausibel aus, aber wissen tu ichs nicht.


    Und ja, da hast du Recht, solange DF noch liefert ist es zwar ärgerlich aber kein Weltuntergang. Ich hoffe nur dass die nicht allzubald abschalten.

  • Anonymisierte Ausgaben kann man praktisch nicht mehr auf Richtigkeit des Originals prüfen.

    Aber wenn das Formular OK anzeigt, wird es wohl so sein.

    Ich hoffe nur dass die nicht allzubald abschalten

    Gute Provider beweisen sich erst nach Beendigung des Vertrages.

    Dazu gehört es auch, dass z.b. Nameserver (mindstens) bis zum Laufzeitende der Domainreg weiter laufen (hast du ja eh bezahlt).

    Richtig gute fragen das Whois vor einer Abschaltung ab. :)


    Oh, das erste Absenden schlug wohl fehl und nun ist der Post etwas spät an :)