Die Mitgliedschaft ist KOSTENLOS und bietet allen registrierten Nutzern unbegrenzten Zugriff auf alle Funktionen, Ressourcen und Tools von ConsultDomain.de! Optionale Mitgliedschaftsupgrades schalten exklusive Vorteile frei, wie Profil-Signaturen mit Links, Bannerplatzierungen, Erwähnungen im wöchentlichen Newsletter und vieles mehr – individuell angepasst an Ihr Mitgliedschaftslevel!
Denic Probleme?
- Ersteller Sunblind
- Erstellt am
So langsam habens auch die Newsportale gemerkt
Google News: DNS-Probleme: Zahlreiche Internetseit...
Google News: DNS-Probleme: Zahlreiche Internetseit...
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
Laut Denic ist alle wieder IO. Jedoch läuft gerade ein Zonefile von heute 11 Uhr.
Das aktuelle Zonefile wird gleich nachgespielt.
Das aktuelle Zonefile wird gleich nachgespielt.
domainer
New member
- Registriert
- 19. Jan. 2007
- Beiträge
- 1.879
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
el_eddie: RT @Bako13: Lasst mich raten, Marcel Davis ist bei der Denic und bleibt solange,bis das Problem behoben ist.
-------
schmidtmarc: looooooooooooooooool RT @RS_muc: Chuck Norris braucht keine Nameserver! Er kennt alle IP-Adressen auswendig!
-------
schmidtmarc: looooooooooooooooool RT @RS_muc: Chuck Norris braucht keine Nameserver! Er kennt alle IP-Adressen auswendig!
firstlevel
New member
- Registriert
- 03. März 2004
- Beiträge
- 2.045
Heute hätte ich es auch nicht gebrauchen können. In Amiland hätte man die jetzt bestimmt auf Milliarden verklagen können. Nein aber mal im Ernst, kann man sowas nicht Nachts machen?
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
War doch keine geplante Wartung?
Zudem gibt es genügend Leute die Nachts arbeiten, die würden die gleiche Aussage nur mit Tags schreiben. Wir kommen da also auf keinen gemeinsamen Nenner.
Malte
DomainRegistrar
New member
- Registriert
- 16. Apr. 2009
- Beiträge
- 6
Viele Seiten sind aus dem Ausland leider immer noch nicht erreichbar und Neuregistrierungen oder Transfer immer noch nicht möglich. Weiss irgendjemand wie lange noch?
--------------------------------------------------
>> Bitte keine "Pseudo-Signatur" erstellen. Signatur kann nach 20 Postings/ 10 Tagen eingerichtet werden << Timo
--------------------------------------------------
>> Bitte keine "Pseudo-Signatur" erstellen. Signatur kann nach 20 Postings/ 10 Tagen eingerichtet werden << Timo
Zuletzt bearbeitet von einem Moderator:
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
Also Registrierungen und Transfers sollten wieder einwandfrei laufen.
Kam gerade über den Presseverteiler der Denic:
Liebe Kolleginnen und Kollegen,
wie angekündigt, möchten wir Sie über die Hintergründe des Ausfalls des
Name-Service für .de-Domains am vergangenen Mittwoch im Folgenden
detailliert informieren. Antworten auf die häufigsten Fragen in diesem
Zusammenhang haben wir für Sie in dem angehängten FAQ-Dokument
zusammengefasst.
Ablauf und Auswirkungen
Ab ca. 13:30 Uhr (MESZ) am Mittwoch den 12.5.2010 war DENIC mit dem Bild
konfrontiert, dass, je nach Standort und angefragter Domain, Anwender
teilweise die falsche Antwort „Domain existiert nicht“ erhielten. In
diesem Fall waren die davon betroffenen .de-Domains für den betroffenen
Anwender nicht über ihre Domainadressierung erreichbar und E-Mails aus
bzw. zu diesen Adressen wurden dann abgewiesen oder nicht gesendet.
Hintergrund dafür war, dass im Rahmen der regelmäßigen 2-stündigen
Aktualisierung der Nameservicedaten auf 12 der 16 Servicestandorte durch
einen unterbrochenen Kopiervorgang die Verteilung einer nicht
vollständigen Aktualisierung (sog. Zonendatei) angestoßen wurde.
Das unmittelbar eingesetzte Notfallteam hat den Fehler analysiert und
daraufhin beginnend um 14:20 Uhr die fehlerhaft antwortenden Standorte
abgeschaltet. Da nicht unmittelbar klar war, ob die Zone aufgrund eines
fehlerhaften Bestands in der Datenbank oder aufgrund eines Fehlers im
Generierungsprozess defekt war und die Registrierungssysteme aufgrund der
ungewöhnlich hohen Registrierungsversuche für vermeintlich freie Domains
unter großer Last standen, wurden diese zudem temporär angehalten.
Ab 14:30 Uhr wurden die abgeschalteten Standorte sukzessive mit einer
vollständigen Zonendatei versorgt und wieder in den Nameserververbund
aufgenommen. Wegen des Datenvolumens und der weltweiten Verteilung der
Standorte dauerte der Gesamtvorgang zu der vollständigen Neuverteilung und
des anschließenden Neustarts aller betroffenen Servicestandorte bis ca.
15:45 Uhr. Damit war der vollständige Service seitens DENIC nun mit seinem
vollständigen Leistungsvolumen wiederhergestellt.
Für die Internetanwender könnte es jedoch wegen des Cachings bei den ISPs
teilweise noch bis zu 2 Stunden danach zu Beeinträchtigungen gekommen
sein.
Folgeschritte werden nach der weiteren Detailanalyse eingeleitet.
Technische Details
Die aus der Registrierungsdatenbank erzeugte Zonendatei wird vor der
Inbetriebnahme auf den weltweiten Standorten gleich mehrfach auf
Vollständigkeit und Plausibilität geprüft. Diese Prüfungen sind auch mit
der betroffenen Zonendatei erfolgreich durchlaufen worden und haben dazu
geführt, dass vier Standorte nicht mit einer falschen Zonendatei versorgt
wurden sowie, dass der Frankfurter IPv6 DNS Standort und das DNSSEC
Testbed unberührt blieben.
Im Rahmen des Projektes zur Erneuerung der Nameserverinfrastruktur jedoch,
wurde insbesondere auch das Konzept der Zonenverteilung neu aufgesetzt.
Nach dem Prüfen der korrekten Erzeugung der Zonendatei und der Prüfung der
korrekten Übertragung der Zonendatei zum Zonenverteilserver wird die Zone
nach diesem neuen Konzept vor der Verteilung auf die einzelnen Standorte
nochmals kopiert. Dieser Kopiervorgang brach mit ca. nur einem Drittel der
Datensätze fehlerhaft ab.
Zwar sollte auch dieser Vorgang abgesichert sein, der
Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet,
so dass im Effekt der Kopierfehler nicht entdeckt und der
Weiterverarbeitungsprozess nicht angehalten wurde.
Entsprechend steht der Vorgang in keinem direkten Zusammenhang mit dem am
Dienstag zuvor durchgeführten Umzug des Rechenzentrumsbetriebs für die
Registrierungsdienste von Amsterdam nach Frankfurt. Gleichermaßen gibt es
ebenfalls keinen Zusammenhang mit dem DNSSEC Testbed, noch waren Services
für Kooperationspartner, betriebene Secondaries für andere TLDs oder wären
Services des Anycast-Angebots für Dritte TLDs betroffen gewesen.
Mit freundlichen Grüßen
Beate Schulz
Pressereferat
Liebe Kolleginnen und Kollegen,
wie angekündigt, möchten wir Sie über die Hintergründe des Ausfalls des
Name-Service für .de-Domains am vergangenen Mittwoch im Folgenden
detailliert informieren. Antworten auf die häufigsten Fragen in diesem
Zusammenhang haben wir für Sie in dem angehängten FAQ-Dokument
zusammengefasst.
Ablauf und Auswirkungen
Ab ca. 13:30 Uhr (MESZ) am Mittwoch den 12.5.2010 war DENIC mit dem Bild
konfrontiert, dass, je nach Standort und angefragter Domain, Anwender
teilweise die falsche Antwort „Domain existiert nicht“ erhielten. In
diesem Fall waren die davon betroffenen .de-Domains für den betroffenen
Anwender nicht über ihre Domainadressierung erreichbar und E-Mails aus
bzw. zu diesen Adressen wurden dann abgewiesen oder nicht gesendet.
Hintergrund dafür war, dass im Rahmen der regelmäßigen 2-stündigen
Aktualisierung der Nameservicedaten auf 12 der 16 Servicestandorte durch
einen unterbrochenen Kopiervorgang die Verteilung einer nicht
vollständigen Aktualisierung (sog. Zonendatei) angestoßen wurde.
Das unmittelbar eingesetzte Notfallteam hat den Fehler analysiert und
daraufhin beginnend um 14:20 Uhr die fehlerhaft antwortenden Standorte
abgeschaltet. Da nicht unmittelbar klar war, ob die Zone aufgrund eines
fehlerhaften Bestands in der Datenbank oder aufgrund eines Fehlers im
Generierungsprozess defekt war und die Registrierungssysteme aufgrund der
ungewöhnlich hohen Registrierungsversuche für vermeintlich freie Domains
unter großer Last standen, wurden diese zudem temporär angehalten.
Ab 14:30 Uhr wurden die abgeschalteten Standorte sukzessive mit einer
vollständigen Zonendatei versorgt und wieder in den Nameserververbund
aufgenommen. Wegen des Datenvolumens und der weltweiten Verteilung der
Standorte dauerte der Gesamtvorgang zu der vollständigen Neuverteilung und
des anschließenden Neustarts aller betroffenen Servicestandorte bis ca.
15:45 Uhr. Damit war der vollständige Service seitens DENIC nun mit seinem
vollständigen Leistungsvolumen wiederhergestellt.
Für die Internetanwender könnte es jedoch wegen des Cachings bei den ISPs
teilweise noch bis zu 2 Stunden danach zu Beeinträchtigungen gekommen
sein.
Folgeschritte werden nach der weiteren Detailanalyse eingeleitet.
Technische Details
Die aus der Registrierungsdatenbank erzeugte Zonendatei wird vor der
Inbetriebnahme auf den weltweiten Standorten gleich mehrfach auf
Vollständigkeit und Plausibilität geprüft. Diese Prüfungen sind auch mit
der betroffenen Zonendatei erfolgreich durchlaufen worden und haben dazu
geführt, dass vier Standorte nicht mit einer falschen Zonendatei versorgt
wurden sowie, dass der Frankfurter IPv6 DNS Standort und das DNSSEC
Testbed unberührt blieben.
Im Rahmen des Projektes zur Erneuerung der Nameserverinfrastruktur jedoch,
wurde insbesondere auch das Konzept der Zonenverteilung neu aufgesetzt.
Nach dem Prüfen der korrekten Erzeugung der Zonendatei und der Prüfung der
korrekten Übertragung der Zonendatei zum Zonenverteilserver wird die Zone
nach diesem neuen Konzept vor der Verteilung auf die einzelnen Standorte
nochmals kopiert. Dieser Kopiervorgang brach mit ca. nur einem Drittel der
Datensätze fehlerhaft ab.
Zwar sollte auch dieser Vorgang abgesichert sein, der
Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet,
so dass im Effekt der Kopierfehler nicht entdeckt und der
Weiterverarbeitungsprozess nicht angehalten wurde.
Entsprechend steht der Vorgang in keinem direkten Zusammenhang mit dem am
Dienstag zuvor durchgeführten Umzug des Rechenzentrumsbetriebs für die
Registrierungsdienste von Amsterdam nach Frankfurt. Gleichermaßen gibt es
ebenfalls keinen Zusammenhang mit dem DNSSEC Testbed, noch waren Services
für Kooperationspartner, betriebene Secondaries für andere TLDs oder wären
Services des Anycast-Angebots für Dritte TLDs betroffen gewesen.
Mit freundlichen Grüßen
Beate Schulz
Pressereferat
Außerdem als PDF im Anhang:
FAQs
Sind Domains gelöscht worden?
Nein. Es gab keine Domainlöschungen, sämtliche Domains sind unverändert im Registrierungsdatenbestand
der DENIC erhalten geblieben. Aus diesem Datenbestand wird in regelmäßigen Abständen eine sogenannte
Zonendatei mit technischen Informationen (DNS-Daten) erzeugt, die von den Nameservern verbreitet werden.
Ausschließlich bei der Verbreitung kam es zu Problemen.
Wie viele und welche Domains waren betroffen?
Die betroffene Zonenversion 2010051253 (erstellt um 13:09 Uhr) enthielt Daten zu allen .de-Domains
(13672644).
Nach der Aktualisierung der Nameserver, haben jedoch einige der Nameserver lediglich für 3837256 Domains
korrekte Daten geliefert.
Für alle anderen Domains wurde fälschlich die Nichtexistenz behauptet (sog. NXDOMAIN-Antwort).
Waren andere Auskunftsdienste der DENIC betroffen
Nein. Da der Domaindatenbestand bei der DENIC nicht betroffen war, lieferten die Auskunftssysteme der
DENIC (whois , Domainabfrage und Domaincheck) durchgehend korrekte Antworten.
Wie konkret lassen sich die Auswirkungen beschreiben?
Da nicht alle .de-Nameserver fehlerhafte Antworten gegeben haben und auch nicht jede Namensauflösung
einer .de-Domain überhaupt eine Anfrage an diese Nameserver der DENIC auslöst, ist nicht unbedingt jeder
Anwender, und diese nicht bei jedem Aufruf (etwa einer Webseite), betroffen gewesen. Das Domain Name
System (DNS) setzt sehr stark auf Zwischenspeicher (Caches), wodurch abhängig von vorherigen Versuchen,
eine Domain zu nutzen, korrekte Daten unter Umständen bereits vorhanden waren. Ohne solche
vorhandenen Daten erhielt der betroffene Anwender, abhängig vom genutzten Dienst (Web, Mail, andere) den
Hinweis, die Domain existiere nicht bzw. sei falsch geschrieben worden.
Welchen Einfluss haben NXDOMAIN-Antworten auf Webanwendungen?
Die im Webbrowser aufgerufenen Domains führen zu einer Fehlerseite der Anwendung, die in der Regel
darauf hinweist, die Domain existiere nicht oder sei falsch geschrieben worden. Je nach Anwendung und
Umgebung kann eine solche Domain auch als "frei" oder "verfügbar" gemeldet worden sein, was allerdings
nicht den Tatsachen entsprach. Es ist je nach Internet Service Provider auch nicht auszuschließen, dass
Webnutzer auf Suchmasken oder Portalseiten umgelenkt wurden.
Welchen Einfluss haben NXDOMAIN-Antworten auf die Mailzustellung?
E-Mails werden unter Umständen nicht zugestellt oder können als Spam eingestuft werden, wenn die
Absenderadresse angeblich nicht existiert.
Wenn die Domain in der Zieladresse von den fälschlich gegebenen "NXDOMAIN"-Antworten betroffen war,
hat das die gleiche Wirkung wie ein Schreib- oder Übermittlungsfehler, bei dem man eine nicht existierende
Domain verwendet. Das heißt, dass E-Mails nicht "verloren" gehen, sondern der Absender in der Regel eine
Nachricht darüber erhält, dass die E-Mail nicht zugestellt werden konnte.
"In der Regel" deshalb, weil das erstens ein protokollkonformes Mailsystem voraussetzt und zweitens auch
nur dann funktioniert, wenn die Mails an den Absender zugestellt werden können (der dasselbe Problem
haben könnte).
Diese Zustellung an den Absender wiederum wird im Allgemeinen sehr wohl möglich sein, weil ein lokales
Mailsystem, das im Auftrag des Absenders die Mail (in diesem Fall erfolglos) weiterzuleiten versucht, den
Absender eben sinnvollerweise auch ohne Zugriff auf externe Systeme identifizieren und erreichen kann.
Es besteht außerdem die Möglichkeit, dass der Empfänger aus Gründen der Spambekämpfung die
Absenderadresse validiert und dann die Auskunft, die Domain des Absenders existiere nicht, zu einer
negativen Bewertung führt, in Folge derer die Mail abgewiesen wird. Auch in diesem Fall sollte der Absender
einen Hinweis auf die fehlgeschlagene Zustellung erhalten haben.
Welche weiteren Auswirkungen könnte es gegeben haben?
Das DNS ist ein wichtiger Baustein des Internet, auf dem viele weitere Dienste aufbauen. Es waren daher
wahrscheinlich auch weitere Dienste, wie z.B. SIP, betroffen. Es ist kaum möglich, alle potenziell denkbaren
Auswirkungen vollständig aufzuzählen. Daher haben wir uns in den FAQs auf die wichtigsten konzentriert.
Welche Nameserver waren von der Störung betroffen?
12 von 16 Standorten der Nameserver für .de haben die beschriebenen fehlerhaften NXDOMAIN-Antworten
gegeben. Die Server "s.de.net" sowie "c.de.net" waren zu keiner Zeit betroffen. Der IPv6-Nameserver in
Frankfurt (f.nic.de) hat immer korrekt geantwortet.
Waren die NXDOMAIN-Antworten eine Folge des Umzugs der DENIC-Infrastruktur?
Nein. Die DENIC betreibt zwei jeweils redundante Rechenzentren an den Standorten Amsterdam und
Frankfurt/Main. Am 11.5. fand eine planmäßige Umschaltung des aktiven Rechenzentrums von Amsterdam
nach Frankfurt statt. Da nicht auszuschließen war, dass im Rahmen dieser Umschaltung die von diesen
Registrierungsrechenzentren (RSL, Registry Service Location) angebotenen Dienste kurze Unterbrechungen
erfahren, wurde diese Umschaltung öffentlich angekündigt Fehler 404: www.denic.de
mailinglisten/public-l.html?url=msg04446.xml.
Der Nameservice wird an weltweit 16 Standorten, darunter ebenfalls Amsterdam und Frankfurt, erbracht und
ist in separaten Einheiten organisiert. Insofern war der Nameservice nicht von der Umschaltung der RSL
betroffen.
War DNSSEC beteiligt?
Nein. DNSSEC ist eine Protokollerweiterung des DNS, die gegen bestimmte Formen der Datenfälschung
Schutz bietet (s.u.). Die DENIC betreibt aktuell ein DNSSEC-Testbed zur Erprobung dieser Technologie.
Dazu wird auf einer separaten Infrastruktur eine signierte Version der .de-Zone angeboten. Die produktive
.de-Zone ist nicht mit DNSSEC signiert und ein Einfluss des Testbeds auf die Produktionsumgebung ist
ausgeschlossen. Die fehlerhaften Antworten stehen in keinerlei Zusammenhang mit DNSSEC.
Hätte DNSSEC geholfen?
Nein. Die Protokollerweiterung DNSSEC schützt die DNS-Daten insbesondere auf dem Weg von den
autoritativen Nameservern, wie sie die DENIC betreibt, zu den Resolvern und Endsystemen gegen
Verfälschung. DNSSEC ist nicht geeignet, Fehler bei der initialen Verteilung der Daten zu den Nameservern
zu erkennen oder zu verhindern.
Wurden Anfragen aufgrund der „NXDOMAIN“-Antwort umgelenkt?
Je nach Internet Service Provider ist dies nicht auszuschließen.
Können auch Domains in anderen Topleveldomains (.com, .net, .eu, ...) von der Störung betroffen
gewesen sein?
Grundsätzlich waren andere Topleveldomains nicht betroffen.
Das Domain Name System ist jedoch ein weit verzweigtes, verteiltes und redundantes System, bei dem zur
Namensauflösung pro Domain mehrere Nameserver eingesetzt werden. Sollte eine Domain ausschließlich
über Nameserver bedient werden, die von dieser Störung betroffen waren, besteht die Möglichkeit, dass für
diese Domain keine Daten (Adressen von Web- oder Mailservern etc) ermittelt werden konnten. Das kann
auch zur Nichterreichbarkeit von Diensten geführt haben.
Waren weitere Ausfälle am 13.5. Folge der Störung des de-Nameservice?
Nein. Das unter Routingprobleme am Vatertag | 1&1 Blog beschriebene Problem war unabhängig
von den hier thematisierten DNS-Störungen.
FAQs
Sind Domains gelöscht worden?
Nein. Es gab keine Domainlöschungen, sämtliche Domains sind unverändert im Registrierungsdatenbestand
der DENIC erhalten geblieben. Aus diesem Datenbestand wird in regelmäßigen Abständen eine sogenannte
Zonendatei mit technischen Informationen (DNS-Daten) erzeugt, die von den Nameservern verbreitet werden.
Ausschließlich bei der Verbreitung kam es zu Problemen.
Wie viele und welche Domains waren betroffen?
Die betroffene Zonenversion 2010051253 (erstellt um 13:09 Uhr) enthielt Daten zu allen .de-Domains
(13672644).
Nach der Aktualisierung der Nameserver, haben jedoch einige der Nameserver lediglich für 3837256 Domains
korrekte Daten geliefert.
Für alle anderen Domains wurde fälschlich die Nichtexistenz behauptet (sog. NXDOMAIN-Antwort).
Waren andere Auskunftsdienste der DENIC betroffen
Nein. Da der Domaindatenbestand bei der DENIC nicht betroffen war, lieferten die Auskunftssysteme der
DENIC (whois , Domainabfrage und Domaincheck) durchgehend korrekte Antworten.
Wie konkret lassen sich die Auswirkungen beschreiben?
Da nicht alle .de-Nameserver fehlerhafte Antworten gegeben haben und auch nicht jede Namensauflösung
einer .de-Domain überhaupt eine Anfrage an diese Nameserver der DENIC auslöst, ist nicht unbedingt jeder
Anwender, und diese nicht bei jedem Aufruf (etwa einer Webseite), betroffen gewesen. Das Domain Name
System (DNS) setzt sehr stark auf Zwischenspeicher (Caches), wodurch abhängig von vorherigen Versuchen,
eine Domain zu nutzen, korrekte Daten unter Umständen bereits vorhanden waren. Ohne solche
vorhandenen Daten erhielt der betroffene Anwender, abhängig vom genutzten Dienst (Web, Mail, andere) den
Hinweis, die Domain existiere nicht bzw. sei falsch geschrieben worden.
Welchen Einfluss haben NXDOMAIN-Antworten auf Webanwendungen?
Die im Webbrowser aufgerufenen Domains führen zu einer Fehlerseite der Anwendung, die in der Regel
darauf hinweist, die Domain existiere nicht oder sei falsch geschrieben worden. Je nach Anwendung und
Umgebung kann eine solche Domain auch als "frei" oder "verfügbar" gemeldet worden sein, was allerdings
nicht den Tatsachen entsprach. Es ist je nach Internet Service Provider auch nicht auszuschließen, dass
Webnutzer auf Suchmasken oder Portalseiten umgelenkt wurden.
Welchen Einfluss haben NXDOMAIN-Antworten auf die Mailzustellung?
E-Mails werden unter Umständen nicht zugestellt oder können als Spam eingestuft werden, wenn die
Absenderadresse angeblich nicht existiert.
Wenn die Domain in der Zieladresse von den fälschlich gegebenen "NXDOMAIN"-Antworten betroffen war,
hat das die gleiche Wirkung wie ein Schreib- oder Übermittlungsfehler, bei dem man eine nicht existierende
Domain verwendet. Das heißt, dass E-Mails nicht "verloren" gehen, sondern der Absender in der Regel eine
Nachricht darüber erhält, dass die E-Mail nicht zugestellt werden konnte.
"In der Regel" deshalb, weil das erstens ein protokollkonformes Mailsystem voraussetzt und zweitens auch
nur dann funktioniert, wenn die Mails an den Absender zugestellt werden können (der dasselbe Problem
haben könnte).
Diese Zustellung an den Absender wiederum wird im Allgemeinen sehr wohl möglich sein, weil ein lokales
Mailsystem, das im Auftrag des Absenders die Mail (in diesem Fall erfolglos) weiterzuleiten versucht, den
Absender eben sinnvollerweise auch ohne Zugriff auf externe Systeme identifizieren und erreichen kann.
Es besteht außerdem die Möglichkeit, dass der Empfänger aus Gründen der Spambekämpfung die
Absenderadresse validiert und dann die Auskunft, die Domain des Absenders existiere nicht, zu einer
negativen Bewertung führt, in Folge derer die Mail abgewiesen wird. Auch in diesem Fall sollte der Absender
einen Hinweis auf die fehlgeschlagene Zustellung erhalten haben.
Welche weiteren Auswirkungen könnte es gegeben haben?
Das DNS ist ein wichtiger Baustein des Internet, auf dem viele weitere Dienste aufbauen. Es waren daher
wahrscheinlich auch weitere Dienste, wie z.B. SIP, betroffen. Es ist kaum möglich, alle potenziell denkbaren
Auswirkungen vollständig aufzuzählen. Daher haben wir uns in den FAQs auf die wichtigsten konzentriert.
Welche Nameserver waren von der Störung betroffen?
12 von 16 Standorten der Nameserver für .de haben die beschriebenen fehlerhaften NXDOMAIN-Antworten
gegeben. Die Server "s.de.net" sowie "c.de.net" waren zu keiner Zeit betroffen. Der IPv6-Nameserver in
Frankfurt (f.nic.de) hat immer korrekt geantwortet.
Waren die NXDOMAIN-Antworten eine Folge des Umzugs der DENIC-Infrastruktur?
Nein. Die DENIC betreibt zwei jeweils redundante Rechenzentren an den Standorten Amsterdam und
Frankfurt/Main. Am 11.5. fand eine planmäßige Umschaltung des aktiven Rechenzentrums von Amsterdam
nach Frankfurt statt. Da nicht auszuschließen war, dass im Rahmen dieser Umschaltung die von diesen
Registrierungsrechenzentren (RSL, Registry Service Location) angebotenen Dienste kurze Unterbrechungen
erfahren, wurde diese Umschaltung öffentlich angekündigt Fehler 404: www.denic.de
mailinglisten/public-l.html?url=msg04446.xml.
Der Nameservice wird an weltweit 16 Standorten, darunter ebenfalls Amsterdam und Frankfurt, erbracht und
ist in separaten Einheiten organisiert. Insofern war der Nameservice nicht von der Umschaltung der RSL
betroffen.
War DNSSEC beteiligt?
Nein. DNSSEC ist eine Protokollerweiterung des DNS, die gegen bestimmte Formen der Datenfälschung
Schutz bietet (s.u.). Die DENIC betreibt aktuell ein DNSSEC-Testbed zur Erprobung dieser Technologie.
Dazu wird auf einer separaten Infrastruktur eine signierte Version der .de-Zone angeboten. Die produktive
.de-Zone ist nicht mit DNSSEC signiert und ein Einfluss des Testbeds auf die Produktionsumgebung ist
ausgeschlossen. Die fehlerhaften Antworten stehen in keinerlei Zusammenhang mit DNSSEC.
Hätte DNSSEC geholfen?
Nein. Die Protokollerweiterung DNSSEC schützt die DNS-Daten insbesondere auf dem Weg von den
autoritativen Nameservern, wie sie die DENIC betreibt, zu den Resolvern und Endsystemen gegen
Verfälschung. DNSSEC ist nicht geeignet, Fehler bei der initialen Verteilung der Daten zu den Nameservern
zu erkennen oder zu verhindern.
Wurden Anfragen aufgrund der „NXDOMAIN“-Antwort umgelenkt?
Je nach Internet Service Provider ist dies nicht auszuschließen.
Können auch Domains in anderen Topleveldomains (.com, .net, .eu, ...) von der Störung betroffen
gewesen sein?
Grundsätzlich waren andere Topleveldomains nicht betroffen.
Das Domain Name System ist jedoch ein weit verzweigtes, verteiltes und redundantes System, bei dem zur
Namensauflösung pro Domain mehrere Nameserver eingesetzt werden. Sollte eine Domain ausschließlich
über Nameserver bedient werden, die von dieser Störung betroffen waren, besteht die Möglichkeit, dass für
diese Domain keine Daten (Adressen von Web- oder Mailservern etc) ermittelt werden konnten. Das kann
auch zur Nichterreichbarkeit von Diensten geführt haben.
Waren weitere Ausfälle am 13.5. Folge der Störung des de-Nameservice?
Nein. Das unter Routingprobleme am Vatertag | 1&1 Blog beschriebene Problem war unabhängig
von den hier thematisierten DNS-Störungen.
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
Die Domainsnapper sind also schuld das die Schnittstelle abgeschaltet wurde, fein fein, welche Gewalt Ihr schon alle habt ;o
Malte
Malte
Domain-Offensive.de
New member
- Registriert
- 16. Nov. 2007
- Beiträge
- 97
Vielleicht waren es auch die User die plötzlich als frei angezeigte Domains registrieren wollten
Schöner Einblick in die sonst doch recht Informationsarmen Abläufe bei der DENIC!
Das glaube ich eher kaum ;o
Snapper und Snappingdienste haben bestimmt 95% ausgemacht.
Malte
Arithmos
Erfahrener Benutzer
- Registriert
- 06. Sep. 2007
- Beiträge
- 3.929
Eine wortreiche Erklärung - die leider die eigentliche Ursache nicht erklärt (oder hab ich's ob der Wortfülle gar überlesen?):
- Warum hat der Kopiervorgang nicht geklappt?
Das wäre - neben der beschriebenen nicht abgefangenen Fehlermeldung - das, was mich am meisten interessieren würde, wenn das auf meiner Hardware passiert wäre ...
- Warum hat der Kopiervorgang nicht geklappt?
Das wäre - neben der beschriebenen nicht abgefangenen Fehlermeldung - das, was mich am meisten interessieren würde, wenn das auf meiner Hardware passiert wäre ...
Who has viewed this thread (Total: 1) Details anzeigen
Similar threads
Neueste Themen
-
8 Cannabisdomains unter .at (cannabisblueten.at, cbd-blueten.at ...) je 99,00 Euro- Gestartet von Cannabis-Domains.de
- Antworten: 0
-
-
Flüge.co nur 999,- € , ohne MwSt - Direktverkauf -
- Gestartet von ErwinS
- Antworten: 0
-
-
Live-Auktionen jetzt mit Majestic-Metriken – Hochwertige Domains leichter finden!- Gestartet von Admin
- Antworten: 0
Beliebte Inhalte
Besonderer Dank
Zurzeit aktive Besucher
Keine Mitglieder online.
Statistik des Forums
Teilen
Freunde des Domain-Forums
[email protected]
No Stress Limited (12629117)
UK: Suite M6, Old Library, St Faith Street, Maidstone, ME14 1LH
Latvia: Doma Laukums 2, Rīga, LV-1050