henere
Goto Top

DNS Probleme weltweit ?

Servus zusammen.

Ich habe u.a. 2 Domains bei Netcup liegen.

Das Problem ist nun, dass bei einer der Domains einige User heute DNS_PROBE_FAILED_NXDOMAIN zurück bekommen.

Es geht um die Domain: ram-freunde-franken.de
Als Vergleich habe ich xt600.de hergenommen.

Beide Domains habe ich vor längerer Zeit bei Netcup registriert. Auch die Denic bestätigt die Registrierung.

ram-freunde-franken.de wurde schon von vielen Leuten in der Vergangenheit genutzt. Änderungen im DNS habe ich keine gemacht.

Wenn ich jetzt bei mir schaue:

C:\Users\Lalelu>nslookup http://www.ram-freunde-franken.de

Server: meininterner.DNS

Address: 192.168.200.1

Nicht autorisierende Antwort:

Name: http://www.ram-freunde-franken.de

Address: 188.68.54.154

geht es problemlos.

Auch nach löschen des DNS-Caches auf meinem Server wie auch Workstation. Er löst mir die sauber auf.

Schaue ich jetzt bei zB SSLLABS sagen die auch : Unable to resolve domain name

Wenn ich jetzt hier nachschaue:
https://dnsmap.io/#A/ram-freunde-franken.de
gibt es jede Menge rote Einträge. Jedoch für
https://dnsmap.io/#A/xt600.de deutlich mehr grüne Haken. Beide liegen bei Netcup unter einem Kundenaccount und zeigen auf die gleiche IP.

Bevor es heisst: Crossposting, hier habe ich das Thema auch angesprochen: https://forum.netcup.de/netcup-intern/ausf%C3%A4lle-von-netcup-diensten/ ...

Kann ich hier was machen, wenn ja... was ?
Der Netcup DNS scheint ja zu funktionieren. An wen kann ich mich da wenden ?
Ja, ich kann wie aus dem Netcup-Forum vorgeschlagen:
Wenn nur bestimmte Nameserver (Resolver) diesen Schmarrn machen, kann es auch helfen, einmal bei den Google-Resolvern die SOA zu flushen:

https://developers.google.com/speed/public-dns/cache

Aber das für alle Provider ? Kanns doch nicht sein.

Grüße, Henere

Content-Key: 433258

Url: https://administrator.de/contentid/433258

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: BassFishFox
BassFishFox 27.03.2019 aktualisiert um 21:35:17 Uhr
Goto Top
Hi,

Nicht DNS-Probleme weltweit. Es ist eher Probleme seitens NetCup, denn wer traegt die Adresse ein im DNS?

Ausser dem DNS von Netcup kennt wohl kein DNS mehr die von Dir genannte Adresse.

2019-03-27 16_27_23-window

BFF
Mitglied: Henere
Henere 27.03.2019 um 21:39:17 Uhr
Goto Top
Servus.

Ich bin einen Schritt weiter. DNSSEC ist wohl das Problem.
Nur wie kann ich das beseitigen ?
Im Netcup Kundencenter steht hinter den Records ein GÜLTIG.
Ist identisch mit anderen Domains die ich da habe. Die jedoch funktionieren.

Laut http://dnsviz.net/d/ram-freunde-franken.de/dnssec/

RRSIG ram-freunde-franken.de/A alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/DNSKEY alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/DNSKEY alg 8, id 36993: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/DNSKEY alg 8, id 36993: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/MX alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/NS alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/SOA alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
RRSIG ram-freunde-franken.de/TXT alg 8, id 10779: The Signature Expiration field of the RRSIG RR (2019-03-24 02:00:00+00:00) is 3 days in the past.
de to ram-freunde-franken.de: No valid RRSIGs made by a key corresponding to a DS RR were found covering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone. (37.221.199.199, 46.38.225.225, 188.68.63.68, 2a03:4000:0:1::e1e1, 2a03:4000:2:24b::c7c7, 2a03:4001:0:106::3f44, UDP_-_EDNS0_4096_D_K)


Henere
Mitglied: BassFishFox
BassFishFox 27.03.2019 aktualisiert um 21:50:05 Uhr
Goto Top
Signatur abgelaufen am 24.03.2019.

Hat NetCup keinen Kundendienst?

Ach Du Scheibenkleister. Nur von 10-18:00 telefonisch.


BFF
Mitglied: Henere
Henere 27.03.2019 aktualisiert um 21:52:58 Uhr
Goto Top
Den habe ich gerade angeschrieben. Ich wollte erstmal die Ursache finden. Nicht, dass irgendwo bei mir der Fehler lag / liegt.

Mal schauen, wann und was die antworten.
An anderer Stelle habe ich gelesen, einfach mal DNSSEC ab- und wieder einschalten im Controlpanel. Dann dauert es aber bis zu 48h.

Nervig. Ok, ist nur eine reine Hobbyseite, aber dennoch braucht man sowas nicht auch noch.

Ich setze das mal auf gelöst, die Ursache ist ja gefunden.

Henere

Edit: Die haben auch eine 24h Nummer. Bei der darf man aber erstmal unterschreiben, das man das zahlt, wenn der Mist nicht auf dem eigenen Haufen gewachsen ist. Vorher machen die da nichts. Nicht mal das Problem anhören.
Mitglied: Henere
Henere 27.03.2019 um 21:59:04 Uhr
Goto Top
Und... ich bin nicht der einzige... mein Beitrag im NetCupForum weckt wohl gerade einige auf.

Ich habe gerade mal meine Domains geprüft und bei einer de Domain sind ebenfalls die Keys abgelaufen.

Die letzte Aktualisierung bei der Denic war der 25.2. Die Frage ist jetzt aber natürlich passiert das bei anderen Domains irgendwann auch?
Mitglied: BassFishFox
BassFishFox 27.03.2019 aktualisiert um 22:35:02 Uhr
Goto Top
Ob es nur Deine Seite ist oder auch Andere betrifft, waere meine naechste Frage gewesen. face-big-smile

War da mal nicht was, das irgendwelche Provider verschlafen haben ihre Zertifikate zu erneuern?
Achneeee. Das war ja u.A. das BSI. face-wink

Irgendwas ist bei NetCup schief gewickelt.
Hoffe fuer Dich das der Support von denen sich schnell drum kuemmert. 👍

BFF
Mitglied: Henere
Henere 27.03.2019 um 22:40:21 Uhr
Goto Top
Bisher war ich mit Netcup hochzufrieden. Hab ja nur privaten Kram da.
Aber auch der Support war immer kompetent und schnell. Mal schauen, wie viel da jetzt noch auftaucht....
Ich überprüfe gleich mal meine weiteren Domains.

Henere
Mitglied: Dani
Dani 27.03.2019 um 22:42:00 Uhr
Goto Top
Moin,
Nervig. Ok, ist nur eine reine Hobbyseite, aber dennoch braucht man sowas nicht auch noch.
Das ist wie bei SSL Zertifikaten. Deren Ablauf gehört von einem Monitoring System überwacht und mit einem Schwellwert versehen. Somit verpasst man nichts. Das gehört sich meiner Meinung nach auch für DNSSEC (Beispiel).


Gruß,
Dani
Mitglied: Henere
Henere 27.03.2019 um 22:51:02 Uhr
Goto Top
Zitat von @Dani:

Moin,
Nervig. Ok, ist nur eine reine Hobbyseite, aber dennoch braucht man sowas nicht auch noch.
Das ist wie bei SSL Zertifikaten. Deren Ablauf gehört von einem Monitoring System überwacht und mit einem Schwellwert versehen. Somit verpasst man nichts. Das gehört sich meiner Meinung nach auch für DNSSEC (Beispiel).


Gruß,
Dani

Sowas würde ich eigentlich vom Anbieter erwarten. Bei 6 von 7 Domains mit Fehlern.
Ich kotz gleich im Strahl. Bin gespannt was Netcup dazu schreibt.
Mitglied: LordGurke
LordGurke 27.03.2019 aktualisiert um 23:54:32 Uhr
Goto Top
Zitat von @Dani:
Das ist wie bei SSL Zertifikaten. Deren Ablauf gehört von einem Monitoring System überwacht und mit einem Schwellwert versehen.

Das passiert selbst den besten Profis. Im Oktober zuletzt der DENIC für ihre eigene Domain face-wink

Betreff: [DENICtech-announce-l] DNSSEC Probleme für denic.de | DNSSEC Problems with denic.de
Datum: Fri, 12 Oct 2018 12:44:34 +0200
Von: DENIC Business Services <dbs@denic.de>
Antwort an: dbs@denic.de
Organisation: DENIC eG
An: tech-announce-l@list.denic.de


Liebe Kolleginnen und Kollegen,

Heute, zwischen ca. 11:00 und 12:00 Uhr MESZ, konnten Signaturen von DNSSEC-Anfragen an denic.de nicht korrekt validiert werden.

Grund war eine abgelaufene Signatur. Andere .de-Domains waren NICHT betroffen.

Auch ein Zusammenhang mit dem gestern von ICANN durchgeführten Root KSK Rollover bestand NICHT.

Das Problem wurde inzwischen behoben.

Das hat dann auch nur unwesentliche Dienste wie den WHOIS oder das RRI (Realtime Registration Interface) gestört, die alle unter *.denic.de laufen face-wink
Da bin ich wieder mal ganz glücklich, dass sich mein PowerDNS vollautomagisch intern um den ganzen DNSSEC-Kram für mich kümmert und die Signaturen immer schön aktuell hält...
Mitglied: sabines
sabines 28.03.2019 um 06:49:47 Uhr
Goto Top
Zitat von @Dani:

Das ist wie bei SSL Zertifikaten. Deren Ablauf gehört von einem Monitoring System überwacht und mit einem Schwellwert versehen. Somit verpasst man nichts. Das gehört sich meiner Meinung nach auch für DNSSEC (Beispiel).


Recht hast Du, wobei der Hoster unserer Websiten uns automatisch daran erinnert.
Ok, wir kaufen die paar Zertifikate auch bei ihm und überlassen ihm das "einbauen" face-wink
Mitglied: Henere
Henere 28.03.2019 um 17:19:14 Uhr
Goto Top
Wenn es interessiert,

Netcup hat sich eben zurück gemeldet. Die Fehler sind behoben.
Gründe haben sie keine genannt.
Mitglied: BassFishFox
Lösung BassFishFox 28.03.2019 um 18:03:22 Uhr
Goto Top
Ja ok. face-wink

Mach Dir nun ein schoenes WE Falls Du Zeit dafuer hast. face-wink

BFF
Mitglied: Henere
Henere 28.03.2019 um 20:31:36 Uhr
Goto Top
Zeit ? Ein Frührentner hat nie Zeit. Was ist das ? face-smile

Danke, Dir auch !