13
Unterschiedliche Antworten der beiden DNS Server
Hallo,
ich bräuchte mal Eure Hilfe weil ich mich mit DNS nicht wirklich auskenne.
Ich musst einen CAA Eintrag setzen und bei der Überprüfung ist mir folgendes aufgefallen:
Die beidenAbfragen
dig @ns1.antagus.de. aidenbach.de. CAA
und
dig @ns2.antagus.de. aidenbach.de. CAA
liefern unterschiedliche Ergebnisse.
NS1 hat den CAA-Eintrag korrekt gespeichert.
NS2 antwortet mit dem A Eintrag, als ob der CAA-Eintrag nicht existiert.
IMHO sollten die Anworten identisch sein. Aber was weiß ich schon.
Mein Frage an die DNS Spezialisten: Ist das normal oder sollten die Antworten identisch sein?
Und soll ich meinen DNS Hoster darauf aufmerksam machen?
Danke im Vorraus
Max
ich bräuchte mal Eure Hilfe weil ich mich mit DNS nicht wirklich auskenne.
Ich musst einen CAA Eintrag setzen und bei der Überprüfung ist mir folgendes aufgefallen:
Die beidenAbfragen
dig @ns1.antagus.de. aidenbach.de. CAA
und
dig @ns2.antagus.de. aidenbach.de. CAA
liefern unterschiedliche Ergebnisse.
NS1 hat den CAA-Eintrag korrekt gespeichert.
NS2 antwortet mit dem A Eintrag, als ob der CAA-Eintrag nicht existiert.
IMHO sollten die Anworten identisch sein. Aber was weiß ich schon.
Mein Frage an die DNS Spezialisten: Ist das normal oder sollten die Antworten identisch sein?
Und soll ich meinen DNS Hoster darauf aufmerksam machen?
Danke im Vorraus
Max
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672259
Url: https://administrator.de/forum/unterschiedliche-antworten-der-beiden-dns-server-672259.html
Ausgedruckt am: 08.04.2025 um 06:04 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
bei mir liefert dig und nslookup für beide das gleiche Ergebnis.
Es kann aber immer mal 1-2 Minuten Verzögerung beim übertragen vom Master zum Slave geben.
Stefan
bei mir liefert dig und nslookup für beide das gleiche Ergebnis.
Es kann aber immer mal 1-2 Minuten Verzögerung beim übertragen vom Master zum Slave geben.
Stefan
Moin,
Es kann tatsächlich bis zu 24h andauern, bis DNS-Einträge vollständig propagiert wurden.
-> abwarten. Wie hast Du die TTL gesetzt?
Gruß
Es kann tatsächlich bis zu 24h andauern, bis DNS-Einträge vollständig propagiert wurden.
-> abwarten. Wie hast Du die TTL gesetzt?
Gruß
2
Also ich bekomme auch beim 2. nur den A-Eintrag. Wo hostest du die DNS? Bei hetzner kann man das Update forcieren, bei deinem Anbieter vielleicht auch? Ansonsten einfach abwarten auch wenns blöd ist.
Danke für Eure schnellen Antworten.
Und das Ergebnis erstaunt mich nun schon wieder.
Die Einträge sind bereits seit langem gesetzt.
Die TTL (beim CAA) ist auf 3600 gesetzt. (beim A auf 14400)
Die Propagationszeit dürfte nicht das Problem sein.
Nun, bei mir sieht das so aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
openhabian@openhabian3:/home/openhabian# dig @ns1.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.16.50-Debian <<>> @ns1.antagus.de. aidenbach.de. CAA
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2046
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1680
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 3600 IN CAA 0 issue "letsencrypt.org"
;; Query time: 28 msec
;; SERVER: 195.191.92.10#53(195.191.92.10)
;; WHEN: Mon Mar 31 16:46:59 CEST 2025
;; MSG SIZE rcvd: 75
openhabian@openhabian3:/home/openhabian# dig @ns2.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.16.50-Debian <<>> @ns2.antagus.de. aidenbach.de. CAA
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7918
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 14400 IN A 188.94.248.9
;; Query time: 20 msec
;; SERVER: 195.191.93.10#53(195.191.93.10)
;; WHEN: Mon Mar 31 16:47:18 CEST 2025
;; MSG SIZE rcvd: 57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Interpretiere ich das falsch oder hab ich hier einen ganz anderen Fehler?
Und das Ergebnis erstaunt mich nun schon wieder.
Die Einträge sind bereits seit langem gesetzt.
Die TTL (beim CAA) ist auf 3600 gesetzt. (beim A auf 14400)
Die Propagationszeit dürfte nicht das Problem sein.
Nun, bei mir sieht das so aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
openhabian@openhabian3:/home/openhabian# dig @ns1.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.16.50-Debian <<>> @ns1.antagus.de. aidenbach.de. CAA
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2046
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1680
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 3600 IN CAA 0 issue "letsencrypt.org"
;; Query time: 28 msec
;; SERVER: 195.191.92.10#53(195.191.92.10)
;; WHEN: Mon Mar 31 16:46:59 CEST 2025
;; MSG SIZE rcvd: 75
openhabian@openhabian3:/home/openhabian# dig @ns2.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.16.50-Debian <<>> @ns2.antagus.de. aidenbach.de. CAA
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7918
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 14400 IN A 188.94.248.9
;; Query time: 20 msec
;; SERVER: 195.191.93.10#53(195.191.93.10)
;; WHEN: Mon Mar 31 16:47:18 CEST 2025
;; MSG SIZE rcvd: 57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Interpretiere ich das falsch oder hab ich hier einen ganz anderen Fehler?
Moin,
falsche Ausgabe bei ns2.antagus.de
Dann hat der DNS-Server evtl. ein Problem oder darf nicht mehr richtig mitspielen.
Wenns Dir wichtig ist, kannst ja ein Supportticket bei deinem Provider einkippen und nachfragen.
Wobei es groß nicht stören sollte, die Rootserver wissen bescheid:
www.digwebinterface.com/?hostnames=aidenbach.de&type=CAA&useresolver=9.9.9.10&ns=all
Gruß
Die Einträge sind bereits seit langem gesetzt.
+falsche Ausgabe bei ns2.antagus.de
Dann hat der DNS-Server evtl. ein Problem oder darf nicht mehr richtig mitspielen.
Wenns Dir wichtig ist, kannst ja ein Supportticket bei deinem Provider einkippen und nachfragen.
Wobei es groß nicht stören sollte, die Rootserver wissen bescheid:
www.digwebinterface.com/?hostnames=aidenbach.de&type=CAA&useresolver=9.9.9.10&ns=all
Gruß
Die Verbreitung der neuen Einträge kann dauern, selbst innerhalb einer Domâne
Versuch mal z.B
https://www.whatsmydns.net/
Oder z.B. mit der Android App "DR Net Tools"
Versuch mal z.B
https://www.whatsmydns.net/
Oder z.B. mit der Android App "DR Net Tools"
Zitat von @max951:
Hallo,
ich bräuchte mal Eure Hilfe weil ich mich mit DNS nicht wirklich auskenne.
Ich musst einen CAA Eintrag setzen und bei der Überprüfung ist mir folgendes aufgefallen:
Die beidenAbfragen
dig @ns1.antagus.de. aidenbach.de. CAA
und
dig @ns2.antagus.de. aidenbach.de. CAA
liefern unterschiedliche Ergebnisse.
NS1 hat den CAA-Eintrag korrekt gespeichert.
NS2 antwortet mit dem A Eintrag, als ob der CAA-Eintrag nicht existiert.
IMHO sollten die Anworten identisch sein. Aber was weiß ich schon.
Hallo,
ich bräuchte mal Eure Hilfe weil ich mich mit DNS nicht wirklich auskenne.
Ich musst einen CAA Eintrag setzen und bei der Überprüfung ist mir folgendes aufgefallen:
Die beidenAbfragen
dig @ns1.antagus.de. aidenbach.de. CAA
und
dig @ns2.antagus.de. aidenbach.de. CAA
liefern unterschiedliche Ergebnisse.
NS1 hat den CAA-Eintrag korrekt gespeichert.
NS2 antwortet mit dem A Eintrag, als ob der CAA-Eintrag nicht existiert.
IMHO sollten die Anworten identisch sein. Aber was weiß ich schon.
Du mußt den Servern auch Zeit lassen die Einträge zu synchronisieren.
Zumindest hier antworten Deine beiden Server sowohl über v4 als auch über v6 das gleiche.
...
aidenbach.de. 14400 IN A 188.94.248.9
...
aidenbach.de. 3600 IN CAA 0 issue "letsencrypt.org"
...
lks
Beide Server sehen zumindest jetzt synchron aus, die Seriennummer ist identisch:
Im Moment antworten mir beide auch identisch:
Wenn Antagus/Vautron da mit klassischer DNS-Replikation arbeitet und kein NOTIFY einsetzen, kann es schlechtestenfalls laut dem im SOA stehenden Refresh-Intervall von 10800 Sekunden (3h) entsprechend diese Zeit dauern, bis Einträge vom Master synchronisiert werden.
Es kann zusätzlich ein Packet-Cache (z.B. in einem DNS-Proxy) davor stehen, der dir unabhängig von TTL-Werten mit veralteten Daten antwortet.
Der SOA-Record hat eine TTL von 14400 Sekunden (4h), die dann zusätzlich als "Negative Cache" für alle Resolver gilt, die diesen Eintrag abgefragt und eine negative Antwort erhalten haben.
Und grundsätzlich: DNS-Einträge werden nicht "propagiert" oder "verbreiten sich", die werden abgerufen und liegen dann in einem Cache des genutzten Recursors/Resolvers, bis dieser abläuft. Entsprechend der TTL der Einträge (im Falle negativer Antworten die TTL des SOA-Record) dauert es dann halt, bis der Eintrag verfällt und bei neuerlicher Abfrage dann neu abgerufen wird.
$ dig +short @ns1.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600
$ dig +short @ns2.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600
Serial -------^Im Moment antworten mir beide auch identisch:
$ dig +short @ns1.antagus.de. aidenbach.de. CAA
0 issue "letsencrypt.org" Wenn Antagus/Vautron da mit klassischer DNS-Replikation arbeitet und kein NOTIFY einsetzen, kann es schlechtestenfalls laut dem im SOA stehenden Refresh-Intervall von 10800 Sekunden (3h) entsprechend diese Zeit dauern, bis Einträge vom Master synchronisiert werden.
Es kann zusätzlich ein Packet-Cache (z.B. in einem DNS-Proxy) davor stehen, der dir unabhängig von TTL-Werten mit veralteten Daten antwortet.
Der SOA-Record hat eine TTL von 14400 Sekunden (4h), die dann zusätzlich als "Negative Cache" für alle Resolver gilt, die diesen Eintrag abgefragt und eine negative Antwort erhalten haben.
Und grundsätzlich: DNS-Einträge werden nicht "propagiert" oder "verbreiten sich", die werden abgerufen und liegen dann in einem Cache des genutzten Recursors/Resolvers, bis dieser abläuft. Entsprechend der TTL der Einträge (im Falle negativer Antworten die TTL des SOA-Record) dauert es dann halt, bis der Eintrag verfällt und bei neuerlicher Abfrage dann neu abgerufen wird.
1
Nachtrag dazu:
Spannend, wenn ich explizit per IPv4 frage bekomme ich ebenfalls die exakt selbe SOA-Serial von beiden Servern, aber eine fehlerhafte Antwort:
Interessanterweise sind die Antworten des ns2 in mehrerer Hinsicht unterschiedlich:
Der IPv4-Server liefert keine Identifikation im "NSID"-Feld mit, bei IPv6 geht es.
Ebenfalls antwortet er nicht auf
, gleiches mit der Frage nach "id.server", per IPv6 bekomme ich da Antworten.
Die Tatsache, dass der Server bei der Frage nach "CAA" offenbar einen "A"-Record ausliefert, lässt darauf schließen, dass da irgendeine uralte Software läuft, die kein CAA kennt. Oder ein kaputter Proxy davor steht.
Spannend, wenn ich explizit per IPv4 frage bekomme ich ebenfalls die exakt selbe SOA-Serial von beiden Servern, aber eine fehlerhafte Antwort:
$ dig -6 +short @ns1.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600
$ dig -4 +short @ns1.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600
$ dig -6 +short @ns2.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600
dig -4 +short @ns2.antagus.de. aidenbach.de. SOA
ns1.antagus.de. root.ns1.antagus.de. 1741075515 10800 3600 604800 3600Interessanterweise sind die Antworten des ns2 in mehrerer Hinsicht unterschiedlich:
$ dig -4 +nsid @ns2.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.20.7 <<>> -4 +nsid @ns2.antagus.de. aidenbach.de. CAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14043
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 14400 IN A 188.94.248.9
;; Query time: 12 msec
;; SERVER: 195.191.93.10#53(ns2.antagus.de.) (UDP)
;; WHEN: Mon Mar 31 17:27:04 CEST 2025
;; MSG SIZE rcvd: 57
# -------------------------------------------------------------
$ dig -6 +nsid @ns2.antagus.de. aidenbach.de. CAA
; <<>> DiG 9.20.7 <<>> -6 +nsid @ns2.antagus.de. aidenbach.de. CAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51839
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1680
; NSID: 6e 73 32 2d 31 30 47 ("ns2-10G")
;; QUESTION SECTION:
;aidenbach.de. IN CAA
;; ANSWER SECTION:
aidenbach.de. 3600 IN CAA 0 issue "letsencrypt.org"
;; Query time: 12 msec
;; SERVER: 2001:67c:2394:3::1001#53(ns2.antagus.de.) (UDP)
;; WHEN: Mon Mar 31 17:27:22 CEST 2025
;; MSG SIZE rcvd: 86Der IPv4-Server liefert keine Identifikation im "NSID"-Feld mit, bei IPv6 geht es.
Ebenfalls antwortet er nicht auf
dig -4 @ns2.antagus.de. -c CH -t TXT version.bind.Die Tatsache, dass der Server bei der Frage nach "CAA" offenbar einen "A"-Record ausliefert, lässt darauf schließen, dass da irgendeine uralte Software läuft, die kein CAA kennt. Oder ein kaputter Proxy davor steht.
1Zitat von @LordGurke:
Nachtrag dazu:
Spannend, wenn ich explizit per IPv4 frage bekomme ich ebenfalls die exakt selbe SOA-Serial von beiden Servern, aber eine fehlerhafte Antwort:
Nachtrag dazu:
Spannend, wenn ich explizit per IPv4 frage bekomme ich ebenfalls die exakt selbe SOA-Serial von beiden Servern, aber eine fehlerhafte Antwort:
Stimmt. So genau habe ich nicht alle Kombinatione durchprobiert., daher fiel mir das zuerst nicht auf. Da scheint es tatsächlich diskrepanzen zwischen v4 und v6 zu geben. eventuell zeigt die v6-Adresse gar auf einen anderen Server als die v4-Adresse.
lks
TO könnte dem Zonemaster unter root@ns1.antagus.de schreiben, dass der da mal vor treten soll 
1
Sehr vielen Dank für Eure schnellen Antworten und Analysen.
Wie gesagt, vieles von dem was da steht verstehe ich nur Ansatzweise (schlimmstenfalls missinterpretiere ich es auch noch [Stichwort: Propagation]
Für Euch noch mal zu genaueren Erklärung.
Der CAA Eintrag den ich letzte Woche neu gesetzt habe war für die Domain paul-metallbau.de.
Da ist mir dann das seltsame Verhalten des NS2 aufgefallen.
Dann habe ich das (um Caching usw. auszuschließen) mit der "alten" Domain aidenbach.de nachvollzogen.
Die Namenseinträge der Domain aidenbach.de habe ich seit langem nicht mehr angefasst. Den CAA schon gar nicht. Ich kann mich nicht mal dran erinnern, da mal einen gesetzt zu haben :-o
Damit habe ich für mich das Thema Cache und Replikationszeiten ausgeschlossen.
An sich läuft auch seit Jahren alles reibungslos. Nur manchmal werden einzelne LE Zertifikate nicht automatisch erneuert. (Die Web-Server laufen bei Mittwald) Um eine Zahl zu nennen: Ich habe hier ca. 120 Domains und 1-2 mal pro Jahr tritt bei unterschiedlichen Domains das Problem mit abgelaufenen Zertifikaten auf.
Da dachte ich, es könnte evtl. dieses DNS Problem verursachen. Kann natürlich auch was anderes sein.
Ich schau mal was Antagus/Vautron dazu sagt.
Ein Ticket ist eingeworfen.
Und nochmal sehr großen Dank für Eure Unterstützung.
Ihr habt mir sehr geholfen und ich wieder etliches gelernt.
Viele Grüße
Max
Wie gesagt, vieles von dem was da steht verstehe ich nur Ansatzweise (schlimmstenfalls missinterpretiere ich es auch noch [Stichwort: Propagation]
Für Euch noch mal zu genaueren Erklärung.
Der CAA Eintrag den ich letzte Woche neu gesetzt habe war für die Domain paul-metallbau.de.
Da ist mir dann das seltsame Verhalten des NS2 aufgefallen.
Dann habe ich das (um Caching usw. auszuschließen) mit der "alten" Domain aidenbach.de nachvollzogen.
Die Namenseinträge der Domain aidenbach.de habe ich seit langem nicht mehr angefasst. Den CAA schon gar nicht. Ich kann mich nicht mal dran erinnern, da mal einen gesetzt zu haben :-o
Damit habe ich für mich das Thema Cache und Replikationszeiten ausgeschlossen.
An sich läuft auch seit Jahren alles reibungslos. Nur manchmal werden einzelne LE Zertifikate nicht automatisch erneuert. (Die Web-Server laufen bei Mittwald) Um eine Zahl zu nennen: Ich habe hier ca. 120 Domains und 1-2 mal pro Jahr tritt bei unterschiedlichen Domains das Problem mit abgelaufenen Zertifikaten auf.
Da dachte ich, es könnte evtl. dieses DNS Problem verursachen. Kann natürlich auch was anderes sein.
Ich schau mal was Antagus/Vautron dazu sagt.
Ein Ticket ist eingeworfen.
Und nochmal sehr großen Dank für Eure Unterstützung.
Ihr habt mir sehr geholfen und ich wieder etliches gelernt.
Viele Grüße
Max
