[Diskussion] DeNIC Ausfall am 12. Mai 2010

[Roger Wilco]

1) URL != URI

Jede URL ist eine URI.

A URI can be further classified as a locator, a name, or both. The
term "Uniform Resource Locator" (URL) refers to the subset of URIs
that, in addition to identifying a resource, provide a means of
locating the resource by describing its primary access mechanism
(e.g., its network "location").

Further, according to the contemporary view, the term "URL" does not
refer to a formal partition of URI space; rather, URL is a useful but
informal concept. A URL is a type of URI that identifies a resource
via a representation of its primary access mechanism (e.g., its
network "location"), rather than by some other attributes it may
have. Thus, as we noted, "http:" is a URI scheme. An http URI is a
URL. The phrase "URL scheme" is now used infrequently, usually to
refer to some subclass of URI schemes which exclude URNs.

Aber ich nutze z.B. oft URLs wie "http://[Server-IP, nicht Hostname]:[alt. HTTP-Port]" Da wird nichts aufgelöst...

The host subcomponent of authority is identified by an IP literal
encapsulated within square brackets, an IPv4 address in dotted-
decimal form, or a registered name.

 

[Artimis]

Jede URL ist eine URI.

Ja, sagte ich ja auch im Text, dass ein URL ein spezieller URI ist :

eine URL (als besondere URI)

Ich habe mich da aber mit dem Genus vertan
Es heißt "DER Identifier" und "DER Link", sofern ich mich da jetzt richtig erinnere (bin zu faul zum suchen jetzt, muss Kofferpacken).


Und was ich von wegen Auflösung in einem URL meinte:
Wir einigen uns darauf, dass man WAHLWEISE Hostnamen, die aufgelöst werden müssen, ODER IPs, die mit DNS nichts mehr am Hut haben, nehmen kann?
Denn es ging eig. mal darum, dass da jemand von einer Zeitung bemängelte, dass nicht etwa Hostnames nicht aufgelöst werden können, sondern URLs, was technisch schlicht falsch ist.

 

[voodoo44]

"Erstens heißt DNS "Domain-Name-Service", zweitens kürzt man DNS-Server oder NS-Server ab und drittens wäre es fatal, hätte die DENIC für die TLD ".de" lediglich einen einzigen Server in petto."
Ich dachte immer, es hieße "Domain-Name-System" - aber das ist wohl eher zweitranging, wenngleich man schon korrekt korrigieren sollte, wenn man es denn tut

"zweitens kürzt man DNS-Server oder NS-Server ab und drittens wäre es fatal, hätte die DENIC für die TLD ".de" lediglich einen einzigen Server in petto."
DAS ist kein Deutsch! "NS-Server" ... war ein "NS" nicht ein Name-Server? Dann würde das ja "Nameserver-Server" heißen.

 

[fuchzga]

heise hat gestern auch noch mal einen Schritt weiter gedacht.
Denn auch die zugehörigen IP-Adressen andere TLDs sind nicht per DNS auffindbar, wenn der dafür maßgebliche NS-Server einen .de-Domainnamen hat, der angeblich nicht existiert.

Wir hatten hier am Mittwoch jedenfalls viel Spass.

 

[Lord Gurke]

Die WZ hat den ursprünglichen Artikel offenbar vom Netz genommen und dafür diesen veröffentlicht: http://dergrobi.cc/l/f

 

[wstuermer]

back to Topic.... Stellungnahme ist da.

Liebe Kolleginnen und Kollegen,

wie angekündigt, möchten wir Sie über die Hintergründe des Ausfalls des
Name-Service für .de-Domains am vergangenen Mittwoch im Folgenden
detailliert informieren. Antworten auf die häufigsten Fragen in diesem
Zusammenhang haben wir für Sie in dem angehängten FAQ-Dokument
zusammengefasst.

Ablauf und Auswirkungen
Ab ca. 13:30 Uhr (MESZ) am Mittwoch den 12.5.2010 war DENIC mit dem Bild
konfrontiert, dass, je nach Standort und angefragter Domain, Anwender
teilweise die falsche Antwort „Domain existiert nicht“ erhielten. In
diesem Fall waren die davon betroffenen .de-Domains für den betroffenen
Anwender nicht über ihre Domainadressierung erreichbar und E-Mails aus
bzw. zu diesen Adressen wurden dann abgewiesen oder nicht gesendet.
Hintergrund dafür war, dass im Rahmen der regelmäßigen 2-stündigen
Aktualisierung der Nameservicedaten auf 12 der 16 Servicestandorte durch
einen unterbrochenen Kopiervorgang die Verteilung einer nicht
vollständigen Aktualisierung (sog. Zonendatei) angestoßen wurde.

Das unmittelbar eingesetzte Notfallteam hat den Fehler analysiert und
daraufhin beginnend um 14:20 Uhr die fehlerhaft antwortenden Standorte
abgeschaltet. Da nicht unmittelbar klar war, ob die Zone aufgrund eines
fehlerhaften Bestands in der Datenbank oder aufgrund eines Fehlers im
Generierungsprozess defekt war und die Registrierungssysteme aufgrund der
ungewöhnlich hohen Registrierungsversuche für vermeintlich freie Domains
unter großer Last standen, wurden diese zudem temporär angehalten.

Ab 14:30 Uhr wurden die abgeschalteten Standorte sukzessive mit einer
vollständigen Zonendatei versorgt und wieder in den Nameserververbund
aufgenommen. Wegen des Datenvolumens und der weltweiten Verteilung der
Standorte dauerte der Gesamtvorgang zu der vollständigen Neuverteilung und
des anschließenden Neustarts aller betroffenen Servicestandorte bis ca.
15:45 Uhr. Damit war der vollständige Service seitens DENIC nun mit seinem
vollständigen Leistungsvolumen wiederhergestellt.

Für die Internetanwender könnte es jedoch wegen des Cachings bei den ISPs
teilweise noch bis zu 2 Stunden danach zu Beeinträchtigungen gekommen
sein.

Folgeschritte werden nach der weiteren Detailanalyse eingeleitet.

Technische Details
Die aus der Registrierungsdatenbank erzeugte Zonendatei wird vor der
Inbetriebnahme auf den weltweiten Standorten gleich mehrfach auf
Vollständigkeit und Plausibilität geprüft. Diese Prüfungen sind auch mit
der betroffenen Zonendatei erfolgreich durchlaufen worden und haben dazu
geführt, dass vier Standorte nicht mit einer falschen Zonendatei versorgt
wurden sowie, dass der Frankfurter IPv6 DNS Standort und das DNSSEC
Testbed unberührt blieben.

Im Rahmen des Projektes zur Erneuerung der Nameserverinfrastruktur jedoch,
wurde insbesondere auch das Konzept der Zonenverteilung neu aufgesetzt.
Nach dem Prüfen der korrekten Erzeugung der Zonendatei und der Prüfung der
korrekten Übertragung der Zonendatei zum Zonenverteilserver wird die Zone
nach diesem neuen Konzept vor der Verteilung auf die einzelnen Standorte
nochmals kopiert. Dieser Kopiervorgang brach mit ca. nur einem Drittel der
Datensätze fehlerhaft ab.
Zwar sollte auch dieser Vorgang abgesichert sein, der
Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet,
so dass im Effekt der Kopierfehler nicht entdeckt und der
Weiterverarbeitungsprozess nicht angehalten wurde.

Entsprechend steht der Vorgang in keinem direkten Zusammenhang mit dem am
Dienstag zuvor durchgeführten Umzug des Rechenzentrumsbetriebs für die
Registrierungsdienste von Amsterdam nach Frankfurt. Gleichermaßen gibt es
ebenfalls keinen Zusammenhang mit dem DNSSEC Testbed, noch waren Services
für Kooperationspartner, betriebene Secondaries für andere TLDs oder wären
Services des Anycast-Angebots für Dritte TLDs betroffen gewesen.

Mit freundlichen Grüßen

Beate Schulz
Pressereferat



--

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse@denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC Domain Verwaltungs- und Betriebsgesellschaft eG (Sitz: Frankfurt am
Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main

 

[Artimis]

Sorry, wenn ich nochmal daruf zurückkomme:

"Erstens heißt DNS "Domain-Name-Service", zweitens kürzt man DNS-Server oder NS-Server ab und drittens wäre es fatal, hätte die DENIC für die TLD ".de" lediglich einen einzigen Server in petto."
Ich dachte immer, es hieße "Domain-Name-System" - aber das ist wohl eher zweitranging, wenngleich man schon korrekt korrigieren sollte, wenn man es denn tut

Das liegt daran, dass DNS mehr oder weniger ein "Backronym" (oder so ähnlich ist). Das Internet wimmelt davon, PHP ist sogar eines, dass noch nie wirklich aufgelöst wurde. Und DNS ist BEIDES, Domain-Name-System und Domain-Name-Service, wobei man, wenn man ganz pingelich ist, differenzieren könnte

DAS ist kein Deutsch! "NS-Server" ... war ein "NS" nicht ein Name-Server?

Bei einigen Kofnigurationsoberflächen heißt es in etwa im FAQ: "Was ist ein NS-Server?" => "Ein NS-Server ist ein Name-Service-Server" Du hast Recht, es ist vielleicht eine blöde schreibweise, DNS-Server geht klar, aber NS-Server klingt im Nachinein auch für mich blöde, auch, wenn nur auf das "Domain" verzichtet wird und nicht das "S" anderweitig definiert wird

So, genug gespamt:

Die WZ hat den ursprünglichen Artikel offenbar vom Netz genommen und dafür diesen veröffentlicht: http://dergrobi.cc/l/f

Ich habe eine Rückmeldung von der WZ, dass der Artikel, um möglichst schnell berichten zu können, unsauber recherchiert wurde und dass in der gedruckten Version kein solcher Humbug steht
Btw: Der Link ist a) down und b) sehr komisch. Direktlinks oder gebräuchliche "Tiny-URL"-Dienste tuns auch

 

[fuchzga]

DNS = Domain-Name-System
NS-Server = Name-System-Server

So einfach ist das.

...gebräuchliche "Tiny-URL"-Dienste tuns auch

Häh? Gibts ausser'm dergrobi.cc noch andere Tiny-URL-Dienste?

 

[Lord Gurke]

Ach ihr seid ja alle doof
Ich hatte die URL mit meinem eigenen Dienst gekürzt und rumgeschickt. Und dann hatte ich keine Lust, noch die originale URL wieder rauszuholen.
Aber die Störung kann ich mir ehrlich gesagt nicht erklären - wenn da eine war, muss sie kürzer als 2 Minuten gewesen sein, sonst hätte mein Monitoring angeschlagen