Evtl. zurückgesprungen auf Default des Servers?
Es gibt ja bei netcup sowohl IP.static.yourvserver.net als auch vxxxxxx.yourvserver.net
Ist das mit yourvserver.net bei allen Servern gleich? Der betroffene Server hatte ursprünglich eine andere Serverdomain (goodsrv.de)
Hatte schon mal jemand den Fall, dass im SCP der IPv6 Reverse-DNS Eintrag eines Servers verändert war? Ich bin mir jetzt nicht sicher ob Versehen meinerseits, Fehlfunktion im SCP oder CCP/SCP-Login gehackt. Alles andere ist noch richtig eingetragen. Sicherheitshalber habe ich alle Passwörter geändert und einen neuen Zettel auf den Monitor geklebt. Mit falschen Passwörtern natürlich! 
Auf dem Server selbst gibt es Stand jetzt keine Auffälligkeiten. Bei den anderen Servern stimmen alle Einträge im SCP noch. Die Änderung kann noch nicht allzu lange her sein, der schickt mir täglich zwei Mails und die erste abgewiesene ist vom 17.01.23 ca 2 Uhr. Am 16.01. 6:30 war der Eintrag noch in Ordnung, da kam jedenfalls laut Log und Mailclient noch eine Mail per IPv6 durch.
Habe es gemerkt, weil mein Mailserver laut mail.log eine Mail von dem betreffenden Server abgewiesen hat. Leider habe ich den Eintrag im SCP dummerweise heute Nacht gleich korrigiert, ohne den falschen Eintrag zu notieren 
. Da war ich wohl nicht mehr ganz wach. Irgendwas mit "yourvserver.de", "your-vserver.de" oder so ähnlich, ziemlich länglich, ziemlich sicher kein Name eines netcup-Servers und schon gar nicht der netcup-Name meines Servers.
Edit: War möglicherweise
ptr.<Meine IPv6 in Viererblöcken und umgekehrter Reihenfolge>static.yourvserver.net.was wiederum auf netcup hindeuten würde. Vielleicht hat da seitens netcup mal wieder was gesponnen und den ptr falsch eingetragen 
Ich werde das jedenfalls genauestens im Auge behalten 
.
Dafür gibt es ja externe Domains 
.
Ich schätze mal, mir würde wahrscheinlich eine Nummer kleiner mit Ryzen 5 reichen. Mein Notebook hat einen Intel i5 8265U, 16 GB RAM, 512 GB SSD und erledigt eigentlich alles was anfällt. Habe ich mal günstig geschossen, war jedenfalls billiger als der Mini-PC mit Ryzen 5 (UM 560 16/512). Ist aber auch schon wieder ein paar Jährchen her. Mehr muss der Mini-PC auch nicht leisten und hat 2 Prozessoren und 4 Threads mehr. Ich will das Notebook halt nicht auf Dauer im 15 Stunden-Betrieb verheizen, ich brauche es ja auch mal außer Haus, dafür hatte ich es eigentlich gekauft. Der Mini-PC wär ja klein genug dafür, aber einen Monitor bringt er halt nicht mit.
Argl, ich schaffe es diese Woche irgendwie nicht, ins Bett zu kommen, bevor der erste meiner Server sein tägliches Backup fertig hat und mir die Vollzugsmeldung per Mail schickt.
Mein aktueller Haupt-PC, der MinisForum Ryzen 7 16 GB, läuft 12-18 Stunden am Tag, vorher wars ein Ryzen 5 32 GB Tower mit RTX2060 - der nahm so 100-300Watt.. habe ich auf der letzten Stromjahresrechnung gesehen, da waren es 500 kWh weniger..
Taugen die MinisForum Mini-PCs? Wie bist du mit deiner Ryzen 7 16 GB Variante zufrieden? Ich bin auch gerade auf der Suche, nach etwas kleinem, leisem und stromsparendem. Derzeit arbeite ich erst mal auf meinem Notebook, notfalls bleibt es halt noch ne Weile dabei, klappt auch eigentlich relativ gut.
Der große Desktop PC ist schon was älter, schwächelt einerseits gerade (meckert beim Booten die CPU-Lüfter Drehzahl an, ich kann aber beim Reinschauen nichts erkennen und wenn er denn mal läuft, dann hat er eigentlich auch kein besonderes Temperaturproblem, beim normalen arbeiten 24-30 Grad. Ok, unter Vollast kommt er dann nach längerer Zeit schon mal über 80 Grad (i7 6700K) Könnte mir höchstens vorstellen, dass sich eventuell der Lüfter von der CPU so langsam ablöst , aber das sollte reparabel sein) und andererseits natürlich auch der Stromverbrauch ... Ich würde den gern nur noch anwerfen, wenn die Leistung auch tatsächlich mal gebraucht wird, sofern das Lüfterproblem in den Griff zu bekommen ist. Muss aber sowieso perspektivisch mal ersetzt werden. Ist ja schon ein kleiner Methusalix und mit Win 11 scheint es wohl nichts zu werden. Falls er noch so lange lebt, würde ich 2025 dann spätestens sowieso Linux drauf installieren. Naja, falls sich die Strompreise mal wieder etwas normalisieren. Ansonsten muss er halt in die wohlverdiente Rente gehen.
Hand auf Herz! Wer kannte die Frage „Muss man Dir immer alles dreimal sagen?“ als Kind nicht?
Heute geht Thunderbird auf Nummer sicher:
Tja, geheim ist eben geheim! Da könnte ja jeder kommen!
Also wenn ich das letztens richtig verstanden habe, dann wird nicht gleich gesperrt, wenn man ein paar GB über dem Limit ist. Der andere Fall, der hier letztens auflief, wurde gesperrt, als er mehr als 150% des Limits an Speicher belegt hat. Gemessen wird das nur einmal am Tag, die Warnmeldung geht wohl nur bei 80% <= aktueller "Füllstand" <= 100% raus. Das funktioniert bei langsamem Anstieg der Speichernutzung passabel, bei schnellem Anstieg leider gar nicht. Dass offenbar keine Warnmeldung kommt, wenn man am Tag davor bei 79% war und beim nächsten Check schon bei 101%, das ist natürlich suuuuper ... ungünstig und ein grobes Übersehen möglicher Speicherverläufe. Das muss natürlich rasch korrigiert werden, hoffentlich ist es schon korrigiert . Sollte auch nicht mehr als 1 MM Arbeit sein , eher im Minutenbereich. In dem beschriebenen Extremfall hätte das freilich auch nichts gebracht, da hilft nur eine engmaschigere Überwachung.
Mehr als 20% des Limits Anstieg an einem Tag klingt viel, ist aber sehr leicht möglich, auch wenn es mal nicht ein rasant überlaufendes Logfile ist. Hätte man den Brüller nicht eingebaut sondern würde grundsätzlich IMMER bei über 80% die Warnmeldung schicken, auch (und gerade!) wenn das Speicherlimit schon überschritten ist, dann hätte man wenigstens etwas mehr Luft, also es kracht nur bei >70% des Limits Anstieg binnen 24 Stunden, so waren es eben >20% und es kam nicht mal eine Warnmeldung. Würde man wenigstens stündlich messen, wäre selbst bei dem Extremfall mit 50% pro Tag wahrscheinlich nichts passiert. Obwohl, wer liest nachts schon Warnmeldungen per E-Mail? Naja, ich gelegentlich .
Aber das kann man nicht wirklich von einem Kunden erwarten. Also wird man Sperren nicht komplett vermeiden können. Aber wenn man z.B. eine Möglichkeit zum Löschen von Dateien schaffen würde, die nicht gesperrt wird und somit auch am Wochenende genutzt werden kann, würde das die Sache schon etwas entspannen. Und würde man auch noch automatisch entsperren, wenn das Speicherlimit bei einer der stündlichen Messungen wieder unterschritten wird, dann fände ich das eine durchaus akzeptable Lösung. Höchstens eine Stunde nach der Behebung des Problems wäre man wieder entsperrt und der Support müsste noch nicht mal eingreifen.
Ich hatte bis vor einigen Wochen tatsächlich ein tägliches (oder besser nächtliches) Backup von 2 RS auf mein Webhosting laufen lassen. Das war keine übergroße Datenmenge (5 Snapshots pro Server, nur Benutzerdaten + Servereinstellungen und inkrementell), aber wäre da ein Fehler irgendwo in der Backup-Software (Restic) drin gewesen oder die RS hätten irgendwie verrückt gespielt, wäre mein Webhosting möglicherweise auch gesperrt worden. Mittlerweile habe ich mir beim roten H die kleinste Storage Box (1 TB) geholt. Ich dachte, ich fange mal klein an, 10 TB wären mir lieber, aber eben auch deutlich teurer. Da sichere ich jetzt auf die selbe Weise die für eine Wiederherstellung relevanten Daten von 4 Servern und habe jetzt nach mehreren Wochen schon sagenhafte 60 GB von den 1 TB der Storage Box gefüllt. Und das wächst auch nur noch, wenn ich mehr Daten auf den Servern erzeuge. Letztens der IO-Test auf 2 Servern waren gleich schon 10 GB mehr, weil ich vergesssen hatte die Dateien vor dem nächsten Backup zu löschen. Aber die sind da nach einer Woche wieder raus. Ansonsten warte ich mal gelassen ab, welche Warnmeldungen mir das rote H im Zweifelsfall schickt 
.
Das "bis zu 48 Stunden" gilt für die weltweite Propagation. Kannst du die Domain im CCP sehen und die DNS-Einträge bearbeiten? Zumindest das muss ja eigentlich sofort nach dem Umzug funktionieren, weil man ja hier mit den authoritativen Nameservern arbeitet. Danach sollte innerhalb Deutschlands innerhalb einiger Stunden das meiste funktionieren, zumindest auf Rechnern, die nicht die automatisch zugewiesenen "Nameserver" (Resolver) des Providers benutzen, die oft seeeehr langsam sind. Aber auch da sind die 48 Stunden nicht normal, das geht wesentlich schneller. Die 48 Stunden gelten vielleicht für die Osterinseln, da kann es auch bis Ostern dauern .
Ja, deSEC finde ich auch gut. Die haben da noch irgendwelche zusätzlichen Geschichten am Laufen, woduch die Verbreitung von Änderungen schneller geht. Letztens hatte ich was geändert, wenige Minuten später kannten die Google-Resolver schon die neuen Werte. Ich vermute, Google hat die direkt bei mir bei der Eingabe abgegriffen . Mein Unbound auf dem PC brachte noch den alten Wert aus dem Cache (TTL noch nicht abgelaufen) und hätte noch ne Weile gebraucht, aber da kann ich ja notfalls einfach gezielt die Zone aus dem Cache löschen .
Ja, ist problematisch. Allerdings kannst du nach der erfolgreichen Einbindung die für netlify erforderlichen A-Records (und sonstige) wieder passend setzen. Nur bei der Einbindung müssen sie eben auf netcup zeigen.
Abgesehen von Netzsperren verhindert DNSSEC auch einige Angriffsvektoren von unliebsamen Zeitgenossen, die deine Website-Besucher lieber auf ihrer Malwaresite begrüßen wollen, indem sie z.B. die IP deines A-record in der Antwort des DNS-Servers fälschen. So etwas lässt sich dann durch Auswertung der DNSSEC Informationen erkennen. Passt die angegebene IP nicht zur Signatur, dann ist die IP falsch (oder die Signatur wie es bei manchen Hostern gelegentlich vorkommen soll).
Der versuchst also, die externe Domain bei netcup einzubinden? Bei Schritt 3 wäre nach deiner Beschreibung netcup noch gar nicht im Spiel, außer dass da eine netcup-IP gesetzt wird. Für die Einbindung als externe Domain muss theoretisch alles so eingetragen werden im Nameserver, wie es im Popup-Fenster im CCP angezeigt wird. Da interessiert also nicht nur mail.xxx.com, sondern auch der A record der Domain muss auf die IP des Webhostingservers zeigen usw. Ich schreie theoretisch, weil das zwar so kommuniziert wurde, aber ich letztens auch mit weniger als den verlangten Records erfolgreich eine Domain einbinden konnte.
Ich wusste gar nicht, dass der Krankheitsverlauf abhängig vom Bundesland ist.
Corona ist jetzt eine normale Grippe und beachtet jetzt auch die jeweils gültigen Vorschriften/Verordnungen. Und wenn das ehemalige "Team Vorsicht" sagt, "es ist egal", dann hält sich das Virus auch daran. Es will ja nicht nach China abgeschoben werden.
Dank desec.io hat das stupide kopieren von A nach B nun zum Erfolg geführt. Für mich immernoch unglaublich das ein free DNS hosting service das wesentlich besser schafft als einer der größten deutschen Hoster. Wenn ich mich nicht irre sogar in den Top 3.
Und dank eurer Hilfe natürlich. @ einfach freigelassen, außer beim zweiten MX-Record. Der hat beim Anlegen gemeckert das es schon einen MX-Record gibt, welcher "nichts" drin stehen hat. Also einfach das was olli3107 geschrieben hat angewendet und die Domain selbst eingetragen. Läuft.
Warum man manchmal einen Punkt danach braucht und warum nicht, würde mich abschließend noch interessieren. Denn bei dem Hoster welchen ich normalerweise für externe Domains nutze, ist dem nicht so, und ich konnte tatsächlich immer Copy&Paste machen
Im Zonenfile steht ein voll qualifizierter Name letztlich immer mit dem Punkt am Ende, fehlt der Punkt ist der Name relativ. Siehe auch
https://de.wikipedia.org/wiki/Zonendatei
Beim Web-Interface hat halt jeder eine andere Philosophie. Der eine erlaubt, das Feld leer zu lassen, der andere will ein '@' da drin haben und der Dritte will den vollqualifizierten Namen haben, also z.B.
example.com.
sub.example.com.
subsub.sub.example.com.Und bei manchen gehen halt auch mehrere dieser Varianten.
Hättest du beim zweiten MX übrigens auch einfacher haben können . Steht ja überall ein "+ add another value" drunter. Da kannst du dann weitere Records vom selben Typ und der selben Subdomain eintragen. Also einfach unter dem zuerst eingetragenen MX da draufklicken und den zweiten MX eingeben.
Also leer lassen funktioniert jedenfalls bei mir
Ich bin da mittlerweile nicht mehr so sicher, ob dieses Lizenzierungsmodell von MS (für virtualisierte Umgebungen) in der EU überhaupt rechtswirksam sein kann.
Hier hatte ich das schon mal angemerkt.
Ich bin mir da auch nicht sicher. Aber das nutzt mir halt im Zweifel nichts. Wenn MS irgendwann auf den Trichter kommt, dass das Windows 10 auf einem vServer läuft und die Lizenz ungültig macht, dann kann ich MS eventuell verklagen. Aber bis das Verfahren in allen Instanzen rum ist, brauche ich keinen Server mehr. Es ist ja nicht so, dass MS mich gerichtlich zu einer ordnungsgemäßen Lizenzierung zwingen muss. Ich muss MS dazu zwingen, meine Lizenz wieder anzuerkennen, damit mein Server wieder (vernünftig) läuft.
"keine SPF->Regel"
Den spf-Eintrag hast du ja schon.
Welchen, den für den orangen Mailserver? Ansonsten gibt es ja noch einige Auswahlmöglichkeiten, ich habe die für den externen Mailserver genommen, das resultiert zwar nur in
TXT-Record: v=spf1 mx ~allDas reicht aber für die Einbindung als externe Domain.
Ansonsten habe ich noch folgende Subdomains angelegt:
mail.nc.example.com
webmail.nc.example.com
autoconfig.nc.example.comund hier jeweils A-Records und was sonst so benötigt wird angelegt. Also die Subdomains "mail.nc", "webmail.nc" und "autoconfig.nc" als Subdomains der Hauptdomain. "*.nc" als Subdomain geht natürlich nicht, kein erlaubtes Zeichen. Aber das stört netcup offenbar nicht und man muss dann halt später für die eventuell gewünschten Sub-Subdomains einzeln die A-Records anlegen. Der obige SPF-Record dürfte nachher bei der Benutzung der netcup-Mailserver Schwierigkeiten machen, weil er die Relay-Server nicht beinhaltet. Notfalls muss man ihn halt nach der Einbindung ganz löschen oder auf Mail-Accounts bei der Subdomain verzichten. Die ganze Prozedur mit dem DNS bei dem Orangenhoster ist eine Tortur und hat mich mindestens 20 Minuten gekostet für etwas, für das ich mit einer vernünftigen Oberfläche keine 5 Minuten gebraucht hätte.
Oder man versucht sich gleich mit externen Nameservern z.B. bei desec.io, da dürfte das alles problemlos möglich sein. Im Zweifel würde ich die DNS-Einträge vom Nameserver des orangen Hosters auslesen und bei desec als Grundlage nehmen, dann den Rest für die Subdomains hinzufügen. Hier wird auch alles gehen inklusive dem gewünschten SPF und den Wildcard Sub-Subdomains. Und DNSSEC hat man dann auch gleich für die ganze Domain.
Edit: Welche der erfolgreich angelegten Records es für die Einbindung auch tatsächlich braucht habe ich nicht ausprobiert.
Ein Windows Server ist bei netcup schwierig bis gar nicht rechtssicher lizenzierbar. Eine Lizenz für den Betrieb auf einem PC zuhause reicht jedenfalls sicher nicht. Falls es überhaupt eine Lizenzierungsmöglichkeit gibt, wird sie sicher nicht billig sein. Die eventuelle Idee, den "Server" per Remote-Desktop steuern zu wollen würde ich möglichst schnell verwerfen aus Sicherheitsgründen. Und wenn man schon unbedingt eine grafische Oberfläche braucht, alternative Software für den Zugriff benutzen. Ein Windows-Server mit Windows-Server Betriebssystem ist schon wesentlich schwieriger abzusichern als ein Linux-Server. Bei Windows 10 potenziert sich der Unterschied noch. Die Voreinstellungen sind da einfach für den Betrieb auf einem PC zuhause hinter der Router-Firewall gedacht. Für den Zweck sind sie halbwegs sicher. Ein vServer bei neucup hat aber keine Router-Firewall zwischen sich und dem Internet, hinter der er sich verstecken kann. Da kommen von der ersten Minute an jede Menge Portscans und Hackversuche aus der ganzen Welt. Und wenn da die zahlreichen offenen Scheunentore nicht alle sofort geschlossen werden, dann kann der Server sehr schnell mal gehackt werden.
Linux ist in den meisten Distributionen kostenlos und lässt sich problemlos als Minimalsystem installieren, wo außer SSH zunächst einmal nichts von außen erreichbar ist - und das ist auch recht einfach abzusichern. Linux bringt auch eine vernünftige Firewall mit. Apache ist auch eigentlich für Linux entwickelt.
Ich weiss ja nicht, was genau ihr benötigt, aber wenn nichts dabei ist, was nur unter Windows läuft, macht Windows wenig Sinn als OS auf einem Server.
So, ich habe jetzt eine Subdomain meiner orangenen Inklusivdomain bei netcup als externe Domain eingebunden. Was ich nicht hinbekommen habe in dem unsäglichen Interface ist der korrekte SPF-Record und die Wildcard-Subdomains (* A, ...). Das scheint aber für das Einbinden erst einmal nicht kriegsentscheidend zu sein. Die externe (Sub-)Domain wird mir jedenfalls im WCP angezeigt. Ein Let's Encrypt Zertifkat dafür habe ich auch schon eingerichtet
Meines Erachtens ist für einen Webserver auch und insbesondere ein Windows 10 "zuviel des Guten". Eine gültige Lizenzierung ist schwierig und kostet Geld. Und außerdem handelt man sich damit nur unnötige Sicherheitsprobleme ein. Aber gut, ihr werdet irgendwelche Gründe dafür haben.
