Im DNS-Admin wurde der in RFC 9495 beschrieben CAA issuemail record implementiert. Dieser regelt, welche CA S/MIME (aka Nutzeenden-) Zertifikate ausstellen darf. Wir setzen hier (issuemail) wie bei Serverzertifikate (issue) die CA aus dem Trusted Certificate Service von GÉANT als default, Administrierende können aber weitere CA's durch eigene Einträge im DNS individuell authorisieren. --- English --- The CAA issuemail record described in RFC 9495 has been implemented in the DNS-Admin. This regulates which CA may issue S/MIME (aka user) certificates. As with server certificates (issue), we set the CA from the Trusted Certificate Service from GÉANT as the default here (issuemail), but administrators can authorize other CAs individually using their own entries in the DNS.
Das Betriebssystem inkl. der verwendeten Software erfährt ein Update in dessen Durchführung ein Neustart erfolgen muss. Hierbei sollte es jedoch zu keinem Dienstausfall kommen. --- English --- The operating system including the software used undergoes an update during which it must be restarted. However, this should not result in a loss of service.
Nach den erfolgreichen Tests mit dem DNS Testsystem, wollen wir mit diesem Termin die Policiy der DNS-Firewall auch auf den prod. Server (https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) von "passthru" nach nxdomain" ändern. Hiermit soll der Verbindungsaufbau zu Webseiten/Rechnern mit Schadsoftware ergänzend zu den Mechanismen der RWTH-Firewall unterbunden werden. Trozt der durch das DFN und SWTICH bereitgestellten expliziten Allow-Listen kann es vorkommen, dass bestimmte/gewünschte/legitime Domäne (Webseiten) gesperrt wurden. Nach individueller Prüfung können diese über eine RWTH-eigenen Liste erlaubt werden. Im Falle einer solchen Sperrung bitten wir darum eine E-Mail an hostmaster@rwth-aachen.de zu schicken. Umgekehrt werden wir Studierende/Administrierende von Einrichtung kontaktieren, wenn wir in unseren expliziten RPZ-Logs Auffälligkeiten sehen. --- English --- After the successful tests with the DNS test system, we want to change the policy of the DNS firewall on the prod. server (https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) from “passthru” to “nxdomain”. This is intended to prevent the establishment of connections to websites/computers with malware in addition to the mechanisms of the RWTH firewall. Despite the explicit allow lists provided by DFN and SWTICH, it is possible that certain/desired/legitimate domains (websites) have been blocked. After an individual check, these can be allowed via an RWTH's own list. In the event of such a block, please send an e-mail to hostmaster@rwth-aachen.de. Conversely, we will contact students/administrators of the institution if we see anomalies in our explicit RPN logs.
Ein Server, der die DNS64 Test-Stellung bereitstellt, muss neu gestartet werden. --- English --- A server that provides the DNS64 test position must be restarted.
Auf dem DNS Test-Server werden wir die Policy von aktuell "passthru" auf einen restriktiveren Modus setzen um die Art und Weise auszuloten, wie wir das final auf den offiziellen DNS-Servern der RWTH implementieren wollen. Kunden, die den dort ebenfalls laufenden Testbetrieb von DNS64, relevant für NAT64 PoC, nutzen, sind von der Anpassung betroffen. --- English --- On the DNS test server, we will set the policy from the current “passthru” to a more restrictive mode in order to explore how we want to implement this on the official DNS servers of the RWTH. Customers who also use the DNS64 test operation running there, relevant for NAT64 PoC, are affected by the adjustment.
Über das DFN-Cert können wir deren sog. DNS-Firewall/DNS-RPZ nutzen. Mittels dieser Response-Policy-Zonen wollen wir langfristig die Anfragen an unsere DNS-Server nach nachweislich maliziösen Domänen unterbinden und protokollieren. Zum jetzigen Beginn starten wir jedoch mit einem sog. "passthru". Mit dieser Policy werden Anfragen wie gehabt beantwortet, die restriktivere Policy (bspw. Antwort mit "nxdomain") wird zu einem anderen Termin aktiviert. --- English --- We can use their so-called DNS firewall/DNS RPZ via DFN-Cert. In the long term, we want to use these response policy zones to prevent and log queries to our DNS servers for domains that are demonstrably malicious. For the time being, however, we are starting with a so-called “passthru”. With this policy, queries are answered as usual, the more restrictive policy (e.g. response with “nxdomain”) will be activated at another time.
Aufgrund von Linkflaps der Anbindung nach Frankfurt kommt es derzeit zu kurzen Unterbrechungen der Konnektivität. Es wird bereits an einer Lösung des Problems gearbeitet.
Erweiterung der Ticketqueues.
Nachdem das DFN-seitige Problem nachts wenig ausgeprägt auftrat, waren seit ca. 10:14 Uhr hochschulweit vorübergehende Qualitätseinschränkungen in der Außenanbindung bemerkbar (abbrechende Verbindungen usw.). Nach Diagnose zusammen mit dem DFN-Verein wurde das Routing gegen 10:55 Uhr manuell angepasst, so dass nun kein Datenverkehr mehr über die – immer noch selbsttätig zu- und abschaltende – Faserverbindung nach Frankfurt a.M. fließt. Die Anbindung läuft nun stabil über Hannover, so dass der Faserdefekt für uns keine bemerkbaren Auswirkungen mehr hat. (Zu einem späteren Zeitpunkt, nach Wiederherstellung einer stabilen Verbindung nach Frankfurt durch den DFN-Verein bzw. seine Auftragnehmer, werden wir das Routing über beide Faserwege wieder in Betrieb nehmen.)
Die Leitung nach Frankfurt ist seit 18:26 Uhr wieder im regulären Betrieb. Ein defekter Transceiver wurde auf der Gegenseite getauscht.
Nach dem Umzug der sog. Caching Nameserver (dokumentiert auf [0]) und eines Zonenservers muss auch noch der zweite Zonen-Server auf die neue Hardware migriert werden. An diesem Termin soll der zweite (von zwei an der RWTH) Zonen-Server umziehen. Wer die auf [0] genannten Server bei sich eingetragen hat, ist von dieser Anpassung nicht betroffen. Wer andere Nameserver (bspw. die von Google) nutzt kann im Fehlerfall kurzweilig in Einzelfällen ein Problem haben. Da mit den beiden vom DFN betriebenen Zonenserver insg. hier 4 relevant (werden zufällig gewählt) sind sollten etwaige Fehler nur sporadisch auftreten --- English --- After the relocation of the so-called caching name servers (documented on [0]), the zone servers must also be migrated to the new hardware. On this date, one (of two at RWTH) zone servers will be moved. Anyone who has registered the servers mentioned on [0] will not be affected by this adjustment. Those who use other name servers (e.g. those of Google) may have a problem in individual cases in the event of an error. With the two zone servers operated by the DFN in total four servers are relevant here (chosen at random), any errors should only occur sporadically. [0] https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/
Nach dem Umzug der sog. Caching Nameserver (dokumentiert auf [0]) müssen auch noch die Zonen-Server auf die neue Hardware migriert werden. An diesem Termin soll eine (von zwei an der RWTH) Zonen-Server umziehen. Wer die auf [0] genannten Server bei sich eingetragen hat, ist von dieser Anpassung nicht betroffen. Wer andere Nameserver (bspw. die von Google) nutzt kann im Fehlerfall kurzweilig in Einzelfällen ein Problem haben. Da mit den beiden vom DFN betriebenen Zonenserver insg. hier 4 relevant (werden zufällig gewählt) sind sollten etwaige Fehler nur sporadisch auftreten --- English --- After the relocation of the so-called caching name servers (documented on [0]), the zone servers must also be migrated to the new hardware. On this date, one (of two at RWTH) zone servers will be moved. Anyone who has registered the servers mentioned on [0] will not be affected by this adjustment. Those who use other name servers (e.g. those of Google) may have a problem in individual cases in the event of an error. With the two zone servers operated by the DFN in total four servers are relevant here (chosen at random), any errors should only occur sporadically. [0] https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/
Der DNS-Dienst zieht auf neue Hardware um. An den nutzbaren IPv4 und IPv6 Adressen (https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) ändert sich nichts. Aufgrund der redundanten Aufstellung (AnyCast) und sequentieller Inbetriebnahme ist keine Unterbrechung geplant. Der Fehler, welcher für die Unterbrechung am 17.12.2024 gesorgt hat, wurde behoben.
Der DNS-Dienst zieht auf neue Hardware um. An den nutzbaren IPv4 und IPv6 Adressen (https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) ändert sich nichts. Aufgrund der redundanten Aufstellung (AnyCast) und sequntieller Inbetriebnahme sollte keine Unterbrechung auftreten. --- English --- The DNS service is moving to new hardware. The usable IPv4 and IPv6 addresses (https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/) will not change. Due to the redundant setup (AnyCast) and sequential commissioning, there should be no interruption.
Während der Inbetriebnahme kam es zu einer kurzen Unterbrechung der Funktionalität zwischen 16:25 Uhr und 16:35 Uhr Wir bitten dies zu entschuldigen
Die vorübergehenden Erreichbarkeitsprobleme sind behoben. DNS funktioniert wieder wie es soll.
wegen der Migration unseres Datenbankservers werden im Wartungszeitraum Applikationen auf TK-Portal, RA-Portal und NOC-Portal, sowie der Zugang zum WLAN RWTH-guests mit Gastkennung nicht zur Verfügung stehen.
Die Wartung ist beendet.
Die (Anycast-) Infrastruktur [0] erfährt ein Hard- und Software Upgrade. Geplant ist hier eine sukzessive Integration der neuen Komponenten in die bestehende Infrastruktur, damit diese am Ende von den auszutauschenden Elementen befreit werden kann. --- English --- The (anycast) infrastructure [0] is undergoing a hardware and software upgrade. The plan here is to successively integrate the new components into the existing infrastructure so that it can ultimately be freed from the elements to be replaced. [0] https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/
Mit diesem Termin wird einer der neuen DNS-Server (Caching) in Betrieb genommen, sodass via Anycast Anfragen an die 134.130.4.1 und 134.130.5.1 sowie 2a00:8a60:0:4::1 und 2a00:8a60:0:45:1 nicht mehr nur die beiden alten - geo-redundant verteilten - Server, sondern auch an einen der neuen Server weitergeleitet und von diesem beantwortet werden. In den nächsten Schritten folgt dann die Einbindung des DNS-Caching-Server auf dem zweiten Server, der harte Wechsel der Zonen-Server auf die neue Hardware sowie Ausgliederung der abzulösenden Komponenten.
Derzeit werden einige bei uns gehosteten Domänen/Zonen nicht korrekt aufgelöst. An der Behebung wird gearbeitet. --- English --- Currently some domains/zones hosted by us are not resolving correctly. We are working on fixing this.
Störung konnte behoben werden
Aufgrund einer Störung des DNS liefern die Nameserver verschiedener Provider aktuell keine IP-Adresse für Hosts unter *.rwth-aachen.de zurück. Als Workaround können Sie alternative DNS-Server in Ihren Verbindungseinstellungen hinterlegen, wie z.B. die Level3-Nameserver (4.2.2.2 und 4.2.2.1) oder von Comodo (8.26.56.26 und 8.20.247.20). Ggf ist es auch möglich den VPN-Server der RWTH zu erreichen, dann nutzen Sie bitte VPN. // Due to DNS disruption, the name servers of various providers are currently not returning an IP address for hosts under *.rwth-aachen.de. As a workaround, you can store alternative DNS servers in your connection settings, e.g. the Level3-Nameserver (4.2.2.2 and 4.2.2.1) or Comodo (8.26.56.26 und 8.20.247.20). It may also be possible to reach the RWTH VPN server, in which case please use VPN.
Anleitungen zur Konfiguration eines alternativen DNS-Server unter Windows finden Sie über die folgenden Links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html Als Alternative können Sie auch VPN nutzen. Wenn Sie den VPN-Server nicht erreichen, können Sie nach der folgenden Anleitung die Host-Datei unter Windows anpassen. Dadurch kann der Server vpn.rwth-aachen.de erreicht werden. Dazu muss der folgenden Eintrag hinzugefügt werden: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/ // Instructions for configuring an alternative DNS server under Windows can be found via the following links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html You can also use VPN as an alternative. If you cannot reach the VPN server, you can adjust the host file under Windows according to the following instructions. This will allow you to reach the server vpn.rwth-aachen.de. To do this, the following entry must be added: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/
Die Host der RWTH Aachen sind nun wieder auch von ausserhalb des RWTH Netzwerkes erreichbar. // The hosts of RWTH Aachen University can now be reached again from outside the RWTH network.
Auch nach der Störungsbehebung am 25.8. um 21 Uhr kann es bei einzelnen Nutzer*innen zu Problemen gekommen sein. Am 26.8. um 9 Uhr wurden alle Nacharbeiten abgeschlossen, sodass es zu keinen weiteren Problemen kommen sollte. // Individual users may have experienced problems even after the fault was rectified on 25 August at 9 pm. On 26.8. at 9 a.m. all follow-up work was completed, so there should be no further problems.
wegen einer Wartung des Systems noc-portal werden einige unserer Webdienste zum Steuern der Internet Basisdienste kurzzeitig im Wartungszeitraum nicht zur Verfügung stehen. Unter anderem sind betroffen: * DNS-Admin * DHCP- Admin * RADIUS-Admin * Interface-Admin * Firewall-Admin & -Formular * WLAN Gastaccounts (anlegen)
Wegen einer Wartung des zugrundeliegenden Datenbankservers ist im Wartungszeitraum mit Ausfällen von Webdiensten zu rechnen: * NOC-Portal (z.B. DNS-Admin, DHCP-Admin, RADIUS-Admin, Interface-Admin, WLAN Gäste einrichten) * TK-Portal * RA-Portal Die Dienste laufen wie gewohnt weiter. Bitte versuchen Sie zu einem späteren Zeitpunkt Ihre gewünschten Änderungen einzutragen.
leider ist die Wartung noch nicht zum Abschluss gekommen, weswegen die Daten heute für ca 1h nicht zur Verfügung stehen.
Die Migration ist abgeschlossen
--English Version Below-- Die E-Mail spezifischen TXT-record für SPF, DKIM und DMARC können ab dem 15.05.2024 nur noch über das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) beantragt werden. Alle weiteren TXT-record Werte sind weiterhin möglich. ---english version--- From 15.05.2024, the e-mail-specific TXT record for SPF, DKIM and DMARC can only be requested via the IT-ServiceDesk (servicedesk@itc.rwth-aachen.de). All other TXT record values are still possible.
Wegen eines Kernel-Updates ist ein reboot der Server nötig. Durch den hier verwendeten Anycast ist der Dienst wie auf https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/ angegeben ohne Unterbrechung nutzbar.
Da das aktuelle (DFN-PKI) Zertifikat am 04.11.2023 ausläuft, werden wir mit diesem Termin das bei DNS over TLS (DoT) verwendete gegen eines via TCS ausgestellte ersetzen. Leider werden wir bei diesem Wechsel die IPv4/IPv6 Adressen im SAN des Zertifikates verlieren, sodass bei bspw. Android - Private DNS die FQDN aus der nachstehenden URL einzutragen sind. https://help.itc.rwth-aachen.de/service/rhjc72ly4wmw/article/89438b835bbb4c9fab1249e0b9a5c439/