Liebes Telekom-Team,

ich nutze zu Hause einen Telekom-VDSL-Anschluss (250/40 Mbit/s) in Ulm, arbeite an der Universität Ulm und bemerke -wie einige Kolleginnen und Kollegen von mir- seit heute Mittag Probleme mit der DNS-Auflösung von Namensressourcen der Universität. Konkret scheint der Nameserver "ul-lb-a01.isp.t-ipnet.de" (217.237.150.188), der meinem Router als primärer DNS-Server zugewiesen wird, Schwierigkeiten beim Auflösen von einigen Hostnamen meines Arbeitgebers zu haben. Der zweite Nameserver "s-lb-a01.isp.t-ipnet.de." (217.237.151.142) ist sporadisch etwas träge, aber löst problemlos auf.

Konkret geht um die folgenden Hostnamen:

   bbb.uni-ulm.de
   scalelite.bbb.uni-ulm.de

und weitere Server unserer BigBlueButton-Cloud, die wir an der Universität Ulm betreiben.

Gebe ich zu Hause am Telekom-Anschluss ein:

   steffen@blackbird:~$ nslookup bbb.uni-ulm.de 217.237.150.188
   Server:         217.237.150.188
   Address:        217.237.150.188#53

so erhalte ich:

   ** server can't find bbb.uni-ulm.de: SERVFAIL

Andere Hosts aus der selben DNS-Zone werden dagegen aufgelöst: 

   steffen@blackbird:~$ nslookup www.uni-ulm.de 217.237.150.188
   Server:         217.237.150.188
   Address:        217.237.150.188#53

   Non-authoritative answer:
   Name:   www.uni-ulm.de
   Address: 134.60.1.22
   Name:   www.uni-ulm.de
   Address: 2001:7c0:3100::22

Bemerkenswert ist, dass alle von dem Problem betroffene Hosts in der Zone "uni-ulm.de" mit CNAME-Records eingetragen sind:

   steffen@blackbird:~$ dig bbb.uni-ulm.de @217.237.150.188
  
   ; <<>> DiG 9.16.6 <<>> bbb.uni-ulm.de @217.237.150.188
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 54643
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 512
   ;; QUESTION SECTION:
   ;bbb.uni-ulm.de.                        IN      A

   ;; ANSWER SECTION:
   bbb.uni-ulm.de.         47051   IN      CNAME   9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org.

   ;; Query time: 3111 msec
   ;; SERVER: 217.237.150.188#53(217.237.150.188)
   ;; WHEN: Mi Nov 11 20:10:58 CET 2020
   ;; MSG SIZE  rcvd: 118

Es scheint also, als würde "217.237.150.188" insbesondere dann den SERVFAIL werfen, wenn ich nach einem Hostnamen frage, der einen CNAME-Record trägt. Dies, wie weitere Tests zeigen, allerdings nur, wenn dieser wiederum nach "bw-cloud-instance.org" verweist.

Andere mit CNAME-Records referenzierte Hostnamen verursachen wiederum keine Probleme. Fragt man aber direkt den CNAME an, geht es ohne Fehler:

   steffen@blackbird:~$ dig A 9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org. @217.237.150.188
  
   ; <<>> DiG 9.16.6 <<>> A 9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org. @217.237.150.188
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14316
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 512
   ;; QUESTION SECTION:
   ;9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org. IN A

   ;; ANSWER SECTION:
   9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org. 30 IN A 134.60.154.210

   ;; Query time: 7 msec
   ;; SERVER: 217.237.150.188#53(217.237.150.188)
   ;; WHEN: Mi Nov 11 20:16:28 CET 2020
   ;; MSG SIZE  rcvd: 106

Allerdings kommt der Browser schon gar nicht so weit, dies zu tun, denn die Resolver-Bibliothek des Betriebssystems gibt nach dem ersten SERVFAIL offenbar auf. Dies führt zur Nicht-Erreichbarkeit unseres in der Online-Lehre eingesetzten Videokonferenz-Systems von vielen Heimarbeitsplätzen aus.

Dass dieses Verhalten jedoch nur bei "217.237.150.188" passiert, spricht dann aus meiner Sicht doch sehr dafür, dass es offenbar speziell bei diesem Resolver ein Problem gibt. Ein Test mit dem zweiten Nameserver, der meinem Router zugewiesen wird, zeigt dies deutlich:

   steffen@blackbird:~$ dig bbb.uni-ulm.de @217.237.151.142

   ; <<>> DiG 9.16.6 <<>> bbb.uni-ulm.de @217.237.151.142
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1093
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 512
   ;; QUESTION SECTION:
   ;bbb.uni-ulm.de.                        IN      A

   ;; ANSWER SECTION:
   bbb.uni-ulm.de.         47570   IN      CNAME   9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org.
   9137240d-b196-4115-b7cf-4dcd353e9280.ul.bw-cloud-instance.org. 32 IN A 134.60.154.210

   ;; Query time: 7 msec
   ;; SERVER: 217.237.151.142#53(217.237.151.142)
   ;; WHEN: Mi Nov 11 20:09:30 CET 2020
   ;; MSG SIZE  rcvd: 134

Hierüber funktioniert also alles perfekt! Ebenso funktioniert alles bestens, wenn ich mich in VPN des Arbeitgebers "einwähle" und die dort zugewiesenen Resolver nutze. Auch bei Kolleginnen und Kollegen, die bei anderen Providern sind, gibt es keine Probleme. Auch wenn ich direkt am Arbeitsplatz an der Universität sitze: Keine Schwierigkeiten.

Unter dem Problem leiden seit heute sehr viele Telekom-Kunden, die die BigBlueButton-Instanz der Universität Ulm derzeit für die Online-Lehre nutzen. Es wäre daher extrem hilfreich, wenn Sie das Problem an Ihre DNS-Experten weiterleiten könnten.

An der DNS-Konfiguration der Universität sind keine Fehler feststellbar und das Problem ist für mich nur beim Resolver "ul-lb-a01.isp.t-ipnet.de" (217.237.150.188) reproduzierbar.

Herzlichen Dank dafür im Voraus! Für Rückfragen stehe ich gerne zur Verfügung.

Freundliche Grüße
Steffen Moser