Externe Domains, DNS - KeyHelp/KeyWeb-Newbie

[Florian]

Bei KeyWeb-Servern gibt es auch immer zwei IPV4 Adressen dazu. Korrigiere mich Florian falls das nicht stimmt.

Das ist korrekt.

[Webrockers]

Dann muss aber als Nameserver der Domain was eingetragen werden?

Klingt so ein bisschen nach:
"In einer Stunde schreiben wir einen unangekündigten Test."

Nope. Das war der Test .
Also wenn du den Nameserver von KeyHelp nutzt musst du mindestens zwei IPs deines Servers bei deinem Domainregistrar als Nameservereintrag hinterlegen.

Also ohne DNS von Keyhelp hatte ich das ja hinbekommen.

Nun will ich das andersherum verstanden und gelernt haben.

Domain liegt bei d:(f.
Dort im Kundenbereich lösche ich sämtliche Nameserver-Einstellungen und trage die beiden Domains die KeyHelp automatisch generiert hat ein.

Nameserver für diese Domain:
ns.km_____-__.keymachine.de.
ns2.km_____-__.keymachine.de.

Ich hab' die auch mal paranoid gründlich angepingt und weiß: beide zeigen auf je eine der Server-IP's die ich im KeyHelp Menü finde:
Konfiguration → IP-Adressen

Im KeyHelp habe ich DNS für diese Domain aktiviert.

Das funkioniert jetzt aber nicht.
Die mxtoolbox findet auch nichts.

---

Seit der Änderung ist mehr als zwei Stunden vergangen.

I know, I know...

Wenn Sie andere Nameserver für eine Domain hinterlegen, kann es bis zu 24 Stunden dauern, bis diese Änderung bei der Vergabestelle der jeweiligen Domain sichtbar ist.

Bitte beachten Sie: Es gibt weltweit sehr viele Nameserver, welche die Änderung erst übernehmen müssen. Deshalb dauert es zwischen 24 und 48 Stunden, bis geänderte Nameserver-Einstellungen wirksam werden.

Ein dig +trace +additional -t A haggis-online.de bringt mir auch noch die NS von Domainfactory
(Domainname geändert)

haggis-online.de. 86400 IN NS ns81.domaincontrol.com.
haggis-online.de. 86400 IN NS ns82.domaincontrol.com.

86400 TTL sind 24h, schon klar.

Fragen:
Hab' ich irgendwas vergessen oder muss ich nur warten?

Glue-Records werden nur notwendig, wenn der Domainname der gerade eingerichtet wird, Teil (Hauptdomain) der eigenen Namseserver-Domain ist, oder?
Der Teil ist immer noch verwirrend für mich.

Um beispielsweise einen Nameserver ns.diese-domain.de betreiben zu können, muss ja ns.diese-domain.de aufgelöst werden können.

Wenn für diese-domain.de als NS Record ns.diese-domain.de eingetragen wird, zeigt die auf sich selbst und niemand bekommt es mit?

Also macht man das wie?
Einen A Eintrag der ns.diese-domain.de auf die Server-IP zeigen lässt?
(Im Falle von .de werden 2 benötigt, also auch)
Einen zweiten A Eintrag der (z.B.) ns2.diese-domain.de auf eine andere IP zeigen lässt?
Oder sogar einen entsprechenden AAAA Eintrag mit einer IPv6?

Da ich ja als NS Domain den der keymachine verwende, bin ich da nicht raus aus der Nummer?

---

Jetzt wollte ich das gleich mal noch mit einer anderen Domain testen, dieses mal wieder eine .net

Da sieht die Sachlage wieder anders aus:

Also auch hier alle Einträge gelöscht und im KeyHelp DNS aktiviert.

Beim Versuch bei d:(f nun Nameserver zu hinterlegen, murmelt deren Tool hier nun was von, ich solle erst den Nameserver registrieren.

Da bei der Domain nichts schief gehen kann, versuche ich mein Glück:

Die Eingabemaske lässt mich eine Hauptdomain auswählen und eine Subdomain eintippen, dazu eine IP.

Also nehme ich ns.hauptdomain.net und als IP die erste Server-IP.

Allerdings lässt mich Domainfactory das nicht speichern. Es kommt nicht einmal eine Fehlermeldung.

Ich schwöre, ich habe das Forum durchsucht, im restlichen Internet auch nach Lösungen gesucht, selbst auf YouTube Katzenvid... Tutorials zum Thema DNS geschaut.

Irgendwo habe ich ein Verständnisproblem oder die Brille falsch rum auf (Nein. Hab' ich gerade überprüft).

Kann mir bitte jemand auf die Sprünge helfen?

[Tobi]

Also ich meine du musst bei dF externe Nameserver separat eintragen?!?
Ich arbeite bei dF Domains nur mit A und AAAA Records.
Das hat immer funktioniert.

[24unix]

Für die Domain, unter der meine NS liegen brauchte ich einen Glue Record.
(.net Domain, KeySystem als Registrar.)

[Webrockers]

Also ich meine du musst bei dF externe Nameserver separat eintragen?!?
Ich arbeite bei dF Domains nur mit A und AAAA Records.
Das hat immer funktioniert.

So habe ich das eingetragen (Domainname habe ich geändert).
(Die Zahlen der Keymachine Domain stimmen natürlich auch)

"... sind noch ausstehende Registry-Aktionen gespeichert." müsste sich darauf beziehen, dass die Domain zum Umzug gekündigt ist?!

[Webrockers]

Für die Domain, unter der meine NS liegen brauchte ich einen Glue Record.
(.net Domain, KeySystem als Registrar.)

Auch dir danke für deinen Hinweis.

So wie ich das verstehe mit den Glue Records, ist das in meinem Fall doch gar nicht notwendig, oder?

[24unix]

So wie ich das verstehe mit den Glue Records, ist das in meinem Fall doch gar nicht notwendig, oder?

Nicht, wenn die NS unter*.keymachine.de liegen. IMHO.

In Deinem Screenshot ist doch ein Link "Nameserver ändern", den mal probiert?

[Webrockers]

So wie ich das verstehe mit den Glue Records, ist das in meinem Fall doch gar nicht notwendig, oder?

Nicht, wenn die NS unter*.keymachine.de liegen. IMHO.

In Deinem Screenshot ist doch ein Link "Nameserver ändern", den mal probiert?

Da habe ich ja die eingetragen, die man im Screenshot sieht.

ns.km_____-__.keymachine.de.
ns2.km_____-__.keymachine.de.

[Tobi]

Und was ist mit den "Austehenden Registry Aktionen"?

Bis ein neuer Nameserver im Internet annonciert ist kann es durchaus bis zu 48 Stunden dauern...

[Webrockers]

Ich hab' also mal ein Ticket bei d:(f aufgemacht:

Ich habe für die genannte Domain externe Nameserver angegeben.

1.) Unterhalb der Auflistung steht: "Für die Domain „haggis-online.de“ sind noch ausstehende Registry-Aktionen gespeichert."
Was bedeutet das? Ist es ein Teil der Problems → 2.) ?

2.) Es sind nun 48 Stunden vergangen, aber es hat sich nicht rumgesprochen.
Eine Abfrage mittels host - h haggis-online.de bringt nichts zu Tage.
Trying "haggis-online.de"
Trying "haggis-online.de"
Host haggis-online.de not found: 2(SERVFAIL)
Received 35 bytes from fd00::464e:6dff:fead:fab8#53 in 11 ms

Die Antwort:

Guten Tag Marco Spadafora,
der von Ihnen verwendete Nameserver wird von der DENIC anhand des NAST Check abgelehnt.
Errorcode 107 Insufficient diversity of nameserver' s IPaddresses
Aufgrund mangelhafter Diversität der IPv6 Adressen werden die Änderungen abgelehnt. Ich empfehle Ihnen daher Änderungen am Nameserver vornehmen zu lassen und anschließend im Kundenmenü die Nameserver Einträge zu hinterlegen.
https://nast.denic.de/
Bitte zögern Sie nicht, sich bei Rückfragen oder Problemen erneut an uns zu wenden. Wir helfen Ihnen gerne weiter.
Mit freundlichen Grüßen
I....m T....r Technical Support

Ich hab' den Test dann selbst ausgeführt (Wieder ein neues Tool gefunden ).

Da wird hinter den 2 verschiedenen IPv4 zusätzlich die gleiche IPv6 aufgeführt.
Ist das etwa das Problem, dass der Server nur eine IPv6 zur Verfügung hat?

Heisst das ich muss die AAAA aus der DNS Zone Einstellung der Doman rausnehmen oder muss ich da in die keyhelp_domain.conf eingreifen?

(Edit: 21:38:51)
Mir raucht der Kopf von der Thematik. Ich habe Stunden damit zugebracht, die Wikipedia Artikel zu verstehen und Tutorials auf DE und EN geschaut. Jetzt verwirrt mich eine Sache gerade besonders:

Meine Keymachine hat 2 IPv4 und eine IPv6

NS1 zeigt auf die erste IPv4
NS2 zeigt auf die zweite IPv4
(IPv6 mal ignoriert)

Hier geht es doch um Redundanz. Die ist doch dann gar nicht gegeben, wenn der gleiche Server beide Aufgaben übernimmt.
Was verstehe ich falsch?

Und das ist ja dann auch nicht anders, wie wenn beide Nameserver auf die gleiche IPv6 zeigen, oder?

Ich will es ja wirklich verstehen.

[Webrockers]

(Um hier Mitstreitern- und schreibern die Gelegenheit zu geben auf den vorherigen Post zu Antworten ohne dass dieser von mir aktualisiert wird, hänge ich einen neuen Post an)

Guten Abend I.....m T.....r,
Vielen Dank für Ihre Antwort.
Ich habe den Test (vielen Dank für den Link!) selbst durchgeführt und verstehe das so, dass zwar, wie gefordert 2 unterschiedliche IPv4 hinterlegt sind, aber nur eine IPv6 Adresse?
Alles sehr verwirrend für mich. Ich versuche die Thematik so gut es geht zu lernen und zu verstehen.

Antwort:

Dies ist korrekt. Da bei den Nameservern die identische IPv6 Adresse verwendet wird, lehnt die DENIC die Übernahme ab. Daher ist es notwendig die IPv6 Adressen am Nameserver anzupassen, um von der DENIC die Freigabe hier für zu erhalten.
Bitte zögern Sie nicht, sich [...]

Und nu?

[Alexander]

Warum die Denic da meckert hat 2 Ursachen:

1) Zum Einen prüft die Denic hier (für meine Begriffe ungerechtfertigt) die IPv6 auch wenn die gar keine Einfluss hat, z.B in dem Fall, wenn man nur über IPv4 konnektieren will.

2) zum Anderen wird in der aktuellen KeyHelp Version die Konfiguration wenn 2x IPv4 und 1x IPv6 oder wenn 1x IPv4 und 2x IPv6 auf dem Server angelegt sind, nicht Denic konform angelegt und es kommt wie bei dir zum Hinweis der mangelnden Diversifikation.
(Das ist mit der nächsten KeyHelp Version gefixt)

Zur Lösung: Poste einmal die Config /etc/bind/keyhelp_domain.conf
Dann zeig ich (oder jemand anderes) dir was du an dieser anpassen musst.

[Webrockers]

Code: Select all

;
; Zone file for KeyHelp control panel domain km31411-05.keymachine.de
;

$TTL 86400

@ IN SOA ns.km31411-05.keymachine.de. root.km31411-05.keymachine.de. (
    2022110900  ; serial
    14400       ; refresh
    1800        ; retry
    604800      ; expire
    3600        ; negative caching
)

; Name servers
@ IN NS ns.km31411-05.keymachine.de.
@ IN NS ns2.km31411-05.keymachine.de.

; Glue
ns IN A 87.118.126.5
ns IN AAAA 2001:1b60:3:267:1411:105:0:1
ns2 IN A 87.118.127.5
ns2 IN AAAA 2001:1b60:3:267:1411:105:0:1

; Mail
@ IN MX 10 mail
@ IN TXT "v=spf1 a mx -all"

; Host information
@ IN A 87.118.126.5
* IN A 87.118.126.5
@ IN A 87.118.127.5
* IN A 87.118.127.5
@ IN AAAA 2001:1b60:3:267:1411:105:0:1
* IN AAAA 2001:1b60:3:267:1411:105:0:1

; EOF

[Alexander]

Lösche die Zeile:

Code: Select all

ns2 IN AAAA 2001:1b60:3:267:1411:105:0:1

Und starte bind neu:

Code: Select all

service bind restart

[Webrockers]

Vielen Dank, Alexander!

Erledigt.
Der Test läuft durch.
Jetzt bin ich mal gespannt.

Und es bleibt für mich immer noch die Frage, wie das funktioniert, wenn ein Server zwei IPv4 verwendet um als zwei Nameserver redundant zu dienen.