Mittwoch, 18. Mai 2011, 10:55
Der NAST-Check der DENIC und IPv6
Zugegeben: Man kann sich darüber streiten, aber: Der NAST-Check der DENIC erwartet, dass DNS-Server, die mehrere IP-Adressen, darunter auch IPv6, haben, auf allen IP-Adressen korrekt antworten.
Das bedeutet konkret: Setzt man für einen DNS-Server zusätzlich eine IPv6-Adresse, muss der DNS-Dienst darauf auch sofort und sauber antworten, sonst moniert der NAST-Check (der so auch bei der Registrierung und Updates zum Tragen kommt) dies und weist den Antrag zurück.
Ich kann die Intention dahinter verstehen, aber zumindest bei IPv6 würde ich hier dringend anraten, falsche Ergebnisse (z.B. keine Antwort) nur als Warnung statt als Fehler zu werten.
Das bedeutet konkret: Setzt man für einen DNS-Server zusätzlich eine IPv6-Adresse, muss der DNS-Dienst darauf auch sofort und sauber antworten, sonst moniert der NAST-Check (der so auch bei der Registrierung und Updates zum Tragen kommt) dies und weist den Antrag zurück.
Ich kann die Intention dahinter verstehen, aber zumindest bei IPv6 würde ich hier dringend anraten, falsche Ergebnisse (z.B. keine Antwort) nur als Warnung statt als Fehler zu werten.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Klaus
Es besteht doch in der Tat ein Fehler. Wenn ein Internet-Nutzer per IPv6 unterwegs ist, wird dessen DNS-Resolver standardmäßig zuerst die v6-Adresse des DNS-Servers kontaktieren. Sollte dieser dort nicht antworten, liegt definitiv ein Fehler vor.
Das gilt insbesondere für Nutzer, denen ausschließlich IPv6 zur Verfügung steht, da diese die alternative v4-IP des DNS-Servers ja auch nicht erreichen. (ok, das ist derzeit noch ein eher theoretischer Fall, aber mittelfristig wird's darauf hinauslaufen)
Fazit: wenn man seinem DNS-Server eine v6-IP zuweist (d.h. entsprechende AAAA-Records und ggf. Glue-Records einrichtet), dann muss dieser auch auf dieser IP korrekt antworten.
Chris
Die Zeiten wo man mal mit IPv6 rumspielt, aber das alles noch nicht so genau funktionieren muss waren vor 10 Jahren. Inzwischen gehe ich davon aus, dass der Kram funktioniert.
Manuel Schmitt (manitu)
Es geht hier aber nicht um Spielen, sondern um die nicht gegebene Möglichkeit, z.B. bei der Beantragung des Vorgangs die IPv6-Records auszuschließen (ergo Hostname und IP-Adressen aktiv anzugeben - so tut es die NIC.AT auch). Dann wäre ich damit einverstanden!
Marcel
Wenn ich im für den NS-Record A und AAAA-Records habe, dann hat der Nameserver darauf zu reagieren. Wenn ich das nicht will, dann setze ich den NS-Record so, dass da nur ne IPv4-Adresse rauskommt.
Manuel Schmitt (manitu)
Beim NS-Record hat man keinen Einfluss darauf, ob der Abfragende A oder AAAA oder eben beides verwendet.
Des meinte einer
Ich habe mal 30 Versuche bei $mitbewerber gahebt eine Domain mit korrekten Nameservern auszustatten. Das Frontend von $mitbewerber hat leider nicht gerafft, dass die denic das nicht so angenommen hat und jeweils in deren nameservern schon die zonen geändert. war ein 'lustiger' Schwebezustand in der domain...
Wer IPv6 GLUEs haben will darf bei den meisten Domainzwischenhändlern noch mails schreiben, weil deren Frontends das nicht können. Die rechnen z.B. nicht damit, dass da ein Leerzeichen in die IP-Adressliste kommt und zeigen dann nur die erste bei denic eingetragene IP an.
Marcel
Und 6to4-Adressen als Nameserver akzeptiert die DENIC seit einiger Zeit auch nicht mehr für Nameserer. Das hat man auch klammheimlich bei der netten DENIC im Nameserver Predelegation Check als Bedingung eingeführt, da 6to4 nicht als global geroutet bei der IANA geführt wird...
Ach was hat ich schon für Spaß mit IPv6 und Domains
Sebastian H.