Defaults.Exposed › Διορθώσεις › Ρύθμιση nameserver (διαφορετικότητα και SOA)

Πώς να διορθώσετε Ρύθμιση nameserver (διαφορετικότητα και SOA)

Οι nameservers σας είναι ο κατάλογος που λέει σε ολόκληρο το internet πού να βρει τον ιστότοπο και το email σας. Αν όλοι κάθονται σε ένα δίκτυο και αυτό πέσει, η επιχείρησή σας εξαφανίζεται από το internet την ίδια στιγμή — δεν υπάρχει ιστότοπος, δεν υπάρχει email, τίποτα — και μια χαλαρή ρύθμιση ρολογιού σε αυτούς τους servers μπορεί να αφήνει αλλαγές που κάνετε κολλημένες για μέρες.

Ουσία για την επιχείρησή σας: Αν κάθε nameserver για το domain σας βρίσκεται σε ένα μόνο δίκτυο, μια διακοπή ή επίθεση σε εκείνο το δίκτυο βγάζει εκτός σύνδεσης τον ιστότοπο ΚΑΙ το email σας μαζί — συνεχίζετε να πληρώνετε προσωπικό και διαφημίσεις ενώ κανένας πελάτης δεν μπορεί να σας βρει. Χωριστά, λανθασμένα ρυθμισμένοι χρονοδιακόπτες SOA μπορούν να αφήσουν αλλαγές DNS σας (νέος server, νέος πάροχος email, επείγουσα ανακατεύθυνση) να διαδίδονται για μέρες αντί ωρών.

Τι μπορεί να σας κοστίσει αυτό

Το μόνο δίκτυο στο οποίο κάθονται όλοι οι nameservers σας έχει μια κακή μέρα — διακοπή ή επίθεση DDoS — και ο ιστότοπος και το email σας εξαφανίζονται την ίδια στιγμή.
Η ομάδα ασφαλείας μεγαλύτερου πελάτη εκτελεί έλεγχο πωλητή, βλέπει όλους τους nameservers σε έναν πάροχο χωρίς πλεονασμό, και σημειώνει το domain σας ως ενιαίο σημείο αποτυχίας.
Μεταφέρεστε σε νέο web host ή αλλάζετε παρόχους email, αλλά λανθασμένος χρονοδιακόπτης 'refresh' στην εγγραφή SOA σας σημαίνει ότι άλλοι DNS servers εξακολουθούν να δίνουν την παλιά σας διεύθυνση για μέρες.
Ένα συμβάν ασφαλείας σας αναγκάζει να ανακατευθύνετε κίνηση επειγόντως, αλλά οι χρονοδιακόπτες SOA λένε στον κόσμο να κρατά σε cache τις παλιές εγγραφές σας για μια εβδομάδα.
Οι δύο nameservers σας είναι τεχνικά δύο ονόματα, αλλά επιλύουν στο ίδιο rack στο ίδιο δίκτυο — οπότε ο πλεονασμός που νομίζετε ότι έχετε είναι ψευδαίσθηση.

Γιατί έχει σημασία. Κάθε επίσκεψη στον ιστότοπό σας και κάθε email που σας αποστέλλεται ξεκινά με αναζήτηση στους nameservers σας. Είναι το θεμέλιο πάνω στο οποίο βρίσκεται η υπόλοιπη online παρουσία σας. Αν αυτό το θεμέλιο δεν έχει πλεονασμό, μια μόνη αποτυχία ρίχνει τα πάντα ταυτόχρονα· αν οι τιμές χρονισμού του είναι λανθασμένες, κάθε αλλαγή που κάνετε είναι αργή να τεθεί σε ισχύ — ακριβώς όταν δεν το αντέχετε.

Με απλά λόγια

Πριν κάποιος μπορέσει να φτάσει στον ιστότοπό σας ή να σας στείλει email, ο υπολογιστής του πρέπει να κάνει μια απλή ερώτηση: «πού βρίσκεται αυτό το domain;» Οι servers που απαντούν σε αυτή την ερώτηση είναι οι nameservers σας. Είναι η καταχώριση καταλόγου για ολόκληρη την online παρουσία σας.

Αυτή η σελίδα καλύπτει δύο μέρη:

Διαφορετικότητα — έχετε τουλάχιστον δύο nameservers σε γνήσια ξεχωριστά μέρη του δικτύου, ώστε μια αποτυχία να μην μπορεί να σιγάσει όλους ταυτόχρονα;
Η εγγραφή SOA — μια μικρή εγγραφή «start of authority» που κρατά τιμές χρονισμού που ελέγχουν πόσο καιρό το υπόλοιπο internet εμπιστεύεται τις DNS απαντήσεις σας.

Τι μπορεί να σας κοστίσει

Τα πάντα εκτός σύνδεσης ταυτόχρονα. Αν όλοι οι nameservers σας βρίσκονται σε ένα δίκτυο και αυτό το δίκτυο έχει διακοπή ή χτυπηθεί από επίθεση DDoS, ο ιστότοπος και το email σας πέφτουν μαζί.
Αλλαγές που δεν έχουν αποτέλεσμα. Αλλάζετε web host, μεταφέρετε παρόχους email ή χρειάζεται να ανακατευθύνετε κίνηση επειγόντως. Ένας λανθασμένος χρονοδιακόπτης SOA σημαίνει ότι άλλοι DNS servers εξακολουθούν να σερβίρουν την παλιά απάντηση για μέρες.
Πλεονασμός που δεν είναι πραγματικός. Έχετε δύο nameservers, οπότε νομίζετε ότι καλύπτεστε — αλλά και οι δύο επιλύουν στο ίδιο rack στο ίδιο δίκτυο. Η πρώτη αποτυχία hardware τους ρίχνει όλους.

Τι είναι στην πραγματικότητα

Διαφορετικότητα nameserver. Το domain σας πρέπει να αναφέρει τουλάχιστον δύο nameservers, και ιδανικά να κάθονται σε γνήσια ανεξάρτητα μονοπάτια δικτύου. Ένας σοβαρός πάροχος DNS διανέμει τους nameservers του σε πολλά ξεχωριστά network blocks και τοποθεσίες παγκοσμίως, οπότε ακόμα και δύο nameservers από τον ίδιο πάροχο δίνουν πραγματικό, ανεξάρτητο πλεονασμό. Η αποτυχία: ένας μόνο μικρός host όπου και οι δύο «nameservers» είναι στην πραγματικότητα το ίδιο μηχάνημα.

Η εγγραφή SOA. Κάθε DNS ζώνη έχει ακριβώς μία εγγραφή Start of Authority. Κρατά τέσσερις χρονοδιακόπτες:

Refresh — πόσο συχνά secondary nameservers επανελέγχουν για αλλαγές. Καλό εύρος: περίπου 1 έως 24 ώρες.
Retry — πόσο σύντομα να ξαναδοκιμάσουν αν η ανανέωση αποτύχει. Καλό εύρος: περίπου 5 έως 60 λεπτά.
Expire — πόσο καιρό τα secondaries εξακολουθούν να σερβίρουν αν δεν μπορούν να φτάσουν το primary. Καλό εύρος: περίπου 1 έως 4 εβδομάδες.
Minimum TTL — η αρχική τιμή για το πόσο καιρό οι απαντήσεις αποθηκεύονται στη cache. 300 δευτερόλεπτα είναι κοινή επιλογή.

Πώς να το διορθώσετε (δωρεάν, ~15 λεπτά)

Βήμα 1 — Βεβαιωθείτε ότι έχετε τουλάχιστον δύο nameservers σε διαφορετική υποδομή.

Εκτελέστε dig NS yourdomain.com και διαβάστε τους nameservers. Αν έχετε μόνο έναν ή και οι δύο βρίσκονται σε μόνο έναν μικρό host, μεταφέρετε το DNS σας σε πάροχο που δίνει πλεονασμό από προεπιλογή:

Cloudflare — αναθέτει δύο nameservers στο παγκόσμιο Anycast δίκτυό του αυτόματα.
AWS Route 53 — κάθε hosted zone παίρνει τέσσερις nameservers σε ξεχωριστά Route 53 δίκτυα.
Google Cloud DNS / Microsoft Azure DNS — ομοίως προβλέπουν πολλαπλούς nameservers.

Βήμα 2 — Ελέγξτε (και αν χρειαστεί, διορθώστε) τους χρονοδιακόπτες SOA.

Εκτελέστε dig SOA yourdomain.com και διαβάστε τις τιμές. Στη συντριπτική πλειοψηφία των περιπτώσεων ο πάροχος DNS σας έχει ήδη ορίσει λογικές προεπιλογές. Αν μια τιμή είναι εκτός εύρους, διορθώστε την εκεί που φιλοξενείται το DNS σας.

Συνηθισμένα λάθη

Αντιμετώπιση «δύο ονομάτων» ως «δύο δίκτυα». Δύο ονόματα nameserver που επιλύουν στο ίδιο κουτί είναι ενιαίο σημείο αποτυχίας με μεταμφίεση.
Υπόθεση ότι περισσότεροι είναι πάντα καλύτεροι, χωρίς διαφορετικότητα. Πέντε nameservers όλοι σε έναν ευάλωτο host δεν είναι ασφαλέστεροι από έναν.
Πολύ επιθετική ρύθμιση χρονοδιακοπτών. Το κατέβασμα του SOA refresh ή minimum-TTL ακριβώς στο κάτω όριο απλώς φορτώνει τους nameservers σας.
Πολύ χαμηλή ρύθμιση expire. Αν τα secondaries σταματούν να σερβίρουν τη ζώνη σας πολύ σύντομα κατά τη διάρκεια διακοπής primary, μια ανακτήσιμη δυσλειτουργία γίνεται πλήρης διακοπή.
Αφήνοντας το DNS στην default απλή ρύθμιση του registrar domain. Ορισμένα built-in DNS registrar είναι μια μόνη, ελάχιστη ρύθμιση. Μεταφορά DNS σε αξιόπιστο πάροχο συνήθως δίνει πλεονασμό και λογικούς χρονοδιακόπτες SOA σε μία κίνηση.

Βασικό συμπέρασμα

Οι nameservers σας και η εγγραφή SOA τους είναι το θεμέλιο πάνω στο οποίο στέκονται τα πάντα. Δύο nameservers σε γνήσια ξεχωριστά δίκτυα σημαίνουν ότι μια αποτυχία δεν μπορεί να βγάλει εκτός σύνδεσης ολόκληρη την επιχείρησή σας ταυτόχρονα· λογικοί χρονοδιακόπτες SOA σημαίνουν ότι οι αλλαγές που κάνετε φτάνουν στον κόσμο εγκαίρως.

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — μπορώ να το λύσω μόνος μου;

Δεν χρειάζεται να καταλαβαίνετε DNS internals. Η διαφορετικότητα nameserver χειρίζεται συνήθως αυτόματα τη στιγμή που βάζετε το domain σας σε αξιόπιστο πάροχο DNS (Cloudflare, AWS Route 53, ο host σας) — σας δίνουν δύο ή περισσότερους nameservers αυτόματα. Δώστε την τεχνική ενότητα παρακάτω στον web developer ή IT πάροχό σας.

Ποια είναι η διαφορά μεταξύ των δύο πραγμάτων που ελέγχει αυτή η σελίδα;

Δύο συσχετισμένα μέρη του ίδιου θεμελίου. Πρώτο — διαφορετικότητα nameserver — είναι για ανθεκτικότητα: έχετε τουλάχιστον δύο nameservers σε γνήσια ξεχωριστά μέρη του δικτύου ώστε μια αποτυχία να μην μπορεί να τους σιγάσει όλους; Δεύτερο — εγγραφή SOA — είναι για χρόνισμα: κρατά τιμές ρολογιού που ελέγχουν πόσο καιρό το υπόλοιπο internet εμπιστεύεται και αποθηκεύει στη cache τις DNS απαντήσεις σας.

Έχω δύο nameservers από την ίδια εταιρεία — αρκεί αυτό;

Συνήθως ναι, αν αυτή η εταιρεία είναι σοβαρός πάροχος DNS. Μεγάλοι πάροχοι όπως Cloudflare, Google και AWS τρέχουν τους nameservers τους σε πολλά ξεχωριστά δίκτυα και τοποθεσίες παγκοσμίως, οπότε δύο ονόματα από αυτούς κάθονται σε ανεξάρτητη υποδομή — αυτός είναι πραγματικός πλεονασμός.

Τι κάνει πραγματικά η τιμή 'refresh' ή 'expire' του SOA στην επιχείρησή μου;

Αυτοί είναι χρονοδιακόπτες που λένε σε άλλους DNS servers πόσο να περιμένουν πριν επανελέγξουν τις εγγραφές σας, και πόσο καιρό να εξακολουθούν να τις σερβίρουν αν δεν μπορούν να σας φτάσουν. Ορίστε πολύ υψηλά και μια αλλαγή που κάνετε παίρνει πολύ περισσότερο χρόνο. Οι περισσότεροι πάροχοι ορίζουν αυτά σωστά από προεπιλογή.

Αλλάζει αυτό τη βαθμολογία μου, και πόσο;

Ναι, και τα δύο μέρη μετράνε για τη βαθμολογία DNS σας. Το να έχετε λιγότερους από δύο nameservers αντιμετωπίζεται ως σοβαρό κενό επειδή είναι ενιαίο σημείο αποτυχίας για ολόκληρη την online παρουσία σας. Ένα λανθασμένα ρυθμισμένο SOA είναι πιο μέτριο ζήτημα.

Υπάρχει κάποιο πρόβλημα — χρειάζεται να πληρώσετε για να το διορθώσετε;

Όχι. Η απόκτηση πλεονάζοντων nameservers και λογικών χρονοδιακοπτών SOA είναι δωρεάν σε κάθε μεγάλο πάροχο DNS.