Defaults.Exposed › Korjaukset › Nimipalvelimien asetus (monimuotoisuus ja SOA)

Kuinka korjata Nimipalvelimien asetus (monimuotoisuus ja SOA)

Nimipalvelimesi ovat hakemisto, joka kertoo koko internetille, mistä verkkosivustosi ja sähköpostisi löytyvät. Jos ne kaikki sijaitsevat yhdessä verkossa ja se kaatuu, yrityksesi katoaa internetistä samalla hetkellä – ei sivustoa, ei sähköpostia, ei mitään – ja huolimaton kellonasetus näillä palvelimilla voi jättää tekemäsi muutokset jumiin päiviksi.

Lyhyesti liiketoiminnallesi: Jos jokainen verkkotunnuksesi nimipalvelin sijaitsee yhdessä verkossa, yksi käyttökatko tai hyökkäys tuohon verkkoon ottaa verkkosivustosi JA sähköpostisi yhtä aikaa offline-tilaan – maksat silti henkilöstölle ja mainoksille samalla kun yksikään asiakas ei pysty tavoittamaan sinua. Erikseen, väärin konfiguroidut SOA-ajastimet voivat jättää DNS-muutoksesi (uusi palvelin, vaihdettu sähköpostitoimittaja, hätäuudellenohjaus) leviämässä päivien ajan tuntien sijaan.

Mitä tämä voi maksaa sinulle

Yksi verkko, johon kaikki nimipalvelimesi istuvat, saa huonon päivän – käyttökatko tai DDoS-hyökkäys – ja verkkosivustosi ja sähköpostisi katoavat samaan aikaan. Asiakkaat saavat virheesivuja, myyntipostilaatikkosi kimpoaa, ja verkkopäällikölläsi ei ole mitään muuta tehtävissä kuin odottaa jonkun muun verkon elpymistä.
Suuremman asiakkaan tietoturvatiimi suorittaa toimittajatarkistuksen, näkee kaikki nimipalvelimesi yhdellä toimittajalla ilman redundanssia, ja merkitsee verkkotunnuksesi yksittäiseksi vikapisteeksi – kitkaa sopimuksessa, jonka olisit muuten voittanut.
Siirryt uudelle webhostille tai vaihdat sähköpostitoimittajaa, mutta väärä 'päivitys'-ajastin SOA-tietueessasi tarkoittaa, että muut DNS-palvelimet jakavat edelleen vanhaa osoitettasi päivien ajan – joten jotkut asiakkaat laskeutuvat kuolleelle sivustolle ja sähköpostisi jakautuu kahteen.
Turvallisuuspoikkeama pakottaa sinua ohjaamaan liikennettä kiireellisesti, mutta SOA-ajastimet kertovat maailmalle pitää vanhat tietueesi välimuistissa viikoksi, joten tunti sitten tekemäsi muutos ei ole vielä saavuttanut puolta internetistä ongelman jatkuessa.
Kaksi nimipalvelintasi ovat teknisesti kaksi nimeä, mutta ne johtavat samaan räkkiin samassa verkossa – joten redundanssi, jonka luulet olevan, on illuusio, ja yksi vikaa ottaa kaiken alas.

Miksi tällä on merkitystä. Jokainen vierailu verkkosivustollesi ja jokainen sinulle lähetetty sähköposti alkaa haulla nimipalvelimiasi vastaan. Ne ovat perusta, jolle kaikki muu online-läsnäolosi nojaa. Jos tuolla perustalla ei ole redundanssia, yksi vika kaataa kaiken kerralla; jos sen ajoitusarvot ovat väärät, jokainen tekemäsi muutos on hidas voimaanastumaan – täsmälleen silloin, kun sinulla on vähiten varaa siihen.

Mitä tämä on, selkokielellä

Ennen kuin kukaan voi tavoittaa verkkosivustosi tai lähettää sinulle sähköpostia, heidän tietokoneensa täytyy kysyä yksinkertainen kysymys: “missä tämä verkkotunnus oikeasti sijaitsee?” Palvelimet, jotka vastaavat tuohon kysymykseen, ovat nimipalvelimesi. Ne ovat hakemistomerkintä koko online-läsnäolollesi – ensimmäinen asia, jota jokainen kävijä ja jokainen sähköposti koskettaa, ennen kuin sivustoasi tai postilaatikkoasi on edes mukana.

Tämä sivu kattaa kaksi osaa hakemiston saamisesta oikein:

Monimuotoisuus – onko sinulla vähintään kaksi nimipalvelinta, ja istuvatko ne todella erillisillä osilla verkkoa, jotta yksi käyttökatko ei voi hiljentää kaikkia kerralla?
SOA-tietue – pieni “alkuviranomaisen” tietue, joka pitää ajoitusarvot, jotka hallitsevat sitä, kuinka kauan muu internet luottaa ja pitää välimuistissa DNS-vastauksesi. Saa ajastimet väärin ja jokainen tekemäsi muutos kestää kauemmin tavoittaa maailman.

Kumpikaan ei ole glamouria. Molemmat ovat perustoja. Kun ne ovat oikein, et koskaan ajattele niitä; kun ne ovat väärin, huomaat pahimmalla mahdollisella hetkellä.

Mitä tämä voi maksaa yrityksellesi

Kaikki offline-tilaan kerralla. Jos kaikki nimipalvelimesi asuvat yhdessä verkossa ja tuo verkko kokee käyttökatkon tai DDoS-hyökkäyksen, verkkosivustosi ja sähköpostisi pimenevät yhdessä. Tämä ei ole teoreettista – yksi DNS-toimittaja, johon hyökätään, on ottanut suuria, hyvin resursoituja yrityksiä pois internetistä lähes päivän ajan. Redundanssi yli verkkojen, yksi vika on selviytymiskelpoinen; ilman sitä, se on kokonaan.
Sopimus menetetty toimittajatarkistuksessa. Suuremman asiakkaan turvallisuus- tai hankintatiimi suorittaa tarkistuksen ennen allekirjoittamista, näkee kaikki nimipalvelimesi keskittyneenä yhdelle toimittajalle ilman varavaihtoehtoa, ja merkitsee verkkotunnuksesi yksittäiseksi vikakohdaksi. Se on sellainen pieni, vältettävä merkintä, joka lisää kitkaa sopimukseen, jonka muuten voittaisit.
Muutokset, jotka eivät toteudu. Vaihdat webhosteja, siirrät sähköpostitoimittajia tai sinun täytyy ohjata liikennettä kiireessä. Väärä “päivitys”- tai “vanhentuminen”-ajastin SOA-tietueessasi tarkoittaa, että muut DNS-palvelimet tarjoilevat vanhaa vastaustasi päivien ajan. Puolet asiakkaistasi laskeutuu uudelle sivustolle, puolet kuolleelle; jotkut sähköpostit virtaavat vanhalle toimittajalle, toiset uudelle. Tunti sitten tekemäsi muutos ei ole vielä valmis.
Hätätilanne, jota et voi päättää nopeasti. Turvallisuuspoikkeaman aikana sinun täytyy osoittaa liikenne pois vaarantuneesta palvelimesta heti. Jos SOA-ajastimet kertoivat maailmalle välimuistittaa tietueesi viikoksi, korjauksesi laahaa läpi internetin ongelman jatkaessa.
Redundanssi, joka ei ole todellista. Sinulla on kaksi nimipalvelinta, joten luulet olevasi turvassa – mutta molemmat johtavat samaan räkkiin samassa verkossa. Ensimmäinen laitteistovika vie koko joukon, ja se turvaverkko, johon luotit, ei koskaan ollut siellä.

Mitä se oikeasti on

Nimipalvelinten monimuotoisuus. Verkkotunnuksessasi pitäisi olla vähintään kaksi nimipalvelinta, ja mieluiten niiden tulisi istua todella riippumattomilla verkkoraiteilla – ei vain kaksi nimeä osoittaen samaa konetta. Kulissien takana jokainen nimipalvelimen nimi selvittää yhteen tai useampaan IP-osoitteeseen, ja se, millä todella on merkitystä, on se, ovatko nuo osoitteet internetin reitityksen eri osissa. Vakava DNS-toimittaja levittää nimipalvelimensa moniin erillisiin verkkolohkoihin ja sijainteihin maailmanlaajuisesti, joten jopa kaksi nimipalvelinta samalta toimittajalta antaa todellisen, riippumattoman redundanssin. Vikatapauksessa on päinvastainen: yksittäinen pieni hosti, jossa molemmat “nimipalvelimet” ovat sama kone.

SOA-tietue. Jokaisella DNS-vyöhykkeellä on täsmälleen yksi Start of Authority -tietue. Se nimeää ensisijaisen nimipalvelimen ja järjestelmänvalvojan yhteyshenkilön, kantaa sarjanumeron, joka kasvaa jokaisella muutoksella, ja – osa, jolla on merkitystä yrityksellesi – neljä ajastinta:

Päivitys – kuinka usein toissijaiset nimipalvelimet tarkistavat ensisijaiselta muutokset. Hyvä alue: noin 1–24 tuntia (3 600–86 400 sekuntia).
Uudelleenyritys – kuinka pian yrittää uudelleen, jos päivitys epäonnistuu. Hyvä alue: noin 5–60 minuuttia (300–3 600 sekuntia).
Vanhentuminen – kuinka kauan toissijainen tarjoilee tietueita, jos ei pysty tavoittamaan ensisijaista lainkaan. Hyvä alue: noin 1–4 viikkoa (604 800–2 419 200 sekuntia).
Minimitilanvaraus (TTL) – lattia sille, kuinka kauan vastauksia (mukaan lukien “tätä nimeä ei ole” -vastaukset) pidetään välimuistissa. Pitäisi olla järkevä positiivinen arvo; 300 sekuntia on yleinen valinta.

Miltä “hyvä” näyttää: SOA, joka on olemassa, jolla on kelvollinen järjestelmänvalvojan yhteyshenkilö, ja kantaa ajastimia noiden alueiden sisällä. Alueiden ulkopuolella olevat arvot eivät ole kohtalokkaat – mutta ne joko hidastavat muutoksiasi (ajastimet liian pitkiä) tai kuormittavat nimipalvelimiasi tarpeettomasti (liian lyhyet).

Korjausohje (ilmainen, n. 15 minuuttia)

Tämä osa on sille, joka hallinnoi verkkotunnustasi tai DNS:ääsi – jos se et ole sinä, anna heille tämä osio. Korjaus on ilmainen; veloitamme vain valvomaan, että se pysyy korjattuna.

Vaihe 1 – Varmista, että sinulla on vähintään kaksi nimipalvelinta erilaisessa infrastruktuurissa.

Tarkista mitä sinulla on tänään. Suorita dig NS verkkotunnuksesi.fi (tai käytä mitä tahansa “DNS-hakua” -verkkityökalua) ja lue nimipalvelimet. Kaksi tai enemmän on minimi.
Jos sinulla on vain yksi, tai molemmat ovat yhdellä pienellä hostilla, siirrä DNS toimittajalle, joka antaa sinulle redundanssin oletuksena. Käytännöllisesti katsoen jokainen vakava toimittaja tekee:
- Cloudflare – antaa kaksi nimipalvelinta levitettynä globaaliin Anycast-verkkoihinsa automaattisesti, kun lisäät verkkotunnuksen.
- AWS Route 53 – jokainen isännöity vyöhyke saa neljä nimipalvelinta erillisten Route 53 -verkkojen yli.
- Google Cloud DNS / Microsoft 365 / Azure DNS – tarjoaa myös useita nimipalvelimia riippumattoman infrastruktuurin yli.
Vaihtaaksesi, aseta verkkotunnuksesi nimipalvelimet rekisteröijälläsi (missä ostit verkkotunnuksen) niihin, joita uusi DNS-toimittajasi antaa. Tämä muutos voi kestää 24–48 tuntia täysin levitäkseen.

Vaihe 2 – Tarkista (ja tarvittaessa korjaa) SOA-ajastimesi.

Suorita dig SOA verkkotunnuksesi.fi ja lue päivitys-, uudelleenyritys-, vanhentumis- ja minimitilanvarausarvot.
Vertaa niitä yllä oleviin alueisiin. Suuressa enemmistössä tapauksia DNS-toimittajasi on jo asettanut järkevät oletukset eikä ole mitään tehtävissä.
Jos arvo on alueen ulkopuolella, korjaa se siellä, missä DNS:äsi isännöidään:
- Hallinnoiduilla toimittajilla (Cloudflare, Route 53, Google, Azure) SOA:ta hallinnoidaan pitkälti puolestasi; yleensä säädät sitä toimittajan DNS-asetusten tai tuen kautta eikä muokata sitä käsin.
- Itsepyöritetyllä nimipalvelimella (BIND, PowerDNS) muokkaa SOA-riviä vyöhyketiedostossa suoraan ja lataa vyöhyke uudelleen – muistaen kasvattaa sarjanumeron niin, että toissijainen poimii muutoksen.
Minkä tahansa muutoksen jälkeen suorita haut uudelleen vahvistaaksesi, että sekä nimipalvelinlista että SOA-ajastimet näyttävät oikealta.

Yleisimmät virheet

“Kahden nimen” pitäminen “kahtena verkkona”. Kaksi nimipalvelimen nimeä, jotka johtavat samaan konetta tai räkkiin, ovat yksittäinen vikakohta naamiaisasussa. Se, millä on merkitystä, ovat riippumattomat verkkorateet, ei nimien lukumäärä.
Olettaminen, että enemmän on aina parempi, ilman monimuotoisuutta. Viisi nimipalvelinta yhdellä hauraalla hostilla ei ole yhtään turvallisempi kuin yksi. Monimuotoisuus lyö määrän.
Ajastimienn asettaminen liian aggressiivisesti. SOA-päivityksen tai minimitilanvarauksen kääntäminen alas nollaan “muutosten hetkelliseksi tekemiseksi” vain hakkaa nimipalvelimiasi ja voi pahentaa käyttökatkoja pienellä todellisella hyödyllä. Järkevät oletukset tasapainottavat jo nopeuden kuorman kanssa.
Vanhentumisen asettaminen liian matalaksi. Jos toissijainen lopettaa vyöhykkeesi tarjoilemisen liian pian ensisijaisen käyttökatkon aikana, toipuva häiriö muuttuu täydeksi käyttökatkoksi. Pidä vanhentuminen viikkojen alueessa.
Vyöhykkeen muokkaaminen käsin ja sarjanumeron unohtaminen. Itsepyöritetyillä nimipalvelimilla, toissijainen poimii muutokset vain, kun SOA-sarjanumero kasvaa. Muuta tietueita mutta jätä sarjanumero rauhaan ja “korjauksesi” ei koskaan leviä.
DNS:n jättäminen verkkotunnusrekisteröijän oletusasetuksiin. Joidenkin rekisteröijien sisäänrakennettu DNS on yksittäinen, minimaalinen asetus. DNS:n siirtäminen oikealle toimittajalle antaa yleensä redundanssin ja järkevät SOA-ajastimet yhdellä siirrolla.

Yhteenveto

Nimipalvelimesi ja niiden SOA-tietue ovat perusta, jolle kaikki muu nojaa. Kaksi nimipalvelinta todella erillisillä verkoilla tarkoittaa, että yksi vika ei voi ottaa koko yrityksesi offline-tilaan kerralla; järkevät SOA-ajastimet tarkoittavat, että tekemäsi muutokset todella tavoittavat maailman ripeästi. Molemmat ovat ilmaisia saada oikein, molemmat ovat yleensä jo hyvässä kunnossa heti, kun olet oikealla DNS-toimittajalla, ja molemmat ovat kahden minuutin tarkistuksen arvoisia – koska se päivä, jolloin niillä on merkitystä, on se päivä, jolloin sinulla on vähiten varaa niiden olevan väärin.

UKK

En ole tekninen – voinko selvittää tämän itse?

Sinun ei tarvitse ymmärtää DNS:n sisäistä toimintaa. Nimipalvelinten monimuotoisuus hoidetaan yleensä puolestasi heti, kun asetat verkkotunnuksesi oikealle DNS-toimittajalle (Cloudflare, AWS Route 53, hostisi) – he antavat sinulle kaksi tai useamman nimipalvelimen automaattisesti verkkonsa yli. SOA-ajastimet asetetaan normaalisti järkevästi oletuksena myös. Työ on enimmäkseen sen tarkistaminen, mitä sinulla on, ja jos olet yksittäisessä hauraassa asetuksessa, siirtyminen toimittajalle, joka antaa sinulle redundanssin. Anna alla oleva tekninen osio webpäälliköllesi tai IT-toimittajalle – korjaus on ilmainen.

Mitä eroa on kahdella asialla, joita tämä sivu tarkistaa?

Kaksi liittyvää osaa samasta perustasta. Ensimmäinen – nimipalvelinten monimuotoisuus – on kestävyydestä: onko sinulla vähintään kaksi nimipalvelinta, ja istuvatko ne todella eri osissa verkkoa, jotta yksi vika ei voi hiljentää niitä kaikkia? Toinen – SOA-tietue – on ajoituksesta: se pitää kellonarvot, jotka kertovat muulle internetille, kuinka kauan luottaa DNS-vastauksiin ja välimuistissaan pitää. Toinen on 'älä laita kaikkia munia yhteen koriin'; toinen on 'aseta ajastimet niin, että muutokset virtaavat läpi siististi.'

Minulla on kaksi nimipalvelinta samalta yritykseltä – riittääkö se?

Yleensä kyllä, jos kyseinen yritys on vakava DNS-toimittaja. Suuret toimittajat kuten Cloudflare, Google ja AWS pyörittävät nimipalvelimiaan monissa erillisessä verkoissa ja sijainneissa maailmanlaajuisesti, joten kaksi nimeä heiltä istuu todella riippumattomassa infrastruktuurissa – se on todellinen redundanssi. Riskitapaus on yksittäinen pieni hosti, jossa molemmat 'nimipalvelimet' ovat oikeasti samaa konetta tai räkkiä. Jos haluat varmuuden varmuuden varalta, voit pyörittää nimipalvelimia kahdelta riippumattomalta toimittajalta, mutta useimmille pienille yrityksille yksi hyvämaineinen DNS-toimittaja on riittävä.

Mitä SOA 'päivitys'- tai 'vanhentuminen'-arvo oikeasti tekee yritykselleni?

Nämä ovat ajastimia, jotka kertovat muille DNS-palvelimille, kuinka kauan odottaa ennen tietujesi uudelleentarkistamista, ja kuinka kauan jatkaa niiden tarjoilemista, jos eivät pysty tavoittamaan sinua. Liian korkea asettaminen, muutos jonka teet – uusi palvelin-IP, uusi sähköpostitoimittaja, hätäuudellenohjaus – kestää paljon kauemmin tavoittaa kaikki. Liian matala ja nimipalvelimesi vastaanottavat tarpeetonta ylimääräistä liikennettä. Järkevät oletukset (päivitys mitattu tunteina, vanhentuminen viikkoina) pitävät muutokset virtaamassa ripeästi pysyen samalla kestävinä käyttökatkon aikana. Useimmat toimittajat asettavat nämä oikein oletuksena.

Muuttaako tämä arvosanaani, ja kuinka paljon?

Kyllä, molemmat osat lasketaan DNS-pisteeseesi. Alle kahden nimipalvelimen omaamista käsitellään vakavana aukkona, koska se on yksittäinen vikakohta koko online-läsnäolollesi. Väärin konfiguroitu SOA on kohtuullisempi ongelma – se ei ota sinua offline-tilaan, mutta hidastaa kykyäsi reagoida kun jotain muuttuu. Molemmat ovat ilmaisia korjata ja useimmille yrityksille ovat jo hyvässä kunnossa, kunhan olet oikealla DNS-toimittajalla.

Onko siinä saalis – täytyykö maksaa sinulle korjatakseni tämän?

Ei. Redundanttien nimipalvelinten ja järkevien SOA-ajastimienn saaminen on ilmaista jokaisella suurella DNS-toimittajalla, ja alla olevat vaiheet ovat kaikki mitä tarvitset. Veloitamme vain jos myöhemmin haluat meidän valvovan verkkotunnustasi ja hälyttämään, jos redundanssi koskaan laskee takaisin yhteen vikakohtaan tai ajastimet ajautuvat.