DNS

Wegen eines Kernel-Updates ist ein reboot der Server nötig. Durch den hier verwendeten Anycast ist der Dienst wie auf https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/2ba452a647764d9aa91c80a5d18f7772/ angegeben ohne Unterbrechung nutzbar.

Leider kam es während des Neustarts eines Servers zwischen 14:09 und 14:13 Uhr (UTC +0100) zu einer Unterbrechung des Dienstest, obwohl der verbliebene Server inkl. DNS-Service alive war.

Wegen eines kernelupdates muss der Server, welcher u.a. DNS64 bedient, neu gestartet werden.
*** English version ***

Das bei den RWTH DNS-Servern [0] im Rahmen von DoT und DoH verwendete Zertifikat muss ausgetauscht werden. Eine Unterbrechung des Dienstes ist nicht zu erwarten.
*** English version ***

Derzeit ist die Hauptnetzverbindung nach Frankfurt ausgefallen. Der gesamte Datenverkehr läuft jetzt über die Leitung nach Hannover.
*** English version ***

Wegen eines Kernel-Updates ist ein reboot der Server nötig. Durch den hier verwendeten Anycast ist der Dienst wie auf https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/2ba452a647764d9aa91c80a5d18f7772/ angegeben ohne Unterbrechung nutzbar.

Der DNS64-Dienst, welcher derzeit für den Test-Betrieb des NAT64 verwendet wird ist aktuell gestört

Störung wurde behoben

Some records have been added to the local RWTH response policy zone with "passthru" policy - so just logging but not blocking DNS requestst to known bad domains.

In dem Zeitraum wird das Routing der bisherigen XWiN-Router (Nexus 7700) auf die neuen XWiN-Router (Catalyst 9600) umgestellt. Diese Router sind für die Netzverbindung der RWTH unerlässlich. Für diese Umstellung ist auch die Migration der DFN-Anbindung, welche redundant nach Frankfurt und Hannover geschaltet sind, sowie der RWTH-Firewall auf die neuen System erforderlich.
Innerhalb des Wartungsfensters wird es zu Ausfällen oder Teilausfällen der Außenanbindung kommen. Alle Services der RWTH (bspw. VPN, Email, RWTHonline, RWTHmoodle) werden innerhalb dieses Zeitraums nicht zur Verfügung zu stehen. Die Erreichbarkeit von Services innerhalb des RWTH-Netzes ist aufgrund eingeschränkter DNS-Funktionalität zeitweise nicht gegeben.
---english---

Der Uplink nach Frankfurt wurde erfolgreich auf das neue System geschwenkt.

Umbau des Uplinks nach Hannover beginnt.

Uplink nach Hannover auf das neue System umgezogen.

BGP v4/v6 nach Frankfurt und Hannover sind nun über die neue Routern funktional.

Es stehen noch ein paar kleinere Nacharbeiten an.

Wartung ist abgeschlossen. Der Datenverkehr läuft nun vollständig über die neuen Router!

Problematik mit der Anbindung zur Physik identifiziert, Lösung erfolgt morgen früh.

Das Betriebssystem inkl. der verwendeten Software erfährt ein Update in dessen Durchführung ein Neustart erfolgen muss. Hierbei sollte es jedoch zu keinem Dienstausfall kommen.
--- English ---

Zum zweiten mal sehen wir heute ein verzögertes Antwortverhalten beim zentralen DNS der RWTH, der Dienst selber ist aber nicht beeinträchtigt.
--- English ---

Dienst läuft seit ca. 90 Minuten wieder wie gewohnt - die Suche nach der Ursache dauert am.
--- English ---

Das Betriebssystem inkl. der verwendeten Software erfährt ein Update in dessen Durchführung ein Neustart erfolgen muss. Hierbei sollte es jedoch zu keinem Dienstausfall kommen.
--- English ---

Im DNS-Admin wurde der in RFC 9495 beschrieben CAA issuemail record implementiert. Dieser regelt, welche CA S/MIME (aka Nutzeenden-) Zertifikate ausstellen darf.
Wir setzen hier (issuemail) wie bei Serverzertifikate (issue) die CA aus dem Trusted Certificate Service von GÉANT als default, Administrierende können aber weitere CA's durch eigene Einträge im DNS individuell authorisieren.
--- English ---

Das Betriebssystem inkl. der verwendeten Software erfährt ein Update in dessen Durchführung ein Neustart erfolgen muss. Hierbei sollte es jedoch zu keinem Dienstausfall kommen.
--- English ---

Nach den erfolgreichen Tests mit dem DNS Testsystem, wollen wir mit diesem Termin die Policiy der DNS-Firewall auch auf den prod. Server (https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) von "passthru" nach nxdomain" ändern. Hiermit soll der Verbindungsaufbau zu Webseiten/Rechnern mit Schadsoftware ergänzend zu den Mechanismen der RWTH-Firewall unterbunden werden. Trozt der durch das DFN und SWTICH bereitgestellten expliziten Allow-Listen kann es vorkommen, dass bestimmte/gewünschte/legitime Domäne (Webseiten) gesperrt wurden. Nach individueller Prüfung können diese über eine RWTH-eigenen Liste erlaubt werden. Im Falle einer solchen Sperrung bitten wir darum eine E-Mail an hostmaster@rwth-aachen.de zu schicken. Umgekehrt werden wir Studierende/Administrierende von Einrichtung kontaktieren, wenn wir in unseren expliziten RPZ-Logs Auffälligkeiten sehen.
--- English ---

Ein Server, der die DNS64 Test-Stellung bereitstellt, muss neu gestartet werden.
--- English ---

Auf dem DNS Test-Server werden wir die Policy von aktuell "passthru" auf einen restriktiveren Modus setzen um die Art und Weise auszuloten, wie wir das final auf den offiziellen DNS-Servern der RWTH implementieren wollen. Kunden, die den dort ebenfalls laufenden Testbetrieb von DNS64, relevant für NAT64 PoC, nutzen, sind von der Anpassung betroffen.
--- English ---

Über das DFN-Cert können wir deren sog. DNS-Firewall/DNS-RPZ nutzen. Mittels dieser Response-Policy-Zonen wollen wir langfristig die Anfragen an unsere DNS-Server nach nachweislich maliziösen Domänen unterbinden und protokollieren. Zum jetzigen Beginn starten wir jedoch mit einem sog. "passthru". Mit dieser Policy werden Anfragen wie gehabt beantwortet, die restriktivere Policy (bspw. Antwort mit "nxdomain") wird zu einem anderen Termin aktiviert.
--- English ---

Aufgrund von Linkflaps der Anbindung nach Frankfurt kommt es derzeit zu kurzen Unterbrechungen der Konnektivität. Es wird bereits an einer Lösung des Problems gearbeitet.

Erweiterung der Ticketqueues.

Nachdem das DFN-seitige Problem nachts wenig ausgeprägt auftrat, waren seit ca. 10:14 Uhr hochschulweit vorübergehende Qualitätseinschränkungen in der Außenanbindung bemerkbar (abbrechende Verbindungen usw.). Nach Diagnose zusammen mit dem DFN-Verein wurde das Routing gegen 10:55 Uhr manuell angepasst, so dass nun kein Datenverkehr mehr über die – immer noch selbsttätig zu- und abschaltende – Faserverbindung nach Frankfurt a.M. fließt.
Die Anbindung läuft nun stabil über Hannover, so dass der Faserdefekt für uns keine bemerkbaren Auswirkungen mehr hat.
(Zu einem späteren Zeitpunkt, nach Wiederherstellung einer stabilen Verbindung nach Frankfurt durch den DFN-Verein bzw. seine Auftragnehmer, werden wir das Routing über beide Faserwege wieder in Betrieb nehmen.)

Die Leitung nach Frankfurt ist seit 18:26 Uhr wieder im regulären Betrieb. Ein defekter Transceiver wurde auf der Gegenseite getauscht.

Nach dem Umzug der sog. Caching Nameserver (dokumentiert auf [0]) und eines Zonenservers muss auch noch der zweite Zonen-Server auf die neue Hardware migriert werden. An diesem Termin soll der zweite (von zwei an der RWTH) Zonen-Server umziehen.
Wer die auf [0] genannten Server bei sich eingetragen hat, ist von dieser Anpassung nicht betroffen. Wer andere Nameserver (bspw. die von Google) nutzt kann im Fehlerfall kurzweilig in Einzelfällen ein Problem haben. Da mit den beiden vom DFN betriebenen Zonenserver insg. hier 4 relevant (werden zufällig gewählt) sind sollten etwaige Fehler nur sporadisch auftreten
--- English ---

Nach dem Umzug der sog. Caching Nameserver (dokumentiert auf [0]) müssen auch noch die Zonen-Server auf die neue Hardware migriert werden. An diesem Termin soll eine (von zwei an der RWTH) Zonen-Server umziehen.
Wer die auf [0] genannten Server bei sich eingetragen hat, ist von dieser Anpassung nicht betroffen. Wer andere Nameserver (bspw. die von Google) nutzt kann im Fehlerfall kurzweilig in Einzelfällen ein Problem haben. Da mit den beiden vom DFN betriebenen Zonenserver insg. hier 4 relevant (werden zufällig gewählt) sind sollten etwaige Fehler nur sporadisch auftreten
--- English ---

Der DNS-Dienst zieht auf neue Hardware um. An den nutzbaren IPv4 und IPv6 Adressen (https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) ändert sich nichts.
Aufgrund der redundanten Aufstellung (AnyCast) und sequentieller Inbetriebnahme ist keine Unterbrechung geplant.
Der Fehler, welcher für die Unterbrechung am 17.12.2024 gesorgt hat, wurde behoben.

Der DNS-Dienst zieht auf neue Hardware um. An den nutzbaren IPv4 und IPv6 Adressen (https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) ändert sich nichts. Aufgrund der redundanten Aufstellung (AnyCast) und sequntieller Inbetriebnahme sollte keine Unterbrechung auftreten.
--- English ---

Während der Inbetriebnahme kam es zu einer kurzen Unterbrechung der Funktionalität zwischen 16:25 Uhr und 16:35 Uhr
Wir bitten dies zu entschuldigen

Die vorübergehenden Erreichbarkeitsprobleme sind behoben. DNS funktioniert wieder wie es soll.

wegen der Migration unseres Datenbankservers werden im Wartungszeitraum Applikationen auf TK-Portal, RA-Portal und NOC-Portal, sowie der Zugang zum WLAN RWTH-guests mit Gastkennung nicht zur Verfügung stehen.

Die Wartung ist beendet.

Die (Anycast-) Infrastruktur [0] erfährt ein Hard- und Software Upgrade. Geplant ist hier eine sukzessive Integration der neuen Komponenten in die bestehende Infrastruktur, damit diese am Ende von den auszutauschenden Elementen befreit werden kann.
--- English ---

Derzeit werden einige bei uns gehosteten Domänen/Zonen nicht korrekt aufgelöst.
An der Behebung wird gearbeitet.
--- English ---

Störung konnte behoben werden

Aufgrund einer Störung des DNS liefern die Nameserver verschiedener Provider aktuell keine IP-Adresse für Hosts unter *.rwth-aachen.de zurück.
Als Workaround können Sie alternative DNS-Server in Ihren Verbindungseinstellungen hinterlegen, wie z.B. die Level3-Nameserver (4.2.2.2 und 4.2.2.1) oder von Comodo (8.26.56.26 und 8.20.247.20). Ggf ist es auch möglich den VPN-Server der RWTH zu erreichen, dann nutzen Sie bitte VPN.

Anleitungen zur Konfiguration eines alternativen DNS-Server unter Windows finden Sie über die folgenden Links:
https:
www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/
https:
www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html
Als Alternative können Sie auch VPN nutzen. Wenn Sie den VPN-Server nicht erreichen, können Sie nach der folgenden Anleitung die Host-Datei unter Windows anpassen. Dadurch kann der Server vpn.rwth-aachen.de erreicht werden. Dazu muss der folgenden Eintrag hinzugefügt werden:
134.130.5.231 vpn.rwth-aachen.de
https:
www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/

Die Host der RWTH Aachen sind nun wieder auch von ausserhalb des RWTH Netzwerkes erreichbar.

Auch nach der Störungsbehebung am 25.8. um 21 Uhr kann es bei einzelnen Nutzer*innen zu Problemen gekommen sein. Am 26.8. um 9 Uhr wurden alle Nacharbeiten abgeschlossen, sodass es zu keinen weiteren Problemen kommen sollte.

wegen einer Wartung des Systems noc-portal werden einige unserer Webdienste zum Steuern der Internet Basisdienste kurzzeitig im Wartungszeitraum nicht zur Verfügung stehen.
Unter anderem sind betroffen:
* DNS-Admin
* DHCP- Admin
* RADIUS-Admin
* Interface-Admin
* Firewall-Admin & -Formular
* WLAN Gastaccounts (anlegen)

Wegen einer Wartung des zugrundeliegenden Datenbankservers ist im Wartungszeitraum mit Ausfällen von Webdiensten zu rechnen:
* NOC-Portal (z.B. DNS-Admin, DHCP-Admin, RADIUS-Admin, Interface-Admin, WLAN Gäste einrichten)
* TK-Portal
* RA-Portal
Die Dienste laufen wie gewohnt weiter. Bitte versuchen Sie zu einem späteren Zeitpunkt Ihre gewünschten Änderungen einzutragen.

leider ist die Wartung noch nicht zum Abschluss gekommen, weswegen die Daten heute für ca 1h nicht zur Verfügung stehen.

Die Migration ist abgeschlossen

Die E-Mail spezifischen TXT-record für SPF, DKIM und DMARC können ab dem 15.05.2024 nur noch über das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) beantragt werden.
Alle weiteren TXT-record Werte sind weiterhin möglich.
---english version---

Wegen eines Kernel-Updates ist ein reboot der Server nötig. Durch den hier verwendeten Anycast ist der Dienst wie auf https:
help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/ angegeben ohne Unterbrechung nutzbar.