Foutmelding DNSSEC inschakelen in M365-tenant

Ik heb dit ook op het moment, hoe nieuw is jouw domein?

Mijne bestaat nu max 24u, heb DNSSEC al een keer uit en aan gezet in het portal van CloudFlare.

Edit: Ook ik heb een case aangemaakt bij Microsoft nu.

[ Voor 15% gewijzigd door oxyle op 14-01-2026 01:29 ]

Ah,

Ik heb vandaag blijkbaar gemiste oproepen gehad van Microsoft. Maar dat is dus niet echt het geval geweest, helaas nog niemand kunnen spreken. Wel al een engineer die mij probeert te contacten maar niet doorkomt.

Ik heb momenteel precies hetzelfde bij een domeinname die al jaren DNSSEC heeft aanstaan. Ik gebruik hetzelfde commando Enable-DnssecForVerifiedDomain maar wel op Linux (PowerShell 7.5.4). De status opvragen werkt wel met Get-DnssecStatusForVerifiedDomain.

Ik loop tegen hetzelfde aan, het gaat bij mij net als @oxyle om Cloudflare domeinen, dus ik heb het net getest met een domein wat via ArgeWeb dns loopt. Daar werkt het gewoon zonder foutmelding.

@Nortepe85 @alrikjan betreft het bij jullie ook domeinen met Cloudflare dns?

Google Cloud DNS oftewel dit soort nameservers

name server ns-cloud-e1.googledomains.com.
name server ns-cloud-e2.googledomains.com.
name server ns-cloud-e3.googledomains.com.
name server ns-cloud-e4.googledomains.com.

-- edit 17:10

Ik heb nu ook via de betreffende tenant een support request ingeschoten met voorkeur voor antwoord per email. Als ik wat hoor laat ik het hier weten.

-- edit 18:53

Bevestiging van Microsoft, case assigned aan een engineer

-- edit 16 jan 14:30

Zojuist gebeld door een nummer uit Washington (+1 425-xxx-xxxx). Niet opgenomen omdat ik nooit buitelandse nummers vertrouw. Dat bleek Microsoft te zijn geweest. Kreeg per email de vraag wanneer ik bereikbaar ben. We gaan het maandag opnieuw proberen.

[ Voor 58% gewijzigd door alrikjan op 16-01-2026 14:56 . Reden: update ]

@Nortepe85 ja, dat ze mij 3x proberen te contacten... Verder nog 0,0 gezien van de betreffende mensen bij Microsoft.

killugh schreef op donderdag 15 januari 2026 @ 15:49:
Ik loop tegen hetzelfde aan, het gaat bij mij net als @oxyle om Cloudflare domeinen, dus ik heb het net getest met een domein wat via ArgeWeb dns loopt. Daar werkt het gewoon zonder foutmelding.

@Nortepe85 @alrikjan betreft het bij jullie ook domeinen met Cloudflare dns?

Ik heb ook een ander domein en dat loopt ook via CloudFlare al maanden helemaal zonder issues!

[ Voor 67% gewijzigd door oxyle op 15-01-2026 20:41 ]

Goeiemorgen!

Ik zojuist gebeld door Microsoft vanaf een nummer in Amsterdam (maar heel duidelijk een stem uit India). Een vriendelijke dame heeft doorgenomen wat ik probeer te doen. Ze zei eerst "Alles staat al goed in het Admin Center", dus ik heb toegelicht dat dit de oude manier is van MX records maken en dat we de nieuwe manier willen (DANE en DNSSEC) en dat Microsoft nu alleen aanbiedt via powershell commando's.

Ze gaat het intern bespreken. Ben benieuwd of ik nog wat hoor

[ Voor 0% gewijzigd door alrikjan op 19-01-2026 09:22 . Reden: typo ]

Ik moet nog steeds gebeld worden... Thanks heren voor de update, ik laat weten zodra ik iets hoor.

Goeiemorgen, ik heb gistermiddag echt een serieus, goed en uitgebreid antwoord gehad per mail van Microsoft.

Waar het om gaat is dat het commando om dnssec te enablen een provisioning check doet op het domein. Die mislukt in sommige gevallen. Bekend bij Microsoft zijn inderdaad Cloudflare en Google DNS.

De reden van de failure is niet helemaal duidelijk nog. Ze raden aan om twee checks te doen

-- begin quote --

What you can (and should) do now

1. Verify DNSSEC independently (for completeness)

Verisign DNSSEC Debugger
DNSViz

Microsoft explicitly recommends these during setup.

2. Wait and retry (this actually works)

This error is transient in many tenants.
Best practice right now:
Wait 24–72 hours
Retry the cmdlet
Avoid repeated rapid retries (they don’t help)

This aligns with Microsoft’s documented rollout behavior for inbound DNSSEC provisioning.

-- end quote --

Daar komt de grap, Verisign geeft groen licht op de dnssec controle en eigenlijk DNSViz ook, maar wel met deze errors

NSEC3 proving non-existence of 4itqr.l14wo.[mijndomeinnaam.nl]/A: An iterations count of 0 must be used in NSEC3 records to alleviate computational burdens. See RFC 9276, Sec. 3.1.

Die RFC sectie gaat over best practice en dit is een computational performance issue. Op de schaal waarop Microsoft dit implementeert waarschijnlijk niet onbelangrijk.

https://datatracker.ietf.org/doc/rfc9276/

Dat is even alles wat ik weet. Geen idee of ik bij Google DNS invloed heb op die NSEC waardes.
Ik heb nog wel even bevestiging gevraagd bij Microsoft support of dit het issue kan zijn.

Fijne dag allemaal.
Alrik.

-- edit 11:15 uur

Okay, ik heb nu een probleem. Bij google dns kan je alleen bij het aanmaken van de zone kiezen voor NSEC of NSEC3. Onze programmeur heeft alle zones aangemaakt met NSEC3. De enige manier om nu nog over te schakelen is een nieuwe zone maken en daar alle records naar toe migreren. Dan ga ik liever naar Cloudflare als het daar wel goed werkt of in ieder geval configureerbaar is?

Dit is de gcloud manier om te vinden hoe je zone is aangemaakt:

$ gcloud dns managed-zones describe zonenaam-nl

Met dig

$ dig +trace domeinnaam.nl +dnssec NSEC3PARAM |grep NSEC3

Gister heb ik een domein bij Cloudflare aangemaakt en zie dat die NSEC gebruikt in plaats van NSEC3.

Ik ga eens even denken hoe verder..

[ Voor 17% gewijzigd door alrikjan op 20-01-2026 11:14 . Reden: aanvulling ]

Ik heb meerdere domeinen in mijn 365 tenant, via Cloudflare dns, en bij allemaal is de Verisign en Dnsviz succesvol (zonder waarschuwingen). Het lukt me bij geen enkel domein om dnssec in te schakelen in 365.
Ook de retry heeft geen effect.

Als je gaat zoeken naar de foutmelding dan krijg je geen enkel ander resultaat dan dit Tweakers topic, wat doet vermoeden dat het aantal gevallen beperkt is tot een erg kleine groep (of regio?).

killugh schreef op dinsdag 20 januari 2026 @ 22:37:
Ik heb meerdere domeinen in mijn 365 tenant, via Cloudflare dns, en bij allemaal is de Verisign en Dnsviz succesvol (zonder waarschuwingen). Het lukt me bij geen enkel domein om dnssec in te schakelen in 365.
Ook de retry heeft geen effect.

Hoi bedankt voor deze informatie. Dat scheelt me een hoop gehannes met zones opnieuw aanmaken. Dat heeft dan uiteindelijk geen zin. We gaan maar gewoon afwachten tot het onze beurt is bij de rollout van Microsoft. Het zal er wel een keer gaan komen. Toch?

Ik had zelf geen ticket aangemaakt, maar hier werkt het nu ook. Ze zullen toch wel iets aangepast hebben dan.

oxyle schreef op woensdag 21 januari 2026 @ 23:54:
Op: https://testconnectivity.microsoft.com/
No SMTP servers found.

Gerelateerde meldingen krijgt?

Ja, die melding kreeg ik eerder deze week ook, heb dat vandaag niet meer geprobeerd. Die tool lijkt stuk?

killugh schreef op woensdag 21 januari 2026 @ 22:29:
Ik had zelf geen ticket aangemaakt, maar hier werkt het nu ook. Ze zullen toch wel iets aangepast hebben dan.

Het werkt bij mij nu ook opeens! Wow. Nice, mijn dag is goed.

Heb 1 domein binnen een tenant aan kunnen passen, de overige (2) weigeren nog!
We wachten even af en proberen het later weer.

Gistermiddag kunnen inschakelen. Vandaag weer hetzelfde gezeik als de afgelopen paar dagen. Waardeloos...

Voor wie het nog nodig heeft, deze doet het vandaag wel

https://testconnectivity....sts/O365InboundSmtp/input

Vandaag om 11:05 weer gelukt.