Domain nicht erreichbar

Gelöst

Hallo,

ich habe seit einigen Tagen Probleme, dass meine beiden  .eu -Domains (z.B. pcnd.eu) nicht mehr vom meinem Heimnetz aus erreichbar ist. Die .de Domain des selben Webservers der Telekom ist normal erreichbar.

-- Getestet mit allen im Haus befindlichen Geräten per LAN/WLAN (PC, Laptop, Handy, Tablet) -- KEINE Verbindung

-- über Mobilnetz ist die Website normal erreichbar!

Der Fehler tritt auch aus einem anderen WLAN auf (ebenfalls Telekom-Kunde). Ein Test in einem WLAN eines nicht Telekom-Kunden konnte bislang nicht durchgeführt werden. Die Vermutung, dass es ein DNS-Fehler des Routers ist, konnte somit ausgeschlossen werden. Zusätzlich unterstreicht diese Vermutung, dass der DNS-Eintrag 1.1.1.1 in der Fritzbox auch keinen Erfolg brachte. Anfrage bei AVM (evtl Firewall) läuft parallel.

 

NSLOOKUP-Test:

-----------------------------------

C:\>nslookup pcnd.eu
Server:  fritz.box
Address:  192.168.123.1
*** pcnd.eu wurde von fritz.box nicht gefunden: Server failed.
C:\>

 

Ich benötige eine Lösung des Problems - Danke!

 

1 AKZEPTIERTE LÖSUNG

Hallo Nadine H.!

Danke nun funktioniert alles wieder.

Mich würde schon mal interessieren, was die Ursache war.

Hab ich was falsch gemacht bei der Webprogrammierung? - Es laufen eigentlich überall nur handprogrammierte php-Seiten und ein mysql-Zugang. Das kann sich aber wohl nicht auf die DNS ausgewirkt haben.

Aber egal - es tut!!

Danke jedenenfalls für die nette Beratung!

Viele Grüße nach Kiel!

Lösung in ursprünglichem Beitrag anzeigen  

sehr interessant - ich weite grade an den Fehlkonfigurationen der DNS-Server der Telekom mein IT-Wissen aus. Da kann man einem ärgerlichen Fehler auch noch Gutes abgewinnen.

Wenn ich das richtig verstanden habe und mit einfachen Worten erklären müsste, würde ich sagen, dass die Security-Einstellung der DNS-Server meine eu-Domains als "feindlich" einstufen und daher nicht auflösen. Daher ist die Seite auch bei Fremdkunden über andere Netze teilweise möglich und auch selbst von der telekom-Hotline in Kiel.

Die de-Domain fällt anscheinend nicht darunter...

 

Telekom hilft Team
Hallo @Stefan, hallo @hako59,

wie gesagt, wo genau da jetzt der Fehler liegt, beim Hinterlegen der DNSSec-Einträge, wenn dies für die Domain aktiviert wird oder beim Übermitteln der Einträge zwischen den DNS-Servern, kann ich nicht sagen.
Auf meinem Dienstrechner kann ich die Domain von @hako59 ohen Probleme aufrufen, auf dem Laptop neben mir nicht. Aber auf den Dienstrechnern nutzen wir auch einen Proxy, der Laptop geht per WLAN auf einen normalen VDSLer.
Daher teste Anliegen bezüglich der Erreichbarkeit von Domains auch immer mindestens zweimal. Zwinkernd

Gruß,
Ingo F.

@hako59  schrieb:

sehr interessant - ich weite grade an den Fehlkonfigurationen der DNS-Server der Telekom mein IT-Wissen aus. Da kann man einem ärgerlichen Fehler auch noch Gutes abgewinnen.

Wenn ich das richtig verstanden habe und mit einfachen Worten erklären müsste, würde ich sagen, dass die Security-Einstellung der DNS-Server meine eu-Domains als "feindlich" einstufen und daher nicht auflösen. Daher ist die Seite auch bei Fremdkunden über andere Netze teilweise möglich und auch selbst von der telekom-Hotline in Kiel.

Die de-Domain fällt anscheinend nicht darunter...

 


Genau so ist es.

Sinn von DNSSEC ist ja, dass die Antworten des DSN "signiert" sein sollen.

Das geht aber so einfach nicht, da das System ja auch abwärtskomaptibel sein muss.

Daher gibt es zu jedem A-record einen RRSIG Record, der die Signatur enthält.

 

stark Vereinfacht:

Der RRSIG ist mit dem Schlüssel des DNS Server signiert, dieser wiederum mit dem Schlüssel des z.B. DE-Rootserver - 

Basis ist der Schlüssel (Trust Anchors) der von der ICANN periodisch ausgetauscht wird. 

der letzte (und bisher einzige)  Schlüsseltausch war am 11.10.2018

Jeder DNS braucht eine aktuelle Kopie dieses Anchors.

 

Ein DNSSEC enabled DNS prüft nun anhand des RRSIG Satzes  ob die Signatur über die komplette Kette konsistent ist.

Wurde bei einem DNS die Anchordatei nicht aktualisiert oder ist korrupt, dann kann der prüfende DNS die Signatur nicht überprüfen und wird den Satz verwerfen. In Ermangelung an einer sinnvollen Meldungsmöglichkeit (Weil es zum Zeitpunkt der Entwicklung vom DNS das nicht gab) wurde vereinbart, dass der Server in diesem Fall mit "Server failed" antwortet.

 

Hier siehst du das anhand einer Testdomain die extra dafür existiert um einen Fehler zu produzieren.

Im Fester rechts mit einem DNS Server der nicht DNSSEC enabled ist erhältst du eine IP als Antwort 

Links ein Resolver der DNSSEC Enabled ist - could not be resolved.

 

2019-01-02 16_08_25-Eingabeaufforderung - nslookup.png

Wenndu die Testdomain mit Google abfragst, kommt genau der dir bekannte Fehler

 

> dnssec-failed.org Server: google-public-dns-a.google.com

Address: 8.8.8.8

*** dnssec-failed.org wurde von google-public-dns-a.google.com nicht gefunden: Server failed.

Wie siehts aus mit den DNS-Servern ?

Ich habe das Problem, dass auch ein paar wichtige Dinge auf den eu - Webservern liegen - die Leute fragen schon, weshalb die Seite nicht erreichbar ist.

--soll ich alle sumziehen auf die de-Domäne oder was wäre eine Lösung?

Telekom hilft Team
Hallo @hako59,

die Kollegen haben sich noch nicht zurückgemeldet, aber wir können sehen, dass für die eine Domain die Bearbeitung des DNSSec gestartet wurde. Hast Du für Deine Domains etwas im Homepagecenter geändert?

Gruß,
Ingo F.

ich habe nur lesend zugegriffen

Ich sehe jetzt aber auch, dass bei pcnd.eu der Schlüssel dargestellt wird - das war vor ein paar Tagen glaube ich noch nicht

Telekom hilft Team
Hallo @hako59,

ah okay, wenn Du keine Änderungen vornehmen kannst, dann waren das wohl die Kollegen der Domainverwaltung. Dann sollte es jetzt hoffentlich nicht mehr lange dauern, aber wie gesagt, wir haben von dem Kollegen noch keine Rückmeldung.

Gruß,
Ingo F.

Zwischenbericht: Meine hans-koch.eu funktioniert im Moment -

Ich bin mir nicht ganz sicher, aber ich meine, dass ich heute Nacht nach der Zwangstrennung auf der Fritzbox nun einen anderen DNS von der Telekom bekommen habe.

pcnd.eu geht (noch) nicht. -- mal sehen, ob es heute vollends klappt...

 

C:\>nslookup hans-koch.eu 217.237.150.188
Server:  ul-lb-a01.isp.t-ipnet.de
Address:  217.237.150.188
Nicht autorisierende Antwort:
Name:    hans-koch.eu
Addresses:  2003:2:2:15:80:150:6:143
          80.150.6.143
C:\>nslookup pcnd.eu 217.237.150.188
Server:  ul-lb-a01.isp.t-ipnet.de
Address:  217.237.150.188
*** pcnd.eu wurde von ul-lb-a01.isp.t-ipnet.de nicht gefunden: Server failed.

Telekom hilft Team
Hallo @hako59,

das klingt doch schon mal gut. Drücken wir die Daumen, dass die Domain pcnd.eu heute auch noch funktionieren wird. Wir steuern noch mal nach, sollte es bis nach dem Wochenende nicht bereinigt sein.

Viele Grüße Nadine H.

Hallo ,

meine hans-koch.eu funktioniert nun gut.

Die andere pcnd.eu geht nicht!

In meiner Domainanzeige fehlen Handledaten (siehe Anhang)

Hallo liebes Telekom-team!

leider funktioniert die pcnd.eu immernoch nicht.

ich hoffe, dass es im Laufe des Montags dann klappt.

Viele Grüße 

Telekom hilft Team
Guten Morgen @hako59,

der Auftrag für die Domain pcnd.eu wurde heute früh noch mal gestartet, aber die Domain sollte aktuell bzw. im Laufe des Tages schon funktionieren. Die Handledaten sehen nämlich jetzt gut aus.

Bitte heute noch mal abwarten und uns weiter auf dem Laufenden halten.

Viele Grüße Nadine H.

Hallo Nadine H.!

Danke nun funktioniert alles wieder.

Mich würde schon mal interessieren, was die Ursache war.

Hab ich was falsch gemacht bei der Webprogrammierung? - Es laufen eigentlich überall nur handprogrammierte php-Seiten und ein mysql-Zugang. Das kann sich aber wohl nicht auf die DNS ausgewirkt haben.

Aber egal - es tut!!

Danke jedenenfalls für die nette Beratung!

Viele Grüße nach Kiel!

Telekom hilft Team
Hallo @hako59,

super, dass die Domains nun wieder überall aufgerufen werden können. Die Ursache hatte mein Kollege @Ingo F. am 02. Januar in bereits erläutert.


Für alle zur Info:
Der Fehler resultiert scheinbar aus dem DNSSec, welches nach der Aktivierung nicht richtig funktioniert. Dies kann in Einzelfällen vorkommen und ist kein genereller Fehler.


Sehr gerne! Und danke für die Rückmeldung.

Viele Grüße Nadine H.