Nach und nach fiel am Mittwochnachmittag die Top-Level-Domain .de aus. Offenbar lag dies daran, dass die zuständigen Server bei der .de-Registry DeNIC zum Teil gar nicht und zum Teil falsch auf DNS-Anfragen antworteten. Dass überhaupt für manche Nutzer noch einige de-Server unter ihrem DNS-Namen erreichbar waren, liegt an den Zwischenspeichern der DNS-Server bei den Internet-Providern.
Was war passiert?
Wenn der Name www.test.de aufgelöst werden soll, wird zunächst bei einem der DNS-Root-Server nachgefragt, wer für die Domain „de“ zuständig ist. Dann wird dort nach dem Zuständigen für test.de gefragt, schließlich dieser Server nach www.test.de. Da beim zweiten Schritt am Mittwoch keine brauchbare Antwort kam, schlug die ganze Auflösung fehl.
Die Probleme mit den DNS-Server hingen möglicherweise mit dem Umzug der Registry-Dienste des DeNIC von Amsterdam nach Frankfurt zusammen. Die Umschaltung sollte am Dienstag um 10 Uhr beginnen und laut DeNIC 3 bis 6 Stunden dauern. Währenddessen sollten einige Dienste für DeNIC-Mitglieder und Domain-Inhaber nicht verfügbar sein – dass der DNS für die .de-Zone in der Folge ausfiel, war sicherlich nicht Teil dieser Planung. Das DeNIC hatte noch explizit versichert, dass die .de-Nameserver nicht von dem Umzug betroffen seien.
Durch die defekten Zone-Files lieferten die DNS-Server nicht nur einfach gar keine Antwort, sondern behaupteten auf Anfrage schlicht, die angefragte Domain existiere nicht. Dadurch wurden nicht einfach weitere, während der Störung noch funktionierende Server abgefragt. Außerdem wurde der Mail-Verkehr durch nicht auflösbare Adressen massiv gestört.
Ein schwerwiegenderes Problem für viele Anwender als die kurzzeitige Nichterreichbarkeit von .de-Domains dürften verschwundene bzw. verloren gegangene Mails sein. Die meisten Mail-Server überprüfen die Absendeadresse einer eingehenden Mail über die Namensauflösung – meldet der DNS-Server allerdings zurück, die Domain, unter der die Mail verschickt wurde, existiere nicht, nimmt er sie gar nicht erst an. Der sendende Mail-Server sollte dann eine Information für den Anwender produzieren, dass die Mail nicht zugestellt werden konnte bzw. die Annahme verweigert wurde – was aber wohl nicht alle Server auch wirklich erledigen. Auch nachdem die DeNIC-Nameserver wieder funktionieren, kann dieses Problem – ebenso wie teilweise anhaltende Probleme mit einzelnen Sites – durch die falschen Informationen in den Caches bei Providern und Dienstleistern noch eine Weile anhalten.
Das DeNIC hat zur mittwöchigen Panne eine knappe Presseerklärung veröffentlich, die Sie hier nachlesen können.
1&1 wiederum meldete am gestrigen Vatertag, dass zwischen 8.50 Uhr und 10.50 Uhr von vielen Internetanschlüssen in Deutschland nicht auf Dienste in den Rechenzentren des Serviceanbieters zugegriffen werden konnte. Offenbar waren davon auch die Schwesterunternehmen GMX.de und web.de betroffen, bei denen es zu Problemen im Zugriff auf Emails kam.
Ursache seien Softwarefehler bei einem zentralen Internet-Router von 1&1 in Frankfurt gewesen. Dieser Router wiederum ist mit dem zentralen Internetknoten DECIX verbunden.
Urs Mansmann von der Computerzeitschrift c’t nimmt zu den vorliegenden und zurückliegenden Zugriffsproblemen in der Tagesschau Stellung.
Beide Zwischenfälle sind wohl nicht miteinander vergleichbar, zeigen aber die Fragilität des Internets. Behauptet das DeNIC, dass der Zwischenfall am Mittwoch die Domänen betraf, deren Namen mit Buchstaben zwischen E und O begannen, so konnte die Tagesschau nachweisen, dass auch ihre Domain www.tagesschau.de zeitweise nicht verfügbar war.
Eine so genannte Denial of Service Attacke (DoS) schließt Miro Braun vom DeNIC bislang jedenfalls aus. Entsprechend äußerte er sich gegenüber dem Spiegel.
One Reply to “Zwischenfall mit .de-Internet-Domains”