Defaults.Exposed › الإصلاحات › إعداد خوادم الأسماء (التنوّع وسجل SOA)

كيف تُصلح إعداد خوادم الأسماء (التنوّع وسجل SOA)

خوادم الأسماء (nameservers) لديك هي الدليل الذي يُخبر الإنترنت كله بمكان موقعك وبريدك. فإذا كانت جميعها على شبكة واحدة وتعطّلت، يختفي نشاطك التجاري من الإنترنت في اللحظة نفسها — لا موقع، لا بريد، لا شيء — وضبط ساعة مهمل على تلك الخوادم قد يترك التغييرات التي تُجريها عالقة لأيام.

الخلاصة لعملك: إذا عاش كل خادم أسماء لنطاقك على شبكة واحدة، فإن انقطاعاً أو هجوماً واحداً على تلك الشبكة يأخذ موقعك أنت وبريدك خارج الخدمة معاً — تظلّ تدفع للموظفين والإعلانات بينما لا يستطيع أي عميل الوصول إليك. وبشكل منفصل، قد تترك مؤقّتات SOA المُساء إعدادها تغييرات DNS لديك (خادم جديد، أو مزوّد بريد مُبدَّل، أو إعادة توجيه طارئة) تنتشر لأيام بدلاً من ساعات.

ماذا قد يكلّفك هذا

• تمرّ الشبكة الواحدة التي تجلس عليها كل خوادم أسمائك بظهيرة سيئة — انقطاع أو هجوم DDoS — فيختفي موقعك وبريدك في الوقت نفسه. يحصل العملاء على صفحات خطأ، ويرتدّ صندوق مبيعاتك، ولا يملك الشخص التقني لديك إلا الانتظار حتى تتعافى شبكة شخص آخر.
• يُجري فريق الأمن لدى عميل كبير فحص مورّد، فيرى كل خوادم أسمائك على مزوّد واحد دون احتياط، فيدوّن نطاقك كنقطة فشل وحيدة — احتكاك على عقد كنت ستفوز به لولا ذلك.
• تنتقل إلى مضيف ويب جديد، أو تُبدِّل مزوّدي البريد، لكن مؤقّت 'refresh' خاطئاً في سجل SOA لديك يعني أن خوادم DNS أخرى تظلّ توزّع عنوانك القديم لأيام — فيصل بعض العملاء إلى موقع ميت وينقسم بريدك إلى اثنين.
• يُجبِرك حادث أمني على إعادة توجيه الحركة بشكل عاجل، لكن مؤقّتات SOA لديك تُخبر العالم بتخزين سجلاتك القديمة لأسبوع، فالتغيير الذي أجريته قبل ساعة لم يصل بعد إلى نصف الإنترنت بينما المشكلة مستمرة.
• خادما أسمائك تقنياً اسمان، لكنهما يُحلّان إلى الرفّ نفسه على الشبكة نفسها — فالاحتياط الذي تظن أنه لديك وهم، ويظلّ فشل واحد يُسقِط كل شيء.

لماذا يهمّ. كل زيارة لموقعك وكل بريد يُرسَل إليك يبدأ ببحث مقابل خوادم أسمائك. إنها الأساس الذي يجلس عليه بقية وجودك على الإنترنت. فإذا كان ذلك الأساس بلا احتياط، يُسقِط فشل واحد كل شيء دفعة واحدة؛ وإذا كانت قيم توقيته خاطئة، يصبح كل تغيير تُجريه بطيء السريان — في اللحظة بالذات التي لا تستطيع فيها تحمّل ذلك.

ما هذا، بكلمات بسيطة

قبل أن يتمكن أي أحد من الوصول إلى موقعك أو إرسال بريد إليك، على جهازه طرح سؤال بسيط: “أين يعيش هذا النطاق فعلاً؟” والخوادم التي تُجيب عن ذلك السؤال هي خوادم أسمائك (nameservers). إنها مدخل الدليل لوجودك كله على الإنترنت — أول شيء يلمسه كل زائر وكل بريد، قبل أن يدخل موقعك أو صندوق وارد بريدك أصلاً.

تغطّي هذه الصفحة جزأين من ضبط ذلك الدليل بشكل صحيح:

1. التنوّع — هل لديك خادما أسماء على الأقل، وهل يجلسان على أجزاء منفصلة فعلاً من الشبكة، بحيث لا يستطيع انقطاع واحد إسكاتها جميعاً دفعة واحدة؟
2. سجل SOA — سجل صغير “بداية الصلاحية” (start of authority) يحمل قيم التوقيت التي تتحكم في كم تثق بقية الإنترنت بإجابات DNS لديك وتخزّنها. اضبط المؤقّتات خطأً فيستغرق كل تغيير تُجريه وقتاً أطول للوصول إلى العالم.

لا أحدهما برّاق. كلاهما أساسات. حين يكونان صحيحين لا تفكّر بهما أبداً؛ وحين يكونان خاطئين، تكتشف ذلك في أسوأ لحظة ممكنة.

ما قد يكلّفك هذا

• كل شيء خارج الخدمة دفعة واحدة. إذا عاشت كل خوادم أسمائك على شبكة واحدة وكان لتلك الشبكة انقطاع أو ضُرِبت بهجوم DDoS، يُعتِم موقعك وبريدك معاً. وهذا ليس نظرياً — فقد أخرج هجوم على مزوّد DNS واحد شركات كبرى جيدة الموارد من الإنترنت معظم يوم. ومع احتياط عبر الشبكات، يكون فشل واحد قابلاً للنجاة منه؛ وبدونه، يكون شاملاً.

• صفقة مفقودة على فحص مورّد. يُجري فريق الأمن أو المشتريات لدى عميل أكبر فحصاً قبل التوقيع، فيرى كل خوادم أسمائك مركّزة على مزوّد واحد دون بديل، فيُعلِّم نطاقك كنقطة فشل وحيدة. إنها نوع العلامة الصغيرة القابلة للتجنّب التي تضيف احتكاكاً على عقد كنت ستفوز به.

• تغييرات لا تسري. تُبدِّل مضيفي الويب، أو تنقل مزوّدي البريد، أو تحتاج لإعادة توجيه الحركة على عجل. مؤقّت “refresh” أو “expire” خاطئ في سجل SOA لديك يعني أن خوادم DNS أخرى تظلّ تقدّم إجابتك القديمة لأيام. فيصل نصف عملائك إلى الموقع الجديد، ونصفهم إلى الميت؛ ويتدفّق بعض البريد إلى المزوّد القديم، وبعضه إلى الجديد. والتغيير الذي أجريته قبل ساعة لم ينتهِ بعد.

• طارئ لا تستطيع إنهاءه بسرعة. أثناء حادث أمني تحتاج لتوجيه الحركة بعيداً عن خادم مخترَق الآن. فإذا أخبرت مؤقّتات SOA لديك العالم بتخزين سجلاتك لأسبوع، يزحف إصلاحك عبر الإنترنت بينما تظلّ المشكلة تعضّ.

• احتياط ليس حقيقياً. لديك خادما أسماء، فتفترض أنك مغطّى — لكن كليهما يُحلّ إلى الرفّ نفسه على الشبكة نفسها. وأول فشل عتاد يُسقِط الجميع، وشبكة الأمان التي كنت تعوّل عليها لم تكن موجودة أصلاً.

ما هو فعلاً

تنوّع خوادم الأسماء. ينبغي لنطاقك إدراج خادمَي أسماء على الأقل، ومثالياً ينبغي أن يجلسا على مسارات شبكة مستقلة فعلاً — لا مجرد اسمين يشيران إلى الجهاز نفسه. وخلف الكواليس، يُحلّ اسم كل خادم أسماء إلى عنوان IP واحد أو أكثر، وما يهمّ فعلاً هو ما إذا كانت تلك العناوين تشغل أجزاءً مختلفة من توجيه الإنترنت. ومزوّد DNS الجادّ ينشر خوادم أسمائه عبر كتل شبكة ومواقع منفصلة عديدة حول العالم، فحتى خادما أسماء من المزوّد نفسه يمنحانك احتياطاً حقيقياً مستقلاً. وحالة الفشل هي العكس: مضيف صغير واحد يكون فيه كلا “خادمَي الأسماء” الجهاز نفسه، فيكون فشل واحد شاملاً.

ملاحظة للقارئ التقني: يحسب فحصنا سجلات NS لديك ثم ينظر في كم من التنوّع الشبكي الحقيقي يجلس خلفها. والإشارة الأساسية هي انتشار كتل شبكة IP المتمايزة التي تُحلّ إليها خوادم الأسماء (تقريباً، نطاقات /16 لـ IPv4 و/32 لـ IPv6)، مع عدد أسماء المزوّدين المتمايزة كاحتياط. وهذا يمنح عمداً رصيداً لمزوّدي Anycast فائقي الحجم — Cloudflare، Google، AWS Route 53، Azure DNS — الذين يُعلِنون هوية شبكة واحدة من مسارات توجيه منفصلة عالمياً عديدة فيقدّمون تنوّعاً حقيقياً حتى من علامة واحدة. ووجود أقل من خادمَي أسماء يُقيَّم بصفر في هذا الفحص ويُعامَل كخطورة عالية، لأنه نقطة فشل وحيدة غير مخفَّفة للنطاق بأكمله.

سجل SOA. لكل منطقة DNS سجل بداية صلاحية واحد بالضبط. يُسمّي خادم الأسماء الأساسي وجهة الاتصال الإدارية، ويحمل رقماً تسلسلياً يزداد عند كل تغيير، و — الجزء الذي يهمّ لنشاطك التجاري — يحمل أربعة مؤقّتات:

• Refresh — كم مرة تعيد خوادم الأسماء الثانوية فحص الأساسي بحثاً عن تغييرات. النطاق الجيد: نحو 1 إلى 24 ساعة (3,600–86,400 ثانية).
• Retry — كم بسرعة تحاول مجدداً إن فشل refresh. النطاق الجيد: نحو 5 إلى 60 دقيقة (300–3,600 ثانية).
• Expire — كم تستمر الثانوية بتقديم سجلاتك إن لم تستطع الوصول إلى الأساسي إطلاقاً. النطاق الجيد: نحو 1 إلى 4 أسابيع (604,800–2,419,200 ثانية).
• Minimum TTL — الحدّ الأدنى لمدة تخزين الإجابات (بما في ذلك إجابات “هذا الاسم غير موجود”). ينبغي أن تكون قيمة موجبة معقولة؛ و300 ثانية خيار شائع.

كيف يبدو “الجيد”: SOA موجود، وله جهة اتصال إدارية صالحة، ويحمل مؤقّتات ضمن تلك النطاقات. والقيم خارج النطاقات ليست قاتلة — لكنها إمّا تُبطئ تغييراتك (مؤقّتات طويلة جداً) أو تُحمِّل خوادم أسمائك بلا داعٍ (قصيرة جداً). وSOA مفقود أو معطوب فعلاً هو الحالة الأخطر.

كيفية الإصلاح (مجاناً، ~15 دقيقة)

هذا الجزء لمن يدير نطاقك أو DNS — إن لم يكن ذلك أنت، فسلّمه هذا القسم. الإصلاح مجاني؛ نحن نتقاضى رسوماً فقط مقابل مراقبة بقائه مُصلَحاً.

الخطوة 1 — تأكد من وجود خادمَي أسماء على الأقل على بنية متنوّعة.

1. افحص ما لديك اليوم. شغّل dig NS yourdomain.com (أو استخدم أي أداة “DNS lookup” على الويب) واقرأ خوادم الأسماء. اثنان أو أكثر هو الحدّ الأدنى.
2. إن كان لديك واحد فقط، أو كلاهما على مضيف صغير واحد، فانقل DNS الخاص بك إلى مزوّد يمنحك احتياطاً افتراضياً. وكل مزوّد جادّ تقريباً يفعل:
   • Cloudflare — يُخصّص خادمَي أسماء منتشرين عبر شبكة Anycast العالمية تلقائياً حين تضيف نطاقاً.
   • AWS Route 53 — تحصل كل منطقة مُستضافة على أربعة خوادم أسماء عبر شبكات Route 53 منفصلة.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — توفّر بالمثل عدة خوادم أسماء عبر بنية مستقلة.
3. للتبديل، اضبط خوادم أسماء نطاقك لدى مُسجِّلك (حيث اشتريت النطاق — مثل Blacknight، GoDaddy، Namecheap) على تلك التي يمنحك إياها مزوّد DNS الجديد. وقد يستغرق هذا التغيير 24–48 ساعة للانتشار الكامل.
4. للمتانة المتعدّدة الطبقات، يمكن للأنشطة التجارية الأكبر أو الأعلى خطورة تشغيل DNS ثانوي من مزوّد ثانٍ مستقل (مثل Cloudflare + Route 53، أو NS1 + Cloudflare). ولمعظم الأنشطة الصغيرة هذا اختياري — فمزوّد مرموق واحد يمنحك أصلاً احتياطاً حقيقياً عبر الشبكات.

الخطوة 2 — افحص (وأصلِح إن لزم) مؤقّتات SOA لديك.

1. شغّل dig SOA yourdomain.com واقرأ قيم refresh وretry وexpire وminimum-TTL.
2. قارِنها بالنطاقات أعلاه. في الغالبية العظمى من الحالات يكون مزوّد DNS الخاص بك قد ضبط أصلاً افتراضات معقولة ولا شيء لفعله.
3. إن كانت قيمة خارج النطاق، فأصلِحها حيثما يُستضاف DNS الخاص بك:
   • على المزوّدين المُدارين (Cloudflare، Route 53، Google، Azure) يُتولّى SOA لك إلى حدّ كبير؛ وتضبطه عادة عبر إعدادات DNS لدى المزوّد أو دعمه بدلاً من تحريره يدوياً.
   • على خادم أسماء تشغّله بنفسك (BIND، PowerDNS) حرّر سطر SOA في ملف المنطقة مباشرة وأعِد تحميل المنطقة — متذكّراً زيادة الرقم التسلسلي حتى تلتقط الثانوية التغيير.
4. بعد أي تغيير، أعِد إجراء البحثَين للتأكد من أن كلاً من قائمة خوادم الأسماء ومؤقّتات SOA يبدوان صحيحين.

الأخطاء الشائعة

• معاملة “اسمين” كـ “شبكتين”. اسما خادمَي أسماء يُحلّان إلى الجهاز أو الرفّ نفسه نقطة فشل وحيدة متنكّرة. وما يهمّ هو مسارات الشبكة المستقلة، لا عدد الأسماء.
• افتراض أن الأكثر أفضل دائماً، دون تنوّع. خمسة خوادم أسماء كلها على مضيف هشّ واحد ليست أأمن من واحد. التنوّع يتفوّق على الكمية.
• ضبط المؤقّتات بعدوانية مفرطة. خفض SOA refresh أو minimum-TTL إلى أدنى حدّ لـ “جعل التغييرات فورية” يطرق فقط خوادم أسمائك وقد يجعل الانقطاعات أسوأ، بفائدة حقيقية ضئيلة. والافتراضات المعقولة توازن أصلاً بين السرعة والحِمل.
• ضبط expire منخفضاً جداً. إذا توقفت الثانوية عن تقديم منطقتك مبكراً جداً أثناء انقطاع الأساسي، يتحوّل خلل قابل للتعافي إلى انقطاع كامل. أبقِ expire في نطاق الأسابيع.
• تحرير منطقة يدوياً ونسيان الرقم التسلسلي. على خوادم الأسماء التي تشغّلها بنفسك، تلتقط الثانوية التغييرات فقط حين يزداد الرقم التسلسلي لـ SOA. غيّر السجلات لكن اترك الرقم التسلسلي على حاله فلا يُنتشَر “إصلاحك” أبداً.
• ترك DNS على الافتراضي المجرّد لمُسجِّل النطاق. DNS المدمج لدى بعض المُسجِّلين إعداد واحد دنيا. ونقل DNS إلى مزوّد حقيقي يمنحك عادة احتياطاً ومؤقّتات SOA عاقلة في خطوة واحدة.

الخلاصة

خوادم أسمائك وسجل SOA الخاص بها هما الأساس الذي يجلس عليه كل شيء آخر. خادما أسماء على شبكتين منفصلتين فعلاً يعنيان أن فشلاً واحداً لا يستطيع إخراج نشاطك التجاري كله من الخدمة دفعة واحدة؛ ومؤقّتات SOA معقولة تعني أن التغييرات التي تُجريها تصل فعلاً إلى العالم بسرعة. كلاهما مجاني الضبط الصحيح، وكلاهما عادة في حالة جيدة أصلاً لحظة أن تكون على مزوّد DNS سليم، وكلاهما يستحق فحص دقيقتين — لأن اليوم الذي يهمّان فيه هو اليوم الذي لا تستطيع فيه تحمّل أن يكونا خاطئين.

الأسئلة الشائعة