Defaults.Exposed › رفع اشکال‌ها › Nameserver setup (diversity & SOA)

چطور Nameserver setup (diversity & SOA) را رفع کنید

Q: تفاوت بین دو چیزی که این صفحه بررسی میکند چیست؟

دو بخش مرتبط از همان پایه. اول — تنوع nameserver — دربارهی استحکام است: آیا حداقل دو nameserver دارید، و آیا روی بخشهای واقعاً متفاوت شبکه هستند تا یک شکست واحد نتواند همه را از کار بیندازد؟ دوم — رکورد SOA — دربارهی زمانبندی است: مقادیر ساعت را نگه میدارد که به بقیهی اینترنت میگوید چقدر به cache پاسخهای DNS شما اعتماد کنند.

Q: دو nameserver از همان شرکت دارم — آیا کافی است؟

معمولاً بله، اگر آن شرکت یک ارائهدهندهی DNS جدی باشد. ارائهدهندگان بزرگ مثل Cloudflare، Google و AWS nameserver های خود را در بسیاری از شبکهها و مکانهای جداگانه در سراسر جهان اجرا میکنند، پس دو نام از آنها واقعاً روی زیرساخت مستقل هستند.

Q: مقدار SOA 'refresh' یا 'expire' واقعاً چه کاری برای کسبوکار من انجام میدهد؟

اینها timer هایی هستند که به سرورهای DNS دیگر میگویند چقدر منتظر بمانند تا رکوردهای شما را مجدداً بررسی کنند، و چقدر در صورتی که نمیتوانند به شما برسند آنها را سرویسدهی کنند. خیلی بالا تنظیم شده و یک تغییری که انجام میدهید — یک IP سرور جدید، یک ارائهدهندهی ایمیل جدید، یک redirect اضطراری — خیلی بیشتر طول میکشد به همه برسد.

Q: آیا این نمرهی من را تغییر میدهد، و چقدر؟

بله، هر دو بخش به امتیاز DNS شما میافزایند. داشتن کمتر از دو nameserver به عنوان یک شکاف جدی تلقی میشود چون یک نقطهی شکست منفرد برای کل حضور آنلاین شما است. یک SOA نادرست یک مشکل معتدلتر است — شما را آفلاین نمیکند، اما توانایی پاسخ شما را وقتی چیزی تغییر میکند کند میکند.

Nameserver های شما دایرکتوری هستند که به کل اینترنت می‌گویند وب‌سایت و ایمیل شما کجاست. اگر همه روی یک شبکه باشند و آن شبکه خراب شود، کسب‌وکار شما همزمان از اینترنت ناپدید می‌شود — هیچ سایت، هیچ ایمیل، هیچ چیز — و یک تنظیم غلط ساعت روی آن سرورها می‌تواند تغییراتی که انجام می‌دهید را برای روزها گیر نگه دارد.

نتیجه نهایی برای کسب‌وکار شما: اگر هر nameserver دامنه‌ی شما روی یک شبکه‌ی واحد زندگی می‌کند، یک خرابی یا حمله به آن شبکه وب‌سایت AND ایمیل شما را با هم آفلاین می‌کند — در حالی که به کارکنان و تبلیغات پرداخت می‌کنید در حالی که هیچ مشتری نمی‌تواند به شما برسد. جداگانه، SOA timer های نادرست می‌توانند تغییرات DNS شما را برای روزها به جای ساعت‌ها منتشر کنند.

هزینه این برای شما

شبکه‌ی واحدی که همه‌ی nameserver های شما روی آن هستند یک بعدازظهر بد دارد — یک خرابی یا یک حمله‌ی DDoS — و وب‌سایت و ایمیل شما هر دو همزمان ناپدید می‌شوند.
تیم امنیتی یک مشتری بزرگ یک بررسی فروشنده انجام می‌دهد، می‌بیند همه‌ی nameserver های شما روی یک ارائه‌دهنده بدون هیچ redundancy هستند، و دامنه‌ی شما را به عنوان یک نقطه‌ی شکست منفرد نشانه‌گذاری می‌کند.
به یک هاست وب جدید منتقل می‌شوید یا ارائه‌دهنده‌ی ایمیل را تغییر می‌دهید، اما یک 'refresh' timer اشتباه در رکورد SOA شما یعنی سرورهای DNS دیگر آدرس قدیمی شما را برای روزها ارائه می‌دهند.
یک حادثه‌ی امنیتی شما را مجبور می‌کند ترافیک را فوراً هدایت کنید، اما SOA timer های شما به جهان می‌گویند رکوردهای قدیمی شما را یک هفته cache کنند.
دو nameserver شما از نظر فنی دو نام هستند، اما به همان rack روی همان شبکه تبدیل می‌شوند — پس redundancy ای که فکر می‌کنید دارید یک توهم است.

چرا اهمیت دارد. هر بازدید به وب‌سایت شما و هر ایمیل فرستاده شده به شما با یک lookup در برابر nameserver های شما شروع می‌شود. آن‌ها پایه‌ای هستند که بقیه‌ی حضور آنلاین شما روی آن می‌نشیند. اگر آن پایه هیچ redundancy نداشته باشد، یک شکست واحد همه چیز را یکجا از کار می‌اندازد؛ اگر مقادیر زمانی‌اش اشتباه باشد، هر تغییری که انجام می‌دهید دیر به اثر می‌رسد — دقیقاً وقتی که کمترین ظرفیت دارید.

این چیست، به زبان ساده

قبل از اینکه کسی بتواند به وب‌سایت شما برسد یا ایمیل بفرستد، کامپیوترشان باید یک سؤال ساده بپرسد: «این دامنه واقعاً کجا زندگی می‌کند؟» سرورهایی که به آن سؤال پاسخ می‌دهند nameserver های شما هستند. آن‌ها ورودی دایرکتوری برای کل حضور آنلاین شما هستند — اولین چیزی که هر بازدیدکننده و هر ایمیل قبل از اینکه سایت یا صندوق پستی شما حتی درگیر شود لمس می‌کند.

این صفحه دو بخش از درست بودن آن دایرکتوری را پوشش می‌دهد:

تنوع — آیا حداقل دو nameserver دارید، و آیا روی بخش‌های واقعاً جداگانه‌ی شبکه هستند تا یک خرابی واحد نتواند همه را با هم از صدا دربیاورد؟
رکورد SOA — یک رکورد «start of authority» کوچک که مقادیر زمانی را نگه می‌دارد که کنترل می‌کند بقیه‌ی اینترنت چقدر به cache پاسخ‌های DNS شما اعتماد کند.

این چقدر ممکن است برای شما هزینه داشته باشد

همه چیز یکجا آفلاین. اگر همه‌ی nameserver های شما روی یک شبکه زندگی کنند و آن شبکه خرابی داشته باشد یا با یک حمله‌ی DDoS زده شود، وب‌سایت و ایمیل شما با هم تاریک می‌شوند.
یک معامله‌ی از دست رفته در یک بررسی فروشنده. یک مشتری بزرگ‌تر قبل از امضا بررسی می‌کند، می‌بیند همه‌ی nameserver های شما روی یک ارائه‌دهنده بدون fallback هستند، و دامنه‌ی شما را به عنوان یک نقطه‌ی شکست منفرد نشانه‌گذاری می‌کند.
تغییراتی که نمی‌گیرند. هاست وب را تغییر می‌دهید، ارائه‌دهنده‌ی ایمیل را منتقل می‌کنید، یا نیاز دارید ترافیک را سریع redirect کنید. یک «refresh» یا «expire» timer اشتباه در رکورد SOA یعنی سرورهای DNS دیگر روزها پاسخ قدیمی شما را سرویس‌دهی می‌کنند.
یک اضطرار که نمی‌توانید سریع تمامش کنید. طی یک حادثه‌ی امنیتی نیاز دارید ترافیک را الان از یک سرور به خطر افتاده دور کنید. اگر SOA timer های شما به جهان گفتند رکوردهای شما را یک هفته cache کنند، رفعتان خیلی کند در اینترنت پخش می‌شود.
Redundancy ای که واقعی نیست. دو nameserver دارید، پس فکر می‌کنید پوشش دارید — اما هر دو به همان rack روی همان شبکه تبدیل می‌شوند. اولین خرابی سخت‌افزاری همه را از کار می‌اندازد.

در واقع چیست

تنوع nameserver. دامنه‌ی شما باید حداقل دو nameserver فهرست کند، و ایده‌آل آن‌ها باید روی مسیرهای شبکه‌ی واقعاً مستقل باشند. یک ارائه‌دهنده‌ی DNS جدی nameserver های خود را در بسیاری از بلوک‌های شبکه‌ی جداگانه و مکان‌ها در سراسر جهان پخش می‌کند، پس حتی دو nameserver از یک ارائه‌دهنده redundancy واقعی و مستقل به شما می‌دهد.

یادداشت فنی: بررسی ما رکوردهای NS شما را می‌شمارد و سپس نگاه می‌کند چقدر تنوع شبکه‌ی واقعی پشتشان وجود دارد. سیگنال اصلی پراکنش بلوک‌های شبکه‌ی IP متمایزی است که nameserver ها به آن‌ها تبدیل می‌شوند، با تعداد نام‌های ارائه‌دهنده‌ی متمایز به عنوان پشتیبان. ارائه‌دهندگان hyperscale Anycast — Cloudflare، Google، AWS Route 53، Azure DNS — یک هویت شبکه را از مسیرهای routing جداگانه‌ی جهانی زیادی اعلام می‌کنند و تنوع واقعی ارائه می‌دهند.

رکورد SOA. هر zone DNS دقیقاً یک رکورد Start of Authority دارد. چهار timer که برای کسب‌وکار شما اهمیت دارند:

Refresh — چقدر اغلب nameserver های ثانویه برای تغییرات مجدداً بررسی می‌کنند. محدوده‌ی خوب: تقریباً ۱ تا ۲۴ ساعت (3,600–86,400 ثانیه).
Retry — چه زودی دوباره امتحان کنند اگر refresh ناموفق بود. محدوده‌ی خوب: تقریباً ۵ تا ۶۰ دقیقه (300–3,600 ثانیه).
Expire — چقدر ثانویه‌ها به ارائه‌ی رکوردهای شما ادامه می‌دهند اگر اصلاً نتوانند به primary برسند. محدوده‌ی خوب: تقریباً ۱ تا ۴ هفته (604,800–2,419,200 ثانیه).
Minimum TTL — کف برای مدت زمانی که پاسخ‌ها cache می‌شوند. 300 ثانیه یک انتخاب رایج است.

چگونه آن را رفع کنیم (رایگان، ~۱۵ دقیقه)

این قسمت برای هر کسی است که دامنه یا DNS شما را مدیریت می‌کند. رفع رایگان است.

مرحله ۱ — مطمئن شوید حداقل دو nameserver روی زیرساخت متنوع دارید.

بررسی کنید الان چه دارید. dig NS yourdomain.com را اجرا کنید. دو یا بیشتر حداقل است.
اگر فقط یکی دارید، یا هر دو روی یک هاست کوچک هستند، DNS خود را به یک ارائه‌دهنده‌ای منتقل کنید که redundancy پیش‌فرض می‌دهد:
- Cloudflare — دو nameserver در سراسر شبکه‌ی Anycast جهانی خود به طور خودکار اختصاص می‌دهد.
- AWS Route 53 — هر zone میزبانی شده چهار nameserver در سراسر شبکه‌های جداگانه Route 53 دریافت می‌کند.
- Google Cloud DNS / Microsoft 365 / Azure DNS — به طور مشابه nameserver های متعدد در زیرساخت مستقل فراهم می‌کنند.
برای تغییر، nameserver های دامنه‌ی خود را در registrar (جایی که دامنه را خریدید) به آنچه ارائه‌دهنده‌ی DNS جدیدتان می‌دهد تنظیم کنید.

مرحله ۲ — SOA timer های خود را بررسی کنید (و در صورت نیاز رفع کنید).

dig SOA yourdomain.com را اجرا کنید و مقادیر refresh، retry، expire و minimum-TTL را بخوانید.
آن‌ها را با محدوده‌های بالا مقایسه کنید. در غالب موارد ارائه‌دهنده‌ی DNS شما از قبل پیش‌فرض‌های معقول تنظیم کرده.
اگر مقداری خارج از محدوده بود، آن را جایی که DNS شما میزبانی می‌شود رفع کنید.

اشتباهات رایج

رفتار با «دو نام» به عنوان «دو شبکه». دو نام nameserver که به همان box یا rack تبدیل می‌شوند یک نقطه‌ی شکست منفرد با لباس مبدل هستند.
فرض کردن بیشتر همیشه بهتر است، بدون تنوع. پنج nameserver همه روی یک هاست شکننده از یکی امن‌تر نیستند.
تنظیم timer ها خیلی تهاجمی. کم کردن SOA refresh یا minimum-TTL برای «تغییرات فوری» فقط nameserver های شما را می‌کوبد.
تنظیم expire خیلی کم. اگر ثانویه‌ها خیلی زود از ارائه‌ی zone شما متوقف شوند طی یک خرابی primary، یک بحران قابل بازیابی به خرابی کامل تبدیل می‌شود.
رها کردن DNS روی پیش‌فرض ساده‌ی registrar دامنه. بردن DNS به یک ارائه‌دهنده‌ی واقعی معمولاً redundancy و SOA timer های معقول را در یک حرکت می‌دهد.

پرسش‌های متداول

من تکنیکی نیستم — می‌توانم خودم این را مرتب کنم؟

نیازی نیست اینترنال DNS را بفهمید. تنوع nameserver معمولاً به محض اینکه دامنه‌ی خود را روی یک ارائه‌دهنده‌ی DNS واقعی (Cloudflare، AWS Route 53، هاست شما) قرار می‌دهید برایتان انجام می‌شود — آن‌ها دو یا بیشتر nameserver در شبکه‌ی خود را به طور خودکار به شما می‌دهند. SOA timer ها نیز معمولاً به طور پیش‌فرض به درستی تنظیم می‌شوند. بخش فنی را به توسعه‌دهنده‌ی وب یا ارائه‌دهنده‌ی IT خود بدهید — رفع رایگان است.

تفاوت بین دو چیزی که این صفحه بررسی می‌کند چیست؟

دو بخش مرتبط از همان پایه. اول — تنوع nameserver — درباره‌ی استحکام است: آیا حداقل دو nameserver دارید، و آیا روی بخش‌های واقعاً متفاوت شبکه هستند تا یک شکست واحد نتواند همه را از کار بیندازد؟ دوم — رکورد SOA — درباره‌ی زمان‌بندی است: مقادیر ساعت را نگه می‌دارد که به بقیه‌ی اینترنت می‌گوید چقدر به cache پاسخ‌های DNS شما اعتماد کنند.

دو nameserver از همان شرکت دارم — آیا کافی است؟

معمولاً بله، اگر آن شرکت یک ارائه‌دهنده‌ی DNS جدی باشد. ارائه‌دهندگان بزرگ مثل Cloudflare، Google و AWS nameserver های خود را در بسیاری از شبکه‌ها و مکان‌های جداگانه در سراسر جهان اجرا می‌کنند، پس دو نام از آن‌ها واقعاً روی زیرساخت مستقل هستند.

مقدار SOA 'refresh' یا 'expire' واقعاً چه کاری برای کسب‌وکار من انجام می‌دهد؟

اینها timer هایی هستند که به سرورهای DNS دیگر می‌گویند چقدر منتظر بمانند تا رکوردهای شما را مجدداً بررسی کنند، و چقدر در صورتی که نمی‌توانند به شما برسند آن‌ها را سرویس‌دهی کنند. خیلی بالا تنظیم شده و یک تغییری که انجام می‌دهید — یک IP سرور جدید، یک ارائه‌دهنده‌ی ایمیل جدید، یک redirect اضطراری — خیلی بیشتر طول می‌کشد به همه برسد.

آیا این نمره‌ی من را تغییر می‌دهد، و چقدر؟

بله، هر دو بخش به امتیاز DNS شما می‌افزایند. داشتن کمتر از دو nameserver به عنوان یک شکاف جدی تلقی می‌شود چون یک نقطه‌ی شکست منفرد برای کل حضور آنلاین شما است. یک SOA نادرست یک مشکل معتدل‌تر است — شما را آفلاین نمی‌کند، اما توانایی پاسخ شما را وقتی چیزی تغییر می‌کند کند می‌کند.