Defaults.Exposed › Parandused › Nimeserveri seadistus (mitmekesisus ja SOA)

Kuidas parandada Nimeserveri seadistus (mitmekesisus ja SOA)

Teie nimeserverid on kataloog, mis ütleb kogu internetile, kust leida teie veebisait ja meil. Kui nad kõik asuvad ühel võrgul ja see on maas, kaob teie ettevõte samal hetkel internetist — sait, meil, kõik — ja lohakas kella seadistus nendel serveritel võib jätta teie tehtud muudatused päevade kaupa jõustumata.

Põhijareldus sinu ettevõttele: Kui kõik teie domeeni nimeserverid elavad ühel võrgul, viib üks katkestus või rünnak sellel võrgul teie veebisaidi JA meili samaaegselt võrguühenduseta — te maksate töötajatele ja reklaamidele, samal ajal kui ükski klient ei saa teiega ühendust. Eraldi võib valesti konfigureeritud SOA taimerid jätta teie DNS-muudatused (uus server, vahetatud meilipakkuja, hädaabis ümbersuunamine) päevadeks levimisel, mitte tundide jooksul.

Mida see sulle maksab

Ühe võrk, millel kõik teie nimeserverid asuvad, on halva pärastlõuna — katkestus või DDoS rünnak — ning teie veebisait ja meil kaovad samaaegselt. Kliendid saavad vealehed, teie müügi postkast tõrjub, ning teie veebiinimene ei saa midagi muud teha peale ootamise, kuni keegi teise võrk taastub.
Suurema kliendi turvameeskond teeb tarnija kontrolli, näeb, et kõik teie nimeserverid on ühel pakkujal ilma liiasuseta, ja märgib teie domeeni ühe tõrkepunktina — hõõrdena lepingul, mille muidu oleksite võitnud.
Liigute uue veebi hosti juurde või vahetate meilipakkujad, kuid vale 'värskendamise' taimer teie SOA kirjes tähendab, et teised DNS-serverid annavad ikka teie vana aadressi päevade kaupa — nii et mõned kliendid jõuavad surnud saidile ja teie meil jagub kaheks.
Turvainen juhtumine sunnib teid liiklust kiireloomuliselt ümber suunama, kuid teie SOA taimerid ütlevad maailmale teie vanade kirjete vahemällu panemiseks nädalaks, nii et tunni tagasi tehtud muudatus pole ikka jõudnud poole internetini, samal ajal kui probleem jätkub.
Teie kaks nimeserverit on tehniliselt kaks nime, kuid need lahendavad samale riiulile samal võrgul — nii et liiasus, mida arvate olevat, on illusioon, ning üks tõrge võtab ikkagi kõik alla.

Miks see on oluline. Iga külastus teie veebisaidile ja iga teile saadetud meil algab otsimisega teie nimeserveritest. Need on alus, millel ülejäänud teie veebis kohalolek asub. Kui sellel alusel pole liiasust, põhjustab üks tõrge kõik korraga; kui selle ajastamise väärtused on valed, on iga teie tehtav muudatus aeglane jõustuma — täpselt siis, kui te seda kõige vähem endale lubada saate.

Mis see on lihtsas keeles

Enne kui keegi saab jõuda teie veebisaidile või saata teile meili, peab nende arvuti esitama lihtsa küsimuse: “kus see domeen tegelikult asub?” Serverid, mis sellele küsimusele vastavad, on teie nimeserverid. Need on kataloogi kirje teie kogu veebis kohalolekuks — kõige esimene asi, mida iga külastaja ja iga meil puutub, enne kui teie sait või teie postkast on isegi kaasatud.

See leht katab kaks osa selle kataloogi õigeks saamisest:

Mitmekesisus — kas teil on vähemalt kaks nimeserverit, ja kas need asuvad genuiinselt eraldiseisvatel võrgu osadel, nii et üks katkestus ei saa neid kõiki korraga vaigistada?
SOA kirje — väike “autoriteedikäivitus” kirje, mis hoiab ajakellad, kontrollides, kui kaua ülejäänud internet usaldab ja vahemälu paneb teie DNS-vastuseid. Seadke taimerid valesti ja iga teie tehtav muudatus võtab kauem maailmani jõudmiseks.

Kumbki pole glamuurne. Mõlemad on alused. Kui need on õiged, ei mõtle te neile kunagi; kui need on valed, saate teada halvimal võimalikul hetkel.

Mida see võib teile maksma minna

Kõik korraga võrguühenduseta. Kui kõik teie nimeserverid elavad ühel võrgul ja see võrk on rikke ajal või sattub DDoS rünnaku alla, läheb teie veebisait ja teie meil koos pimedaks. See pole teoreetiline — ühe DNS-pakkuja ründamine on löönud suuri, hästi varustatud ettevõtteid internetist välja suurema osa päevast. Eri võrkudel oleva liiasusega on üks tõrge ellujäetav; ilma selleta on see täielik.
Kaotatud tehing tarnija kontrolli käigus. Suurema kliendi turva- või hanketiim teeb enne allkirjastamist kontrolli, näeb kõiki teie nimeservereid koondatult ühele pakkujale ilma varuplaanitata, ja märgib teie domeeni ühe tõrkepunktina. See on väike, välditav märge, mis lisab hõõret lepingule, mida te muidu võidaksite.
Muudatused, mis ei rakendu. Vahetate veebihostid, liigute meilipakkujate juurde, või peate liiklust kiireloomuliselt ümber suunama. Vale “värskendamise” või “aegumise” taimer teie SOA kirjes tähendab, et teised DNS-serverid serveerivad teie vana vastust päevade kaupa. Pool teie kliente jõuab uuele saidile, pool vanale surnud saidile; osa meile voolab vanale pakkujale, osa uuele. Tunni tagasi tehtud muudatus pole ikka tehtud.
Hädaolukord, mida te ei saa kiiresti lõpetada. Turvaincidendi ajal peate suunama liiklust ohustatud serverist kohe eemale. Kui teie SOA taimerid ütlesid maailmale teie kirjete vahemällu panemiseks nädalaks, roomab teie parandus üle interneti, samal ajal kui probleem jätkub hammustamist.
Liiasus, mis pole tegelik. Teil on kaks nimeserverit, nii et eeldate kaetust — kuid mõlemad lahendavad samale riiulile samal võrgul. Esimene riistvaratõrge võtab kõik välja, ning turvaverkk, millele lootsite, polnud kunagi olemas.

Mis see tegelikult on

Nimeserveri mitmekesisus. Teie domeenil peaks olema vähemalt kaks nimeserverit, ning ideaaljuhul peaksid nad asuma genuiinselt sõltumatutel võrguteedel — mitte ainult kaks nime, mis osutavad samale masinale. Kulisside taga lahendab iga nimeserveri nimi ühe või enama IP-aadressini, ning see, mis tegelikult loeb, on see, kas need aadressid asuvad interneti marsruutimise erinevates osades. Tõsine DNS-pakkuja levitab oma nimeservereid paljudel eraldiseisvatel võrguplokidel ja asukohtades üle maailma, nii et isegi kaks nimeserverit sama pakkujalt annavad tegelikku, sõltumatut liiasust. Tõrkejuhtum on vastupidine: üks väike host, kus mõlemad “nimeserverid” on sama masin, nii et üks tõrge on täielik.

Tehniline märkus: meie kontroll loeb teie NS-kirjeid ja vaatab seejärel, kui palju genuiinset võrgu mitmekesisust asub nende taga. Primaarne signaal on erinevate IP-võrguplokide levik, kuhu nimeserverid lahendavad (laias laastus /16 vahemikud IPv4 jaoks ja /32 IPv6 jaoks), pakkuja nimede arvu tagavarana. See kreedib tahtlikult Anycast hüperskaala pakkujaid — Cloudflare, Google, AWS Route 53, Azure DNS — kes kuulutavad üht võrgu identiteeti paljudelt ülemaailmsetelt eraldiseisvalt marsruutumiseteedelt ja pakuvad seetõttu tegelikku mitmekesisust isegi ühelt kaubamärgilt. Alla kahe nimeserveri omamine annab sellele kontrollile nulli ja seda käsitletakse kõrge raskusega, kuna see on mitteleevendatud ühe tõrkepunktina kogu domeeni jaoks.

SOA kirje. Igal DNS-tsoonil on täpselt üks autoriteedi käivitamise kirje. See nimetab primaarse nimeserveri ja administratiivse kontakti, kannab seerianumbrit, mis kasvab iga muudatusega, ning — ärile oluline osa — hoiab nelja taimerit:

Refresh — kui tihti sekundaarsed nimeserverid kontrollida primaarset muudatuste osas. Hea vahemik: umbes 1 kuni 24 tundi (3600–86400 sekundit).
Retry — kui pea värskendamise ebaõnnestumise korral uuesti proovida. Hea vahemik: umbes 5 kuni 60 minutit (300–3600 sekundit).
Expire — kui kaua sekundaarsed serveerivad teie kirjeid, kui nad ei saa üldse primaarsega ühendust. Hea vahemik: umbes 1 kuni 4 nädalat (604800–2419200 sekundit).
Minimum TTL — põrand sellele, kui kaua vastused (sealhulgas “see nimi ei eksisteeri” vastused) vahemällu pannakse. Peaks olema mõistlik positiivne väärtus; 300 sekundit on levinud valik.

Mis näeb välja “hea”: SOA, mis eksisteerib, omab kehtivat administratiivset kontakti ja kannab taimereid neis vahemikes. Nendest väljapoole jäävad väärtused pole surmavad — kuid need kas aeglustavad teie muudatusi (taimerid liiga pikad) või koormavad teie nimeservereid tarbetult (liiga lühikesed). Puuduv või genuiinselt katki SOA on tõsisem juhtum.

Kuidas seda parandada (tasuta, ~15 minutit)

See osa on teie domeeni või DNS-i haldava isiku jaoks — kui see pole teie, andke neile see jaotis. Parandus on tasuta; me küsime tasu ainult jälgimise eest, et see jääb paikka.

Samm 1 — Veenduge, et teil on vähemalt kaks nimeserverit erinevatel infrastruktuuridel.

Kontrollige, mis teil täna on. Käivitage dig NS teiedomeeni.com (või kasutage mis tahes “DNS-otsingu” veebitööriista) ja lugege nimeserverid maha. Kaks või rohkem on miinimum.
Kui teil on ainult üks, või mõlemad on ühel väikesel hostil, liikuge DNS-i pakkujale, kes annab teile vaikimisi liiasust. Praktiliselt iga tõsine pakkuja teeb seda:
- Cloudflare — määrab kaks nimeserverit, mis on levinud üle selle ülemaailmse Anycast-võrgu automaatselt, kui lisate domeeni.
- AWS Route 53 — iga hostitud tsoon saab neli nimeserverit üle eraldiseisvate Route 53 võrkude.
- Google Cloud DNS / Microsoft 365 / Azure DNS — varustab samamoodi mitu nimeserverit üle sõltumatu infrastruktuuri.
Vahetamiseks seadke oma domeeni nimeserverid teie registraatoris (kus ostsite domeeni) nendele, mida teie uus DNS-pakkuja teile annab. See muudatus võib levimiseks võtta 24–48 tundi.
Suuremad või kõrgema riskiga ettevõtted saavad käitada sekundaarset DNS-i teiselt sõltumatult pakkujalt (nt Cloudflare + Route 53, või NS1 + Cloudflare). Enamiku väikeettevõtete jaoks on see valikuline — üks mainekas pakkuja annab juba tegeliku ristivõrgu liiasuse.

Samm 2 — Kontrollige (ja vajadusel parandage) oma SOA taimereid.

Käivitage dig SOA teiedomeeni.com ja lugege maha värskendamise, korduse, aegumise ja minimaalne-TTL väärtused.
Võrrelge neid ülalpool toodud vahemikega. Valdavas enamikus juhtumites on teie DNS-pakkuja juba seadnud mõistlikud vaikimisi väärtused ja pole midagi teha.
Kui väärtus on vahemikust väljas, parandage see kus iganes teie DNS-i hostitakse:
- Hallatud pakkujatel (Cloudflare, Route 53, Google, Azure) käsitletakse SOA-d teie eest; tavaliselt kohandate seda pakkuja DNS-seadete või toe kaudu, mitte redigeerides seda käsitsi.
- Enda käivitataval nimeserveril (BIND, PowerDNS) redigeerige SOA-rida tsooni failis otse ja laadige tsoon uuesti — pidades meeles seerianumbri suurendamist, et sekundaarsed muudatuse üles võtaksid.
Pärast mis tahes muudatust käivitage otsimed uuesti, et kinnitada, et nii nimeserveri nimekiri kui SOA taimerid näevad õiged välja.

Levinud vead

“Kaks nime” käsitlemine kui “kaks võrku”. Kaks nimeserveri nime, mis lahendavad samale masinale või riiulile, on ühe tõrkepunkt erinevat maski kandmas. See, mis loeb, on sõltumatud võrguteed, mitte nimede arv.
Eeldamine, et rohkem on alati parem, ilma mitmekesisuseta. Viis nimeserverit kõik ühel hapral hostil pole turvalisemad kui üks. Mitmekesisus võidab koguse.
Taimerite liiga agressiivseks seadmine. SOA-värskendamise või minimaalselt-TTL kohe alla keeramine “muudatuste koheseks tegemiseks” lihtsalt lõhub teie nimeserverid ja võib katkestused halvemaks teha, vähe tegeliku kasuga. Mõistlikud vaikimisi väärtused tasakaalustavad juba kiiruse koormuse vastu.
expire liiga madalaks seadmine. Kui sekundaarsed lõpetavad teie tsooni liiga kiiresti serveerimise primaarse katkestuse ajal, muutub pöörduv tuik täielikuks katkestuseks. Hoidke aegumine nädalate vahemikus.
Tsooni käsitsi redigeerimine ja seerianumbri unustamine. Enda käivitataval nimeserveril võtavad sekundaarsed muudatused üles ainult siis, kui SOA seeria suureneb. Muutke kirjeid, kuid jätke seeria samaks, ja teie “parandus” ei leviks kunagi.
DNS-i jätmine domeeniregistraatori tühjale vaikimisi seadistusele. Mõnede registraatorite sisseehitatud DNS on üks minimaalne seadistus. DNS-i liikumine päris pakkujale annab tavaliselt liiasuse ja mõistlikud SOA taimerid ühes liigutuses.

Kokkuvõte

Teie nimeserverid ja nende SOA kirje on alus, millel kõik muu asub. Kaks nimeserverit genuiinselt eraldiseisvatel võrkudel tähendab, et üks tõrge ei saa kogu teie ettevõtet samaaegselt võrguühendusest eemaldada; mõistlikud SOA taimerid tähendavad, et tehtud muudatused jõuavad tegelikult maailmani viivitamata. Mõlemad on õige saamine tasuta, mõlemad on tavaliselt juba heas seisus, niipea kui olete korralikul DNS-pakkujal, ning mõlemad on kahe minuti kontrolli väärt — sest päev, mil need loevad, on päev, mil te ei saa endale lubada nende vale olemist.

KKK

Ma pole tehniline — kas see on midagi, mida saan ise korda ajada?

Te ei pea DNS-i sisemusest aru saama. Nimeserveri mitmekesisus käsitletakse tavaliselt teie eest, niipea kui panete domeeni päris DNS-pakkujale (Cloudflare, AWS Route 53, teie host) — nad annavad automaatselt kaks või rohkem nimeserverit üle nende võrgu. SOA taimerid on tavaliselt vaikimisi mõistlikult seatud. Töö on enamasti kontrollimine, mis teil on ja, kui olete ühel haprall seadistusel, liikumine pakkujale, kes annab liiasust. Andke allolev tehniline jaotis oma veebipersonalile või IT-pakkujale — parandus on tasuta.

Mis vahe on kahel asjal, mida see leht kontrollib?

Kaks seotud osa samast alusest. Esimene — nimeserveri mitmekesisus — on vastupidavuse kohta: kas teil on vähemalt kaks nimeserverit, ja kas need asuvad genuiinselt erinevates võrgu osades, nii et üks tõrge ei saa neid kõiki välja lülitada? Teine — SOA kirje — on ajastamise kohta: see hoiab kella väärtusi, mis ütlevad ülejäänud internetile, kui kaua usaldada ja vahemälu panna teie DNS-vastuseid. Üks on 'ärge pange kõiki mune ühte korvi'; teine on 'seadke taimerid nii, et muudatused voolavad puhtalt läbi'.

Mul on kaks nimeserverit samalt ettevõttelt — kas see on piisav?

Tavaliselt jah, kui see ettevõte on tõsine DNS-pakkuja. Suured pakkujad nagu Cloudflare, Google ja AWS käitavad oma nimeservereid paljudel eraldiseisvatel võrkudel ja asukohtades üle maailma, nii et kaks nime neilt asuvad genuiinselt sõltumatul infrastruktuuril — see on tegelik liiasus. Riski juhtum on üks väike host, kus mõlemad 'nimeserverid' on tegelikult sama masin või sama riiul. Kui soovite turvalisuse reservvarianti, võite käitada nimeservereid kahelt sõltumatult pakkujalt, kuid enamiku väikeettevõtete jaoks on üks mainekas DNS-pakkuja täiesti piisav.

Mida teeb SOA 'värskendamise' või 'aegumise' väärtus tegelikult minu ettevõttele?

Need on taimerid, mis ütlevad teistele DNS-serveritele, kui kaua oodata enne teie kirjete uuesti kontrollimist, ja kui kaua neid teenindada, kui nad teiega ühendust ei saa. Liiga kõrgeks seadistatuna võtab teie tehtud muudatus — uus serveri IP, uus meilipakkuja, hädaabis ümbersuunamine — palju kauem kõigini jõudmiseks. Liiga madalaks seadistatuna saavad teie nimeserverid tarbetut lisakoormust. Mõistlikud vaikimisi väärtused (värskendamine mõõdetuna tundides, aegumine nädalates) hoiavad muudatused kiirelt levinuna, jäädes samas tugev katkestuse ajal. Enamik pakkujaid seab need korralikult väljast karbist.

Kas see muudab minu hinnet ja kui palju?

Jah, mõlemad osad loevad teie DNS-i skoori. Alla kahe nimeserveri omamine käsitletakse tõsise lünkana, kuna see on ühe tõrkepunkti teie kogu veebis kohalolekuks. Vale SOA on mõõdukam probleem — see ei võta teid võrguühenduseta, kuid see aeglustab teie võimet reageerida, kui midagi muutub. Mõlemad on tasuta parandada, ning enamiku ettevõtete jaoks on need juba heas seisus, niipea kui olete korralikul DNS-pakkujal.

Kas on püük — kas pean teile maksma selle parandamise eest?

Ei. Liiasete nimeserverite ja mõistlike SOA taimerite saamine on tasuta iga suurema DNS-pakkuja juures, ning allolevad sammud on kõik, mida vajate. Me küsime tasu ainult siis, kui soovite hiljem, et me jälgiksime teie domeeni ja hoiataksime teid, kui liiasus kunagi langeb tagasi ühele tõrkepunktile või taimerid hõljuvad.