Wenn Dein nginx auch auf Port 80 (und nicht nur auf Port 443) lauscht, was offensichtlich der Fall ist, dann musst Du den vorher natürlich stoppen, genau so, wie Du es gemacht hast.
Den Fall, dass der Dry-Run durchläuft und der rechte Run nicht, hatte ich noch nie. Und das bei einer ganzen Reihe von verschiedenen Domains. Woher der interne Server-Fehler rührt, erschließt sich mir daher leider nicht.
Es könnte allenfalls sein, dass Du es kürzlich schon zu oft ohne --dry-run probiert hast. Bei letsencrypt ist nur eine bestimmte Anfragerate zulässig. Bei fehlgeschlagener Validierung sind dies 5 Fehler pro Account pro Hostname pro Stunde (siehe https://letsencrypt.org/de/docs/rate-limits/).