Schlagwort: dns

Was bei Hetzner, DNS und YunoHost wirklich passiert ist

In den letzten Tagen hatte ich massive Probleme mit meinem YunoHost-Server bei Hetzner.
Das Admin-Panel war teilweise erreichbar, teilweise nicht. Zertifikate liefen aus, Firefox blockierte Zugriffe wegen HSTS, und Dienste wie Mastodon, WordPress, Matrix, Diaspora,Screensa verhielten sich instabil oder sehr träge. Oder waren nicht aufrufbar. Wie E-Mail-Verkehr.

Das Entscheidende vorweg:
Das Problem lag nicht bei YunHost, nicht bei Firefox und nicht bei meinem Server.
Die Ursache ist die laufende DNS-Migration bei Hetzner.

1. Die Ausgangslage

Mein Setup:

Hetzner VPS

YunHost

mehrere Domains (example.org, .eu, Subdomains wie srv, cloud, netz, treff, mastodon ,wp,dia,)

automatische Let’s-Encrypt-Zertifikate

DNS bisher über die alte Hetzner DNS-Konsole

Hetzner hat angekündigt:

Die alte DNS-Konsole (dns.hetzner.com) wird abgeschaltet.
Bestehende Zonen müssen in die neue Hetzner Console migriert werden.

👉 Klingt harmlos – ist es aber nicht, wenn man Server betreibt.

2. Das sichtbare Problem (Symptome)

Folgende Dinge traten gleichzeitig auf:

Firefox zeigt bei https://example.org/yunhost/sso: dns dmg

HSTS-Fehler

keine Möglichkeit, eine Ausnahme hinzuzufügen

Server YunHost meldet:

„DNS records are different to this server’s IP“

Zertifikate lassen sich nicht erneuern

Mastodon:

Föderation instabil

Verbindungsprobleme

dig zeigt:

intern: 1000.0.0.1

extern: andere IPs als erwartet

👉 Klassisches Zeichen für inkonsistente DNS-Quellen.

3. Warum das so kritisch ist (HSTS erklärt)

example.org nutzt HTTP Strict Transport Security (HSTS).

Das bedeutet:

Browser dürfen nur HTTPS

abgelaufene oder falsche Zertifikate = kompletter Zugriff gesperrt

kein „Ich vertraue trotzdem“-Button

💡 Das ist kein Bug – das ist Sicherheit.

Wenn DNS → falsche IP
dann Zertifikat → falsch
dann Browser → blockiert

Kette geschlossen. Ende.

4. Der entscheidende Hinweis: Zwei DNS-Welten gleichzeitig

Was wirklich passiert ist:

Alte Hetzner DNS-Konsole existiert noch

Neue Hetzner Console existiert schon

Domains sind teilweise migriert

Teilweise zeigen Records noch auf alte IPs

Teilweise schon auf neue IPs

Ergebnis:

Je nach Resolver (Server intern, Cloudflare, ISP, Browser)
bekommst du unterschiedliche Antworten.

Das ist der Worst Case für:

Zertifikate

Mail

Föderation (Mastodon und weitere Anwendungen)

Admin-Portale

5. Warum Hetzner-Support mir nicht helfen konnte

Ich habe:

ein Ticket eröffnet

telefonisch nachgefragt

Antwort (ehrlich & wichtig):

Der aktuelle Telefonsupport ist nur für Hardware & Rechenzentrum zuständig.
DNS-Migration = anderes Team.
Konkrete Hilfe zur neuen DNS-Console: aktuell kaum möglich.

👉 Das ist keine böse Absicht – die Migration läuft noch.

6. Warum der „Workaround“ keine Lösung ist

Ja, man kann:
yunhost domain cert renew DOMAIN –no-checks

Das funktioniert kurzfristig.

❌ Aber:

DNS bleibt falsch

Zertifikate brechen beim nächsten Renew

Mail bleibt fehleranfällig

Mastodon und weitere Programme bleiben instabil.

Das ist Flickschusterei – keine Lösung.

7. Die saubere Lösung (kein Workaround) ✅
Schritt 1: Eine einzige DNS-Quelle

👉 Entscheiden:

Entweder neue Hetzner Console

oder externer DNS (z. B. deSEC, Cloudflare)

❌ Nicht beides gleichzeitig

Da bei mir Cloudflare genauso vorhanden ist, bin ich erst spät darauf gekommen.

Schritt 2: Alle A / AAAA Records korrekt setzen

Für jede Domain & Subdomain:

A → 1000.200.100.10

AAAA → 2e001:4a9:122:39001::3

Keine alten IPs mehr (987.201.222.100, …259d::3).

Schritt 3: Wildcards & Mail sauber nachziehen

* A / AAAA setzen

MX setzen

SPF / DKIM / DMARC aktualisieren

CAA für Let’s Encrypt setzen

(YunHost sagt dir exakt, was fehlt – das ist Gold wert.)

Schritt 4: Warten (leider ja)

DNS braucht:

Minuten bis Stunden

manchmal 24–48 Stunden

Erst danach:

Zertifikate erneuern

Dienste testen

Mastodon stabilisieren

8. Warum jetzt plötzlich wieder manches geht

Du hast es selbst beobachtet:

Zertifikat für example.org geht wieder

Admin-Panel über ddd.example.org funktioniert

Probleme treten nur über das Portal / SSO auf

👉 Das bestätigt:
DNS-Inkonsistenz, nicht Serverfehler.
Per Terminal kommt man weiter partiell

9. Fazit

Das hier ist wichtig – für alle mit Servern:

DNS-Migrationen sind kein Detail.
Sie sind kritisch für alles darüber.

YunoHost funktioniert korrekt.
Firefox reagiert korrekt.
HSTS schützt korrekt.

Nur DNS muss einmal sauber, vollständig und einheitlich gemacht werden.
Und danach sollte Ihr Server wieder sauber laufen.

Glue Records: Was Sie wissen müssen und wie sie funktionieren

Inhalt:

In der Welt der Domain-Verwaltung und Web-Hosting stoßen Sie möglicherweise auf den Begriff „Glue Records“. Glue Records sind essenziell für die korrekte Funktionsweise von DNS und spielen eine wichtige Rolle bei der Verbindung von Domains mit ihren jeweiligen Webservern. In diesem Blogbeitrag werden wir erklären, was Glue Records sind und wie sie funktionieren.

Glue Records sind DNS-Einträge, die bei der zuständigen Domain-Registry hinterlegt werden, um eine zirkuläre Abhängigkeit zwischen einer Domain und ihrem Nameserver zu verhindern. Dies geschieht, wenn der Nameserver einer Domain unter derselben Domain liegt, die er bedient. Ohne Glue Records würde dies zu einer endlosen Schleife führen, da der Resolver versucht, den Nameserver zu finden, der für die Domain zuständig ist.

Die Verantwortung für Glue Records liegt beim Domain-Registrar. Der Domain-Registrar ist für die Verwaltung Ihrer Domain zuständig, einschließlich der DNS-Einträge und der Kommunikation mit der zuständigen Registry. Um Glue Records für Ihre Domain einzurichten, müssen Sie sich in der Regel in das Kundenportal Ihres Domain-Registrars einloggen und die entsprechenden Einstellungen vornehmen. Hier geben Sie die IP-Adressen der Nameserver an, die Sie verwenden möchten. Ihr Domain-Registrar wird diese Informationen dann an die Registry weiterleiten, damit die Glue Records korrekt hinterlegt werden.

Falls Sie zwei unterschiedliche Anbieter für Domain-Verwaltung und Server-Hosting haben, liegt die Verantwortung für Glue Records beim Domain-Registrar. Falls Sie Hilfe bei der Einrichtung von Glue Records benötigen, können Sie sich auch an den Support Ihres Domain-Registrars wenden. Sie sollten in der Lage sein, Ihnen bei der Konfiguration der Glue Records zu helfen und alle notwendigen Schritte zu erklären.

Zusammenfassend sind Glue Records essenzielle DNS-Einträge, die bei der Verbindung von Domains und ihren Webservern eine entscheidende Rolle spielen. Sie verhindern zirkuläre Abhängigkeiten und gewährleisten, dass Ihr Webauftritt reibungslos funktioniert. Achten Sie darauf, dass Ihre Glue Records korrekt konfiguriert sind, um mögliche Probleme mit Ihrer Domain und Ihrem Web-Hosting zu vermeiden.