Wie alle Internetadressen mit der Endung “.de ” war auch unsere Homepage am 12.05.2010 über Stunden nicht erreichbar. Auch EMails haben uns nicht mehr erreicht. Grund hierfür war ein Fehler im Domain Name System (DNS).

Pressemitteilung der DENIC eG:
(12.05.2010) Heute gegen 13:30 Uhr hat DENIC festgestellt, dass der DNS-Service für .de für einen Teil des Domainbestandes fälschlicherweise mit “Domain existiert nicht” antwortet, obwohl diese Domains existieren. Damit waren diese Domains nicht erreichbar.

DENIC hat daraufhin unmittelbar ein Notfallteam eingesetzt, das den Fehler lokalisiert und ab ca. 15:00 Uhr sukzessive behoben hat. Ab 15:45 Uhr war wieder ein korrekter Service gewährleistet.

Eventuell kann es dazu kommen, dass das Phänomen auch nach 15:45 Uhr noch bei den Internet-Benutzern auffällt, da die Internet Service Provider Daten zwischenspeichern (DNS Caching). Wir gehen von einem Zeitraum um zwei Stunden aus.

Wir bedauern diesen Vorfall. Der Fehler ist identifiziert und das Problem behoben. Weitere Details folgen nach einer eingehenden Analyse.

Update (14.05.2010):
Hintergründe des partiellen Ausfalls des Name-Service für .de-Domains

Ablauf und Auswirkungen
Ab ca. 13:30 Uhr (MESZ) am Mittwoch den 12.5.2010 war DENIC mit dem Bild konfrontiert, dass, je nach Standort und angefragter Domain, Anwender teilweise die falsche Antwort „Domain existiert nicht“ erhielten. In diesem Fall waren die davon betroffenen .de-Domains für den betroffenen Anwender nicht über ihre Domainadressierung erreichbar und E-Mails aus bzw. zu diesen Adressen wurden dann abgewiesen oder nicht gesendet.
Hintergrund dafür war, dass im Rahmen der regelmäßigen 2-stündigen Aktualisierung der Nameservicedaten auf 12 der 16 Servicestandorte durch einen unterbrochenen Kopiervorgang die Verteilung einer nicht vollständigen Aktualisierung (sog. Zonendatei) angestoßen wurde.

Das unmittelbar eingesetzte Notfallteam hat den Fehler analysiert und daraufhin beginnend um 14:20 Uhr die fehlerhaft antwortenden Standorte abgeschaltet. Da nicht unmittelbar klar war, ob die Zone aufgrund eines fehlerhaften Bestands in der Datenbank oder aufgrund eines Fehlers im Generierungsprozess defekt war und die Registrierungssysteme aufgrund der ungewöhnlich hohen Registrierungsversuche für vermeintlich freie Domains unter großer Last standen, wurden diese zudem temporär angehalten.

Ab 14:30 Uhr wurden die abgeschalteten Standorte sukzessive mit einer vollständigen Zonendatei versorgt und wieder in den Nameserververbund aufgenommen. Wegen des Datenvolumens und der weltweiten Verteilung der Standorte dauerte der Gesamtvorgang zu der vollständigen Neuverteilung und des anschließenden Neustarts aller betroffenen Servicestandorte bis ca. 15:45 Uhr. Damit war der vollständige Service seitens DENIC nun mit seinem vollständigen Leistungsvolumen wiederhergestellt.

Für die Internetanwender könnte es jedoch wegen des Cachings bei den ISPs teilweise noch bis zu 2 Stunden danach zu Beeinträchtigungen gekommen sein.

Folgeschritte werden nach der weiteren Detailanalyse eingeleitet.
Technische Details

Die aus der Registrierungsdatenbank erzeugte Zonendatei wird vor der Inbetriebnahme auf den weltweiten Standorten gleich mehrfach auf Vollständigkeit und Plausibilität geprüft. Diese Prüfungen sind auch mit der betroffenen Zonendatei erfolgreich durchlaufen worden und haben dazu geführt, dass vier Standorte nicht mit einer falschen Zonendatei versorgt wurden sowie, dass der Frankfurter IPv6 DNS Standort und das DNSSEC Testbed unberührt blieben.

Im Rahmen des Projektes zur Erneuerung der Nameserverinfrastruktur jedoch, wurde insbesondere auch das Konzept der Zonenverteilung neu aufgesetzt. Nach dem Prüfen der korrekten Erzeugung der Zonendatei und der Prüfung der korrekten Übertragung der Zonendatei zum Zonenverteilserver wird die Zone nach diesem neuen Konzept vor der Verteilung auf die einzelnen Standorte nochmals kopiert. Dieser Kopiervorgang brach mit ca. nur einem Drittel der Datensätze fehlerhaft ab. Zwar sollte auch dieser Vorgang abgesichert sein, der Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet, so dass im Effekt der Kopierfehler nicht entdeckt und der Weiterverarbeitungsprozess nicht angehalten wurde.

Entsprechend steht der Vorgang in keinem direkten Zusammenhang mit dem am Dienstag zuvor durchgeführten Umzug des Rechenzentrumsbetriebs für die Registrierungsdienste von Amsterdam nach Frankfurt. Gleichermaßen gibt es ebenfalls keinen Zusammenhang mit dem DNSSEC Testbed, noch waren Services für Kooperationspartner, betriebene Secondaries für andere TLDs oder wären Services des Anycast-Angebots für Dritte TLDs betroffen gewesen.

Link:

heise.de: DNS-Fehler legen Domain .de lahm

Hinweis: Wir übernehmen keine Haftung oder Garantie für den Inhalt von Internetseiten, auf die unsere Webseiten direkt oder indirekt verweisen. Besucher folgen Verbindungen zu anderen Webseiten und Homepages auf eigene Gefahr und benutzen sie gemäß den jeweils geltenden Nutzungsbedingungen der entsprechenden Webseiten. Wir haben auch keinen Einfluss darauf, dass deren Betreiber die Datenschutzbestimmungen einhalten.