Erklärung für den Ausfall der DENIC-Server

Es hat immerhin 3 Tage gedauert bis DENIC eine Erklärung für den Ausfall der DNS-Server am Mittwoch veröffentlicht hat. Hier ein Auszug:
Die aus der Registrierungsdatenbank erzeugte Zonendatei wird vor der Inbetriebnahme auf den weltweiten Standorten gleich mehrfach auf Vollständigkeit und Plausibilität geprüft. Diese Prüfungen sind auch mit der betroffenen Zonendatei erfolgreich durchlaufen worden und haben dazu geführt, dass vier Standorte nicht mit einer falschen Zonendatei versorgt wurden sowie, dass der Frankfurter IPv6 DNS Standort und das DNSSEC Testbed unberührt blieben.
Im Rahmen des Projektes zur Erneuerung der Nameserverinfrastruktur jedoch, wurde insbesondere auch das Konzept der Zonenverteilung neu aufgesetzt. Nach dem Prüfen der korrekten Erzeugung der Zonendatei und der Prüfung der korrekten Übertragung der Zonendatei zum Zonenverteilserver wird die Zone nach diesem neuen Konzept vor der Verteilung auf die einzelnen Standorte nochmals kopiert. Dieser Kopiervorgang brach mit ca. nur einem Drittel der Datensätze fehlerhaft ab.
Zwar sollte auch dieser Vorgang abgesichert sein, der Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet, so dass im Effekt der Kopierfehler nicht entdeckt und der Weiterverarbeitungsprozess nicht angehalten wurde.

Was mich jetzt in diesem Zusammenhang wirklich interessieren würde ist, was denn der Grund und der Inhalt dieses „Projekts zur Erneuerung der Nameserverinfrastruktur“ ist; ich habe dazu noch keine Infos gefunden. [Schliesst dies vielleicht die Einrichtung von Filtern ein?]

Advertisements

4 Antworten to “Erklärung für den Ausfall der DENIC-Server”

  1. Johannes Says:

    Vielleicht handelt es sich bei dem ‚Projekt zur Erneuerung der Nameserverinfrastruktur‘ die einrichtung von DNSSEC Diensten auf den DNS-Servern?

  2. lotharf Says:

    Ziat von DENIC:
    Entsprechend steht der Vorgang in keinem direkten Zusammenhang mit dem am Dienstag zuvor durchgeführten Umzug des Rechenzentrumsbetriebs für die Registrierungsdienste von Amsterdam nach Frankfurt. Gleichermaßen gibt es ebenfalls keinen Zusammenhang mit dem DNSSEC Testbed, noch waren Services für Kooperationspartner, betriebene Secondaries für andere TLDs oder wären Services des Anycast-Angebots für Dritte TLDs betroffen gewesen.

  3. lotharf Says:

    Mir ist natürlich auch nicht entgangen, dass es Seiten und Blogs gibt, die meinen, es wäre ein bewusster Testlauf dafür gewesen, wie schnell man bei uns die Kommunikation zum Erliegen bringen könne. Ich will auf diese Seiten aber hier bewusst nicht verlinken, weil ich von solchen Theorien nichts halte.

  4. Jürgen Says:

    Also mit dem „Projekt“ kann ich auch nix anfangen, aber die „Erneuerung der Nameserver Infrastruktur“ deutet eher darauf hin, dass sie „Aktualisiert“ wird im Sinne von Veröffentlichung der neuen Zonendateien.
    Und das wiederum ist ein ganz normaler Vorgang, in komische Wörter gefasst könnte man sagen.
    Würde da mehr dahinterstecken, müsste man im Web entsprechende Hinweise finden – u.a. auch beim oder vom CCC.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: