Posts by jay

    wenn diese Resolver das TTL überschreiben, dann tun sie auch etwas mehr,

    wie vlt. Domainsperren udgl. und diese Resolver verwendet man genau deswegen nicht;

    daß bei genau diesen Resolvern DNSSEC fehlerfrei durchkommt halte ich da auch f. ein Gerücht ...

    ja, das denke ich auch. vor allem, daß "man" sowas nicht benutzen sollte.

    umso erstaunter war ich ja, daß hier so viele die ttl als "lachhaft nutzloses instrument" ansahen und mich auslachten, daß eine niedrige ttl ein (m.e.besserer) ersatz für eine kostenpflichtige routbare zusatzip ist.


    Daher wie einige vorher schon gesagt haben, bei einer Änderung ttl auf 300 und gut ist.

    ähm, eigentlich bin ich der einzige, der sagte dass da eine niedrige ttl das adäquate instrument ist.


    Zur Not kontaktiere einfach die die für die Resolver zuständig sind und gut ist.

    woher soll ich denn wissen, welche ns forwarder ttl manipulieren? und ich bin nicht so missionarisch, oder vermessen anzunehmen, dass ein provider der seinen kunden einen manipulierenden forward resolver antut, das aufgrund meiner intervention ändert. :-)


    jay

    Dass die TTL auf den netcup Nameservern standardmäßig auf 24h eingestellt ist, ist dir bewusst?!

    es geht nicht um die ttl des autoritativen nameservers! die kann und sollte der zonenbetreuer so einstellen, wie er es für richtig hält.

    es geht um resolver, die diesen wert eigenmächtig verlängern. offensichtlich tun das manche dsl-provider in ihren forward resolvern.

    jay

    Meine zwei Server heißen main und failover.

    Manno. Jetzt fühle ich mich unkreativ.

    naja, meine heißen 221 222 263 oder 481 422 463... hunderterstelle ist anzahl kerne, zehnerstelle ramstärke einerstelle laufende nr.

    jay

    Hm bei dem ganzen Gerede über Domains hätte ich wetten können heute sind welche im Kalender! Naja fast, als Reseller haha.


    Ich brauch doch wieder ne hand voll neuer Domains, die ich rabattiert kaufe, nie vergebe und nach einer oder zwei Laufzeiten ungenutzt kündige 😂

    lach. ich bin gerade dabei meine nameserver von leichen zu säubern. 270 alte einträge :-)

    viele davon irgendwann mal spontan registrierte domains, die nie benutzt wurden, aber doch jahrelang mitgeschleppt...


    jay


    Kenne soviele Provider Resolver welche die TTL min. auf 12 Stunden stellen.

    kann man machen, ist dann aber scheiße. :-)

    ich weiß garnicht welchen spackenadmins so etwas einfallen kann.

    sind die alle so hohl, daß sie sich nicht mit den regeln auskennen?

    oder so arrogant, daß ihnen ihre kunden scheißegal sind?


    von einer Niedrigen TTL bin ich kein wirklicher Freund von, da man einerseits den DNS Server stresst und sollte mal DNS ausfallen ist es bei einer Kurzen TTL recht schnell zappenduster.

    ich sehe, daß auch du dich nicht wirklich auskennst. wenn der nameserver nicht erreichbar ist, gilt nicht der ttl wert sondern der expire wert. und der ist definitiv höher...


    bei Geplanten Umstellungen setze ich die TTL meist eine Wocher vorher auf 5 Minuten und nach der Umstellung wieder hoch.

    umstellungen sollten immer geplant sein. :-)

    "man" setzt aber nicht einfach auf 5 minuten, sondern (bei stark nachgefragten servern) von zb 7 auf 3 stunden, dann am nächsten tag von 3 auf 1, dann am nächsten tag auf 10 minuten. so war es "althergebracht".

    ich selbst belasse es meist dann bei 10 minuten, denn bei ner ip umstellung kann die im normalfall jeder verkraften...


    aber auch dein vorgehen ist ja fürn arxxx, wenn der abrufende einfach seinen resolver patcht und deine ttl verändert.

    die ttl sind ja keine spieleri, sondern ein wichtiges instrument des zonenbetreuers der domain.

    da hat kein ns-forwarder admin was dran rumzufummeln.


    sind denn bei deinen ""sovielen providern" dann auch sämtliche dynip adressen völlig sinnlos, weil sie sich nur alle 12 stunden erneuern?


    jay

    Also ich für meinen Teil passe.

    ich habs auch eher "für den zuckenden finger" mitgenommen. so kann ich mal irgendwann in dem jahr die emailfunktionalitäten der nc cloud testen, sowie ein paar templates durchspielen.

    auf die registrierung der inklusivdomain werde ich wohl verzichten und es mit einer meiner externen oder zusatzdomains testen.

    da kann ich auch gleich ausprobieren, ob die zusatzdomains sich problemlos auf dem nc webspace nutzen lassen, obwohl ich meine eigenen ns betreibe...

    jay

    hallo,

    gerade habe ich durch zufall bemerkt, daß sich die im ccp einetragenen nameserverdaten zum teil von den bei denic eingetragenen unterscheiden.

    so sind bei 5 von 25 domains die nc nameserver eingetragen, obwohl im ccp meine eigenen nameserver stehen.

    die nc ns liefern dann auch direkt gefragt ein not found: 5(REFUSED), bzw über forwarder ein not found: 2(SERVFAIL).

    ob das schon immer so war, oder ob das irgendwann schonmal korrekt bei denic drin stand, kann ich nicht sagen.

    nach der kk kam jedenfalls keine fehlermeldung von nc.

    zum glück sind die betroffenen domains bisher nur welche, die ich "parke" und nicht produktiv benutze. ob jemand in dem jahr der falsch config im nc system versucht hat mich darüber per mail zu erreichen, weiß ich nicht.


    jemand schonmal sowas gehabt?

    jay

    soweit ich weiß, gab es keine anklageschrift, weil das ganze außergerichtlich beigelegt wurde. eben gegen die zahlung der xt€.

    dass der fragliche resolver falsche daten geliefert hat, war durch einige hundert zeugen belegbar.

    welche daten zum fraglichen zeitraum bei den autoritativen ns eingetragen waren, war ebenfalls dokumentiert und nachzuvollziehen.


    den vertrag mit dem ns betreiber hat der jeweilige endkunde. aber in dem fall ging es garnicht um den endkunden der den resolver benutzt hat, sondern um die firma deren server durch die falschauskunft nicht erreichbar waren.


    meine aussage dass jeder einen eigenen/regelkonformen resolver benutzen sollte, bezieht sich nicht direkt auf dieses thema, sondern ist eine allgemeine feststellung. eine firma die dies nicht tut, sondern so einen nach hobbyregeln betriebenen resolver wie den einiger dsl-massenprovider für wichtige firmen"resolvings" benutzt, ist eben selbst schuld. :-)

    das widerspricht in keinster hinsicht meiner ansicht, daß man als serverbetreiber nicht die blödheit der "anderen" auf eigene kosten kompensieren sollte.


    jay

    wenn durch solche sachen wirklich schäden entstehen, wird sich der betreiber des entsprechenden resolvers warm anziehn müssen.

    wer im kommerziellen umfeld keinen eigenen (korrekt konfigurierten) resolver betreibt, oder sich wirklich auf solche fehlkonfigurierten dinger verlässt, dem ist nicht zu helfen. ich weiß von mindestens einem fall, wo die t-piiiiiiiiiiep einem kunden so einige tausend euros gezahlt hat, weil der angewiesene resolver falsche ip daten lieferte...

    jay

    Aber nur, wenn sich jeder DNS-Resolver an die TTL hält

    sollte er das nicht tun, so ist es kein rfc konformer resolver und der betreiber des resolvers für eventuelle schäden haftbar...


    es ist eine unart solche gravierenden fehlleistungen anderer provider serverseitig zu kompensieren.

    so werden solche arroganten freizeitadmins ja noch in ihren fehlleistungen unterstützt.


    jay

    hallo,

    Wie würdest Du ihn denn "richtig" konfigurieren?

    na, bei wichtigen services lege ich die ttl des a records auf 10 minuten. bei sehr wichtigen auch schonmal auf 1 minute.

    so hat man spätestens nach 1 bzw 10 minuten die neue ip überall aktuell.

    die ttl eines wichtigen systems auf 48 stunden zu setzen würde ich schon fast fahrlässig nennen :-) eine ttl länger als 3 stunden hat bei mir kein server außer den nameservern...

    jay

    Wenn Du ein geroutetes IPv6 Netz hast, kannst Du Dir den NDP proxy sparen.

    ich beziehe mich nicht auf ipv6 sondern auf richtige ip adressen :-)

    die servereigene IP verwende, dauert es bis zu 48h

    man zahlt also laufende gebühren dafür, daß man den dns "falsch" konfiguriert hat?