Nameserver van een .nl domein

Post by Paul van der Vlis
Hallo,
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

***@obelix:~$ dig +short vandervlis.nl ns
ns2.vandervlis.nl.
ns1.vandervlis.nl.
ns3.vandervlis.nl.

***@obelix:~$ dig +short ns2.vandervlis.nl
91.198.178.25

***@obelix:~$ dig +short ns2.vandervlis.nl aaaa
2a01:1b0:7999:424::25

.. etc

--
wil

Paul van der Vlis

2023-08-19 13:32:54 UTC

Post by Paul van der Vlis
Hallo,
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

ns2.vandervlis.nl.
ns1.vandervlis.nl.
ns3.vandervlis.nl.

Volgens mij komt deze info ook uit bovenstaande nameservers.

Wat ik wil is vragen aan de bovenliggende nameserver van "nl" wat de
correcte nameserver is voor het domein "vandervlis.nl".

Dus een commando zoals onderstaande, maar dan wel werkend:
dig @ns1.dns.nl +short vandervlis.nl ns

Bij het domein waar het om gaat komt hier niets uit, dat is fout. De
whois is echter goed. En als ik de nameserver direct vraag dan is het
ook goed.

Groet,
Paul

Post by Wil Taphoorn
91.198.178.25
2a01:1b0:7999:424::25
.. etc

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Paul van der Vlis

2023-08-19 14:33:53 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis
Hallo,
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

ns2.vandervlis.nl.
ns1.vandervlis.nl.
ns3.vandervlis.nl.

Volgens mij komt deze info ook uit bovenstaande nameservers.
Wat ik wil is vragen aan de bovenliggende nameserver van "nl" wat de
correcte nameserver is voor het domein "vandervlis.nl".

Zonder "+short" lijkt het wel de informatie te geven die ik nodig heb,
namelijk de DNS servers van het domein. Maar het staat in de "AUTHORITY
SECTION" en niet in de "ANSWER SECTION".

Bij het domein wat problemen geeft is dit ook zo.

Toch werkt de DNS niet bij het domein wat problemen geeft (en wel bij
vandervlis.nl), ik begrijp er niets van.

Sorry, ik voel me toch bezwaard de naam van het domein te noemen.

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Roger

2023-08-19 17:11:57 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis
Hallo,
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

ns2.vandervlis.nl.
ns1.vandervlis.nl.
ns3.vandervlis.nl.

Volgens mij komt deze info ook uit bovenstaande nameservers.
Wat ik wil is vragen aan de bovenliggende nameserver van "nl" wat de correcte nameserver
is voor het domein "vandervlis.nl".

Zonder "+short" lijkt het wel de informatie te geven die ik nodig heb, namelijk de DNS
servers van het domein. Maar het staat in de "AUTHORITY SECTION" en niet in de "ANSWER
SECTION".

Dat hoort zo.

De servers voor 'nl.' doen geen recursie (performance), zie de regel

;; WARNING: recursion requested but not available

in de output van 'dig'.

De nameservers van een delegerende zone kennen alleen de glue records voor de
gedelegeerde zone. Zonder recursie is de ANSWER SECTION leeg en worden de glue
records gerapporteerd in de AUTHORITY SECTION (NS records) en in de ADDITIONAL
SECTION (A/AAAA records) zodat de resolver daar verder kan vragen.

Glue records en authoritative records horen consistent te zijn.

Bij het domein wat problemen geeft is dit ook zo.
Toch werkt de DNS niet bij het domein wat problemen geeft (en wel bij vandervlis.nl),

'werkt niet' is heel erg vaag...

ik begrijp er niets van.

Ik had een tijdje geleden ook zo'n gevalletje. Mijn recursive DNS server logde
cookie errors (DNS cookies zijn onderdeel van EDNS). Daardoor kreeg ik query
timeouts. Oorzaak was waarschijnlijk een server configuratie issue van de
betreffende zone. Het probleem verdween vanzelf.

Een andere mogelijkheid is een DNSSEC validatieprobleem ('delv' is je vriend).

De DNS-wereld is er niet gemakkelijker op geworden met EDNS en DNSSEC. Er kunnen
allerlei niet-triviale problemen optreden.

Sorry, ik voel me toch bezwaard de naam van het domein te noemen.

Dan kunnen we alleen algemene suggesties geven.

Groeten,
-Roger

Paul van der Vlis

2023-08-19 18:01:55 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis
Hallo,
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

ns2.vandervlis.nl.
ns1.vandervlis.nl.
ns3.vandervlis.nl.

Volgens mij komt deze info ook uit bovenstaande nameservers.
Wat ik wil is vragen aan de bovenliggende nameserver van "nl" wat de
correcte nameserver is voor het domein "vandervlis.nl".

Zonder "+short" lijkt het wel de informatie te geven die ik nodig heb,
namelijk de DNS servers van het domein. Maar het staat in de
"AUTHORITY SECTION" en niet in de "ANSWER SECTION".

Dat hoort zo.
De servers voor 'nl.' doen geen recursie (performance), zie de regel
;; WARNING: recursion requested but not available
in de output van 'dig'.
De nameservers van een delegerende zone kennen alleen de glue records voor de
gedelegeerde zone. Zonder recursie is de ANSWER SECTION leeg en worden de glue
records gerapporteerd in de AUTHORITY SECTION (NS records) en in de ADDITIONAL
SECTION (A/AAAA records) zodat de resolver daar verder kan vragen.
Glue records en authoritative records horen consistent te zijn.

Het domein heeft geen eigen nameservers op het domein. En de gluerecords
van de gebruikte DNS servers zijn wel in orde.

Post by Paul van der Vlis
Bij het domein wat problemen geeft is dit ook zo.
Toch werkt de DNS niet bij het domein wat problemen geeft (en wel bij vandervlis.nl),

'werkt niet' is heel erg vaag...

Ik krijg "SERVFAIL" op iets als "host domein.nl 8.8.8.8".

Post by Paul van der Vlis
ik begrijp er niets van.

Ik had een tijdje geleden ook zo'n gevalletje. Mijn recursive DNS server logde
cookie errors (DNS cookies zijn onderdeel van EDNS). Daardoor kreeg ik query
timeouts. Oorzaak was waarschijnlijk een server configuratie issue van de
betreffende zone. Het probleem verdween vanzelf.
Een andere mogelijkheid is een DNSSEC validatieprobleem ('delv' is je vriend).

Dit blijkt het probleem te veroorzaken...

Ze hebben dnssec ingesteld bij de registrar, maar realiseren zich niet
dat ze daarvoor een key moeten krijgen van degene die de nameserver beheerd.

Post by Roger
De DNS-wereld is er niet gemakkelijker op geworden met EDNS en DNSSEC.

Inderdaad. EDNS kende ik overigens nog niet...

Post by Roger
Er kunnen
allerlei niet-triviale problemen optreden.

Post by Paul van der Vlis
Sorry, ik voel me toch bezwaard de naam van het domein te noemen.

Dan kunnen we alleen algemene suggesties geven.

Ik begrijp het: bedankt!

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Roger

2023-08-19 19:00:03 UTC

Post by Paul van der Vlis
Het domein heeft geen eigen nameservers op het domein.

In een zone file moeten de nameservers voor de zone zijn genoemd, anders heb je
een ongeldige configuratie. Die nameservers hoeven geen FQDN in de zone zelf te
hebben: de nameservers voor bv. domein.nl kunnen heel goed ns1.dnshoster.com en
ns2.anderednshoster.eu zijn (dus buiten de zone zelf). Maar dit bedoelde je denk
ik ook.

Groeten,
-Roger

Paul van der Vlis

2023-08-19 19:15:21 UTC

Post by Paul van der Vlis
Het domein heeft geen eigen nameservers op het domein.

In een zone file moeten de nameservers voor de zone zijn genoemd, anders
heb je een ongeldige configuratie. Die nameservers hoeven geen FQDN in de zone
zelf te hebben: de nameservers voor bv. domein.nl kunnen heel goed
ns1.dnshoster.com en
ns2.anderednshoster.eu zijn (dus buiten de zone zelf). Maar dit bedoelde
je denk ik ook.

Inderdaad, dat bedoelde ik.

Voor zover ik weet heb je alleen een gluerecord nodig als je een
nameserver op je eigen domein hebt. Anders zorgt die DNShoster daar wel
voor, en dat is in dit geval ook gewoon geregeld.

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Roger

2023-08-20 02:01:41 UTC

Voor zover ik weet heb je alleen een gluerecord nodig als je een nameserver op je eigen
domein hebt.

En alléén dan. BIND logt dacht ik een warning als je glue A/AAAA records specificeert
en de nameservers voor de gedelegeerde zone niet in die gedelegeerde zone zitten.

Groeten,
-Roger

Philip Paeps

2023-08-20 12:42:09 UTC

Post by Paul van der Vlis
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

dig @ns1.dns.nl vandervlis.nl NS

;; AUTHORITY SECTION:
vandervlis.nl. 3600 IN NS ns1.vandervlis.nl.
vandervlis.nl. 3600 IN NS ns2.vandervlis.nl.
vandervlis.nl. 3600 IN NS ns3.vandervlis.nl.

dnsX.dns.nl geeft enkel referals en glue en geen authoritatieve
antwoorden voor delegaties. Perfect conform de standaard, maar
misschien wat onverwacht voor tools als "host".

Post by Paul van der Vlis
Maar ik zal wel wat fout doen...

Neuh. Helemaal goed.

Post by Paul van der Vlis
Het domein van een klant van een klant heeft rare problemen die ik wil
uitzoeken. De whois geeft de correcte nameservers, en deze werken op
zich goed als ik ze direct vraag. Alleen andere nameservers doen het
niet, bijvoorbeeld "host domeinnaam.nl 8.8.8.8" geeft "SERVFAIL". Ik heb
verder geen contact met of toegang tot de registrar.

Glue ontbreekt?

Philip

--
Philip Paeps
Senior Reality Engineer
Alternative Enterprises

Paul van der Vlis

2023-08-20 20:18:13 UTC

Post by Philip Paeps

Post by Paul van der Vlis
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl

vandervlis.nl. 3600 IN NS ns1.vandervlis.nl.
vandervlis.nl. 3600 IN NS ns2.vandervlis.nl.
vandervlis.nl. 3600 IN NS ns3.vandervlis.nl.
dnsX.dns.nl geeft enkel referals en glue en geen authoritatieve
antwoorden voor delegaties. Perfect conform de standaard, maar
misschien wat onverwacht voor tools als "host".

Post by Paul van der Vlis
Maar ik zal wel wat fout doen...

Neuh. Helemaal goed.

Glue ontbreekt?
Philip

Het was een DNSsec issue.

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Coen

2023-08-20 17:02:57 UTC

Post by Paul van der Vlis
Hoe kan ik nagaan wat de nameserver van een NL-domein is?
host -t NS vandervlis.nl ns1.dns.nl
nserver:      NS1.DNS.NL 194.0.28.53 2001:678:2c:0:194:0:28:53
nserver:      NS3.DNS.NL 194.0.25.24 2001:678:20:0:0:0:0:24
nserver:      NS4.DNS.NL 185.159.199.200 2620:10a:80ac:0:0:0:0:200
Maar ik zal wel wat fout doen...
Het domein van een klant van een klant heeft rare problemen die ik wil
uitzoeken. De whois geeft de correcte nameservers, en deze werken op
zich goed als ik ze direct vraag. Alleen andere nameservers doen het
niet, bijvoorbeeld "host domeinnaam.nl 8.8.8.8" geeft "SERVFAIL". Ik heb
verder geen contact met of toegang tot de registrar.

Speel eens met:
dig +trace domein.tld

En in dit geval vermoed is een DNSsec issue.
Zie: https://dnsviz.net/

Gr,
Coen

Paul van der Vlis

2023-08-20 20:17:12 UTC