Defaults.Exposed › Opravy › Nastavení nameserverů (diverzita a SOA)

Jak opravit Nastavení nameserverů (diverzita a SOA)

Vaše nameservery jsou adresář, který říká celému internetu, kde najít váš web a e-mail. Pokud všechny sedí na jedné síti a ta vypadne, vaše firma v tu chvíli zmizí z internetu — žádný web, žádný e-mail, nic — a neopatrné nastavení hodin na těchto serverech může způsobit, že změny, které provedete, budou zaseknuty na dny.

Výsledek pro vaše podnikání: Pokud každý nameserver vaší domény žije na jediné síti, jeden výpadek nebo útok na tuto síť stáhne váš web I váš e-mail offline najednou — platíte zaměstnancům a reklamám, zatímco k vám žádný zákazník nemůže dorazit. Samostatně, špatně nakonfigurované SOA časovače mohou způsobit, že vaše DNS změny (nový server, přepnutý poskytovatel e-mailu, nouzové přesměrování) se budou šířit dny místo hodin.

Co vás to může stát

• Jediná síť, na které sedí všechny vaše nameservery, má špatné odpoledne — výpadek nebo DDoS útok — a váš web a e-mail oba zmizí ve stejný čas. Zákazníci dostávají chybové stránky, vaše prodejní schránka se odráží a váš webový pracovník nemůže nic jiného dělat než čekat, až se síť někoho jiného zotaví.
• Bezpečnostní tým velkého zákazníka provede kontrolu dodavatele, uvidí všechny vaše nameservery u jednoho poskytovatele bez redundance a poznačí vaši doménu jako jediný bod selhání — tření na smlouvě, kterou byste jinak vyhráli.
• Přesunete se na nového webhosta nebo přepnete poskytovatele e-mailu, ale špatný časovač 'aktualizace' ve vašem SOA záznamu znamená, že ostatní DNS servery po dny vydávají vaší starou adresu — takže někteří zákazníci přistanou na mrtvém webu a váš e-mail se rozdělí na dva.
• Bezpečnostní incident vás nutí naléhavě přesměrovat provoz, ale vaše SOA časovače říkají světu ukládat vaše staré záznamy do mezipaměti týden, takže změna, kterou jste provedli před hodinou, stále nedosáhla half the internetu, zatímco problém pokračuje.
• Vaše dva nameservery jsou technicky dva názvy, ale oba se rozlišují na stejný rack ve stejné síti — takže redundance, o které si myslíte, že ji máte, je iluze a jediné selhání strhne vše.

Proč na tom záleží. Každá návštěva vašeho webu a každý odeslaný e-mail začíná vyhledáváním proti vašim nameserverům. Jsou to základy, na kterých spočívá zbytek vaší online přítomnosti. Pokud tyto základy nemají žádnou redundanci, jediné selhání vyřadí vše najednou; pokud jsou jejich hodnoty časování špatné, každá vámi provedená změna se pomalu projeví — přesně tehdy, kdy si to nejméně můžete dovolit.

Co to je, prostými slovy

Než může kdokoliv dosáhnout vašeho webu nebo vám poslat e-mail, jejich počítač musí položit jednoduchou otázku: “kde tato doména vlastně žije?” Servery, které na tuto otázku odpovídají, jsou vaše nameservery. Jsou to adresářové záznamy pro celou vaši online přítomnost — úplně první věc, které se každý návštěvník a každý e-mail dotkne, ještě než je zapojen váš web nebo vaše schránka.

Tato stránka pokrývá dvě části správného nastavení tohoto adresáře:

1. Diverzita — máte alespoň dva nameservery a sedí na skutečně oddělených částech sítě, aby jediný výpadek nemohl umlčet všechny najednou?
2. SOA záznam — malý záznam “počátku autority”, který drží hodnoty časování kontrolující, jak dlouho zbytek internetu důvěřuje a ukládá do mezipaměti vaše DNS odpovědi. Nastavte časovače špatně a každá vámi provedená změna trvá déle, než dosáhne světa.

Žádná není glamorózní. Obě jsou základy. Když jsou správné, nikdy o nich nepřemýšlíte; když jsou špatné, zjistíte to v nejhorší možný moment.

Co vás to může stát

• Vše offline najednou. Pokud všechny vaše nameservery žijí na jedné síti a ta síť má výpadek nebo je zasažena DDoS útokem, váš web a váš e-mail zhasnou společně. Toto není teoretické — jediný DNS poskytovatel zasažený útokem stáhl velké, dobře vybavené firmy z internetu na většinu dne. S redundancí přes sítě je jedno selhání přežitelné; bez ní je to totální.

• Obchod ztracen na kontrole dodavatele. Bezpečnostní nebo nákupní tým většího zákazníka provede kontrolu před podpisem, uvidí všechny vaše nameservery soustředěné u jednoho poskytovatele bez záložního, a označí vaši doménu jako jediný bod selhání. Je to druh malé, vyhnutelné skvrny, která přidává tření ke smlouvě, kterou byste jinak vyhráli.

• Změny, které se neprojeví. Přepnete webhosty, přesunete poskytovatele e-mailu nebo potřebujete naléhavě přesměrovat provoz. Špatný časovač “aktualizace” nebo “expirace” ve vašem SOA záznamu znamená, že ostatní DNS servery po dny nadále obsluhují vaši starou odpověď. Half zákazníků přistane na novém webu, half na mrtvém; některé e-maily tečou ke starému poskytovateli, některé k novému. Změna, kterou jste provedli před hodinou, stále není hotová.

• Nouzová situace, kterou nemůžete rychle ukončit. Během bezpečnostního incidentu musíte okamžitě nasměrovat provoz pryč od kompromitovaného serveru. Pokud vaše SOA časovače říkaly světu ukládat vaše záznamy do mezipaměti týden, vaše oprava se plazí přes internet, zatímco problém pokračuje v kousání.

• Redundance, která není skutečná. Máte dva nameservery, takže předpokládáte, že jste pokryti — ale oba se rozlišují na stejný rack ve stejné síti. První selhání hardwaru stáhne vše a záchranná síť, na kterou jste spoléhali, tam nikdy nebyla.

Co to skutečně je

Diverzita nameserverů. Vaše doména by měla uvádět alespoň dva nameservery a ideálně by měly sedět na skutečně nezávislých síťových cestách — nikoli jen dva názvy odkazující na stejný počítač. Za scénou se každý název nameserveru rozlišuje na jednu nebo více IP adres a to, na čem skutečně záleží, je, zda tyto adresy obsazují různé části routování internetu. Seriózní DNS poskytovatel rozkládá své nameservery přes mnoho samostatných síťových bloků a umístění po celém světě, takže i dva nameservery od stejného poskytovatele vám dávají skutečnou, nezávislou redundanci. Selhání je opak: jediný malý hostitel, kde oba “nameservery” jsou stejný stroj, takže jedno selhání je totální.

Poznámka pro technického čtenáře: naše kontrola počítá vaše NS záznamy a poté zkoumá, kolik skutečné síťové diverzity za nimi stojí. Primárním signálem je rozložení odlišných IP síťových bloků, do kterých nameservery rozlišují (přibližně /16 rozsahy pro IPv4 a /32 pro IPv6), s počtem odlišných názvů poskytovatelů jako záloha. To záměrně oceňuje Anycast hyperscale poskytovatele — Cloudflare, Google, AWS Route 53, Azure DNS — kteří oznamují jednu síťovou identitu z mnoha globálně oddělených směrovacích cest a tak doručují skutečnou diverzitu i od jediné značky. Mít méně než dva nameservery skóruje na této kontrole nula a je považováno za vysokou závažnost, protože jde o nezmírněný jediný bod selhání pro celou doménu.

SOA záznam. Každá DNS zóna má přesně jeden záznam Počátku Autority. Jmenuje primární nameserver a administrativní kontakt, nese sériové číslo, které se zvyšuje při každé změně, a — část, která záleží pro vaši firmu — drží čtyři časovače:

• Refresh — jak often sekundární nameservery znovu kontrolují primární pro změny. Dobrý rozsah: přibližně 1 až 24 hodin (3 600–86 400 sekund).
• Retry — jak brzy to zkusit znovu, pokud aktualizace selže. Dobrý rozsah: přibližně 5 až 60 minut (300–3 600 sekund).
• Expire — jak dlouho sekundární nadále obsluhují vaše záznamy, pokud vůbec nemohou dosáhnout primárního. Dobrý rozsah: přibližně 1 až 4 týdny (604 800–2 419 200 sekund).
• Minimum TTL — spodní mez pro to, jak dlouho jsou odpovědi (včetně odpovědí “toto jméno neexistuje”) ukládány do mezipaměti. Mělo by být rozumnou pozitivní hodnotou; 300 sekund je běžná volba.

Jak vypadá ‘dobré’: SOA, který existuje, má platný administrativní kontakt a drží časovače v těchto rozsazích. Hodnoty mimo rozsahy nejsou fatální — ale buď zpomalují vaše změny (časovače příliš dlouhé) nebo zbytečně zatěžují vaše nameservery (příliš krátké). Chybějící nebo skutečně rozbité SOA je závažnější případ.

Jak to opravit (zdarma, ~15 minut)

Tato část je pro toho, kdo spravuje vaši doménu nebo DNS — pokud to nejste vy, předejte jim tuto sekci. Oprava je zdarma; účtujeme pouze za sledování, že zůstane opravena.

Krok 1 — Ujistěte se, že máte alespoň dva nameservery na různé infrastruktuře.

1. Zkontrolujte, co máte dnes. Spusťte dig NS vasedomena.com (nebo použijte jakýkoliv webový nástroj “vyhledávání DNS”) a přečtěte si nameservery. Dva nebo více je minimum.
2. Pokud máte pouze jeden nebo oba jsou na jediném malém hostiteli, přesuňte svůj DNS k poskytovateli, který vám dá redundanci ve výchozím nastavení. Prakticky každý seriózní poskytovatel to dělá:
   • Cloudflare — přiděluje dva nameservery rozkládající se po jeho globální Anycast síti automaticky, když přidáte doménu.
   • AWS Route 53 — každá hostovaná zóna dostane čtyři nameservery přes samostatné Route 53 sítě.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — podobně zřizují více nameserverů přes nezávislou infrastrukturu.
3. Pro přepnutí nastavte nameservery vaší domény u vašeho registrátora (kde jste koupili doménu — např. Blacknight, GoDaddy, Namecheap) na ty, které vám dá váš nový DNS poskytovatel. Tato změna se může plně šířit 24–48 hodin.
4. Pro odolnost kšanda a řemen mohou větší nebo vyšší rizikové firmy provozovat sekundární DNS od druhého nezávislého poskytovatele (např. Cloudflare + Route 53, nebo NS1 + Cloudflare). Pro většinu malých firem je to volitelné — jediný renomovaný poskytovatel vám již dává skutečnou cross-síťovou redundanci.

Krok 2 — Zkontrolujte (a pokud potřeba, opravte) vaše SOA časovače.

1. Spusťte dig SOA vasedomena.com a přečtěte hodnoty aktualizace, opakování, expirace a minimum-TTL.
2. Porovnejte je s rozsahy výše. V naprosté většině případů váš DNS poskytovatel již nastavil rozumné výchozí hodnoty a není nic k dělání.
3. Pokud je hodnota mimo rozsah, opravte ji kde je hostován váš DNS:
   • Na spravovaných poskytovatelích (Cloudflare, Route 53, Google, Azure) je SOA z velké části spravováno za vás; obecně ho upravujete přes nastavení DNS poskytovatele nebo podporu spíše než přímou editací.
   • Na vlastním nameserveru (BIND, PowerDNS) přímo upravte řádek SOA v souboru zóny a znovu načtěte zónu — nezapomeňte zvýšit sériové číslo, aby sekundární záznamy změnu zaznamenaly.
4. Po jakékoliv změně znovu spusťte vyhledávání, abyste potvrdili, že seznam nameserverů i SOA časovače vypadají správně.

Běžné chyby

• Zacházení s “dva názvy” jako “dvě sítě.” Dva názvy nameserverů, které se rozlišují na stejný počítač nebo rack, jsou jediný bod selhání v přestrojení. Záleží na nezávislých síťových cestách, nikoli na počtu názvů.
• Předpoklad, že více je vždy lepší, bez diverzity. Pět nameserverů vše na jednom křehkém hostiteli není bezpečnější než jeden. Diverzita bije kvantitu.
• Nastavení časovačů příliš agresivně. Otočení SOA aktualizace nebo minimum-TTL úplně dolů pro “okamžité změny” jen zatěžuje vaše nameservery a může zhoršit výpadky, s malou skutečnou výhodou. Rozumné výchozí hodnoty již vyvažují rychlost oproti zátěži.
• Nastavení expire příliš nízko. Pokud sekundární přestanou obsluhovat vaši zónu příliš brzy během výpadku primárního, obnovitelné přerušení se stane plným výpadkem. Udržujte expiraci v rozsahu týdnů.
• Ruční editace zóny a zapomenutí sériového čísla. Na vlastních nameserverech sekundární záznamy vyzvedávají změny pouze tehdy, když se zvýší sériové číslo SOA. Změňte záznamy ale nechte sériové číslo samo a vaše “oprava” se nikdy nešíří.
• Ponechání DNS na holém výchozím nastavení registrátora domény. Vestavěný DNS některých registrátorů je jediné, minimální nastavení. Přesun DNS k skutečnému poskytovateli obvykle vám v jednom kroku dá redundanci a rozumné SOA časovače.

Shrnutí

Vaše nameservery a jejich SOA záznam jsou základy, na kterých vše ostatní spočívá. Dva nameservery na skutečně oddělených sítích znamenají, že jediné selhání nemůže stáhnout celou vaši firmu offline najednou; rozumné SOA časovače znamenají, že změny, které provedete, skutečně rychle dosáhnou světa. Obojí je zdarma opravit, obojí je obvykle již v dobrém stavu, jakmile jste u skutečného DNS poskytovatele a obojí stojí za dvě minuty kontroly — protože den, kdy záleží, je den, kdy si nemůžete dovolit, aby byly špatné.

Časté dotazy