Defaults.Exposed › Ispravci › Postavke nameservera (raznolikost i SOA)

Kako popraviti Postavke nameservera (raznolikost i SOA)

Vaši nameserveri su imenik koji govori cijelom internetu gdje pronaći vašu web stranicu i e-poštu. Ako svi sjede na jednoj mreži i ona padne, vaše poduzeće nestaje s interneta u istom trenutku — nema stranice, nema e-pošte, ništa — a nemarno postavljanje sata na tim serverima može ostaviti promjene koje napravite zaglavljene danima.

Zaključak za vaše poslovanje: Ako svaki nameserver za vašu domenu živi na jednoj mreži, jedan ispad ili napad na tu mrežu srušava vašu web stranicu I vašu e-poštu zajedno — nastavate plaćati osoblje i oglase dok nijedan klijent ne može vas doseći. Zasebno, pogrešno postavljeni SOA timeri mogu ostaviti vaše DNS promjene (novi server, promijenjen pružatelj e-pošte, hitno preusmjeravanje) da se šire danima umjesto satima.

Što vas ovo može koštati

• Jedna mreža na kojoj sjede svi vaši nameserveri prolazi loše poslijepodne — ispad ili DDoS napad — i vaša web stranica i e-pošta nestaju u isto vrijeme. Klijenti dobivaju stranice s greškama, vaš prodajni sandučić odbija, i vaša web osoba ne može ništa napraviti osim čekati da se nečija mreža oporavi.
• Sigurnosni tim velikog klijenta provodi provjeru dobavljača, vidi sve vaše nameservere kod jednog pružatelja bez redundancije i bilježi vašu domenu kao jednu točku kvara — trenje na ugovoru koji biste inače dobili.
• Selitr se na novog web hosta ili mijenjate pružatelje e-pošte, ali pogrešan 'refresh' timer u vašem SOA zapisu znači da drugi DNS serveri i dalje daju staru adresu danima — pa neki klijenti sletnu na mrtvu stranicu, a vaša e-pošta se razdvoji na dva toka.
• Sigurnosni incident prisiljava vas da hitno preusmjerite promet, ali vaši SOA timeri govore svijetu da kešira vaše stare zapise tjedan dana, pa promjena koju ste napravili sat vremena još nije dosegla pola interneta dok problem traje.
• Vaša dva nameservera su tehnički dva naziva, ali razrješavaju na isti rack na istoj mreži — pa redundancija za koju mislite da je imate je iluzija, a jedan jedini kvar i dalje ruši sve.

Zašto je to važno. Svaki posjet vašoj web stranici i svaka e-pošta poslana vama počinje pretraživanjem vaših nameservera. Oni su temelj na kojemu sjedi ostatak vaše online prisutnosti. Ako taj temelj nema redundancije, jedan kvar srušava sve odjednom; ako su mu vrijednosti timera pogrešne, svaka promjena koju napravite sporo stupa na snagu — točno kad si to najmanje možete priuštiti.

Što je ovo, jednostavnim riječima

Prije nego tko može dosegnuti vašu web stranicu ili vam poslati e-poštu, njihovo računalo mora postaviti jednostavno pitanje: “gdje ova domena zapravo živi?” Serveri koji odgovaraju na to pitanje su vaši nameserveri. Oni su imenik za cijelu vašu online prisutnost — prva stvar na kojoj svaki posjetitelja i svaka e-pošta zastane, prije nego što je vaša stranica ili sandučić čak i uključen.

Ova stranica pokriva dva dijela ispravnog postavljanja tog imenika:

1. Raznolikost — imate li barem dva nameservera i sjede li na genuinno odvojenim dijelovima mreže, pa jedan ispad ne može ušutkati sve odjednom?
2. SOA zapis — mali “start of authority” zapis koji drži vrijednosti timera kontrolirajući koliko dugo ostatak interneta vjeruje i kešira vaše DNS odgovore. Pogrešno postavite timere i svaka promjena koju napravite dulje traje da dosegne svijet.

Ni jedno ni drugo nije glamurozno. Oboje su temelji. Kad su ispravni, nikad o njima ne razmišljate; kad su pogrešni, saznate u najgorem mogućem trenutku.

Što vas ovo može koštati

• Sve izvanmrežno odjednom. Ako svi vaši nameserveri žive na jednoj mreži i ta mreža doživi ispad ili je pogođena DDoS napadom, vaša web stranica i vaša e-pošta zajedno potamne. To nije teorijsko — jedan DNS pružatelj koji je napadnut izbacio je od interneta velika, dobro-opremljena poduzeća veći dio dana. S redundancijom po mrežama, jedan kvar je preživljiv; bez nje, to je totalan.

• Dogovor izgubljen na provjeri dobavljača. Sigurnosni ili nabavni tim većeg klijenta provede provjeru prije potpisa, vidi sve vaše nameservere koncentrane na jednom pružatelju bez rezervnog, i označi vašu domenu kao jednu točku kvara. To je vrsta male, izbjegljive oznake koja dodaje trenje ugovoru koji biste inače dobili.

• Promjene koje ne stupaju na snagu. Selite web hoste, mijenjate pružatelje e-pošte ili trebate u žurbi preusmjeriti promet. Pogrešan “refresh” ili “expire” timer u vašem SOA zapisu znači da drugi DNS serveri i dalje serviraju vaš stari odgovor danima. Pola vaših klijenata sletne na novu stranicu, pola na mrtvu; dio e-pošte ide starom pružatelju, dio novom. Promjena koju ste napravili sat vremena još nije gotova.

• Hitnost koju ne možete brzo završiti. Tijekom sigurnosnog incidenta trebate odmah usmjeriti promet od kompromitiranog servera. Ako su vaši SOA timeri rekli svijetu da kešira vaše zapise tjedan dana, vaš popravak se puzajući širi internetom dok problem nastavlja gristi.

• Redundancija koja nije stvarna. Imate dva nameservera, pa pretpostavljate da ste pokriveni — ali oba razrješavaju na isti rack na istoj mreži. Prva hardverska greška ruši sve, a mreža sigurnosti na koju ste računali nikad nije bila tamo.

Što je to zapravo

Raznolikost nameservera. Vaša domena bi trebala navesti barem dva nameservera i, idealno, oni bi trebali sjediti na genuinno neovisnim mrežnim putovima — a ne samo dva naziva pokazujući na isti stroj. Iza kulisa, svaki naziv nameservera razrješava na jednu ili više IP adresa, a ono što zapravo vrijedi jest jesu li te adrese u različitim dijelovima routinga interneta. Ozbiljni DNS pružatelj širi svoje nameservere kroz mnoge odvojene mrežne blokove i lokacije diljem svijeta, pa čak i dva nameservera od istog pružatelja daju pravu, neovisnu redundanciju. Slučaj kvara je suprotno: jedan mali host gdje su oba “nameservera” isti stroj, pa je jedan kvar totalan.

Napomena za tehničkog čitatelja: naša provjera broji vaše NS zapise i zatim gleda koliko prave mrežne raznolikosti stoji iza njih. Primarni signal je raspon različitih blokova IP mreže u koje nameserveri razrješavaju (otprilike, /16 rasponi za IPv4 i /32 za IPv6), s brojem različitih naziva pružatelja kao rezervom. Ovo namjerno kreditira Anycast hyperscale pružatelje — Cloudflare, Google, AWS Route 53, Azure DNS — koji oglašavaju jedan mrežni identitet s mnogo globalno odvojenih rutingovih putova i tako isporučuju pravu raznolikost čak i od jednog brenda. Manje od dva nameservera dobiva nulu na ovoj provjeri i tretira se kao visoke ozbiljnosti, jer je to nesmanjenu jedinska točka kvara za cijelu domenu.

SOA zapis. Svaka DNS zona ima točno jedan Start of Authority zapis. Imenuje primarni nameserver i administrativni kontakt, nosi serijski broj koji se inkrementira pri svakoj promjeni i — dio koji je važan za vaše poslovanje — drži četiri timera:

• Refresh — koliko često sekundarni nameserveri ponovo provjeravaju primarni za promjene. Dobar raspon: otprilike 1 do 24 sata (3.600–86.400 sekundi).
• Retry — kako uskoro pokušati ponovo ako refresh ne uspije. Dobar raspon: otprilike 5 do 60 minuta (300–3.600 sekundi).
• Expire — koliko dugo sekundarni serviri vaše zapise ako ne mogu dosegnuti primarni uopće. Dobar raspon: otprilike 1 do 4 tjedna (604.800–2.419.200 sekundi).
• Minimum TTL — minimalna razina za koliko dugo se odgovori (uključujući “ovo ime ne postoji” odgovore) kešira. Trebala bi biti razumna pozitivna vrijednost; 300 sekundi je čest izbor.

Kako izgleda ‘dobro’: SOA koji postoji, ima valjani administrativni kontakt i nosi timere unutar tih raspona. Vrijednosti izvan raspona nisu fatalne — ali ili usporavaju vaše promjene (timeri predugi) ili nepotrebno opterećuju vaše nameservere (prekratki). Nedostajući ili genuinno slomljeni SOA je ozbiljniji slučaj.

Kako to popraviti (besplatno, ~15 minuta)

Ovaj dio je za onoga tko upravlja vašom domenom ili DNS-om — ako to niste vi, proslijedite im ovaj odjeljak. Popravak je besplatan; naplaćujemo samo za praćenje da ostaje popravljeno.

Korak 1 — Osigurajte da imate barem dva nameservera na raznolikoj infrastrukturi.

1. Provjerite što imate danas. Pokrenite dig NS vasadomena.com (ili koristite bilo koji web alat za “DNS pretraživanje”) i pročitajte nameservere. Dva ili više je minimum.
2. Ako imate samo jedan, ili su oba na jednom malom hostu, premjestite vaš DNS na pružatelja koji vam zadano daje redundanciju. To čini gotovo svaki ozbiljni pružatelj:
   • Cloudflare — automatski dodjeljuje dva nameservera raširena po globalnoj Anycast mreži kad dodate domenu.
   • AWS Route 53 — svaka hostirana zona dobiva četiri nameservera po odvojenim Route 53 mrežama.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — slično opskrbljuju višestruke nameservere po neovisnoj infrastrukturi.
3. Za prebacivanje, postavite nameservere vaše domene kod vašeg registrara (gdje ste kupili domenu — npr. GoDaddy, Namecheap i sl.) na one koje vam daje vaš novi DNS pružatelj. Ova promjena može trajati 24–48 sati da se potpuno proširi.
4. Za pojasnice i naramenice otpornost, veća ili visokorisičnija poduzeća mogu pokrenuti sekundarni DNS od drugog neovisnog pružatelja (npr. Cloudflare + Route 53, ili NS1 + Cloudflare). Za većinu malih poduzeća ovo je neobavezno — jedan renomirani pružatelj već daje pravu cross-mrežnu redundanciju.

Korak 2 — Provjerite (i po potrebi ispravite) vaše SOA timere.

1. Pokrenite dig SOA vasadomena.com i pročitajte vrijednosti refresh, retry, expire i minimum-TTL.
2. Usporedite ih s rasponima gore. U velikoj većini slučajeva vaš DNS pružatelj već je postavio razumne zadane vrijednosti i nema ničega za napraviti.
3. Ako je neka vrijednost izvan raspona, ispravite je tamo gdje je vaš DNS hostiran:
   • Na upravljanim pružateljima (Cloudflare, Route 53, Google, Azure) SOA je uglavnom njima rukovano; obično ga prilagođavate kroz DNS postavke pružatelja ili podršku umjesto ručnog uređivanja.
   • Na samopokrenutom nameserveru (BIND, PowerDNS) uredite SOA redak u datoteci zone izravno i ponovo učitajte zonu — ne zaboravivši povećati serijski broj da ga sekundarni pokupe.
4. Nakon bilo koje promjene, ponovo pokrenite pretraživanja da potvrdite da i popis nameservera i SOA timeri izgledaju ispravno.

Česte greške

• Tretiranje “dva naziva” kao “dvije mreže”. Dva naziva nameservera koji razrješavaju na isti stroj ili rack su jedna točka kvara prerušena u maskaru. Ono što je važno su neovisni mrežni putovi, a ne broj naziva.
• Pretpostavljanje da je više uvijek bolje, bez raznolikosti. Pet nameservera svih na jednom krhkom hostu nisu sigurniji od jednog. Raznolikost pobjeđuje kvantitetu.
• Postavljanje timera preagresivno. Smanjenjem SOA refresh ili minimum-TTL odmah na “učiniti promjene trenutačnima” samo se optereti vaše nameservere i može pogoršati ispade, s malo stvarnom koristi. Razumne zadane vrijednosti već balansiraju brzinu i opterećenje.
• Postavljanje expire premalim. Ako sekundarni prestanu servirati vašu zonu prebrzo tijekom primarnog ispada, prividni okret postaje potpun ispad. Držite expire u rasponu tjedana.
• Ručno uređivanje zone i zaboravljanje serijskog broja. Na samopokrenutim nameserverima, sekundarni preuzimaju promjene tek kad se SOA serijski poveća. Promijenite zapise ali ostavite serijski isti i vaš “popravak” se nikad ne širi.
• Ostavljanje DNS-a na golom zadanom registrara domene. Ugrađeni DNS nekih registrara je jedna, minimalna konfiguracija. Premještanje DNS-a na pravog pružatelja obično daje redundanciju i razumne SOA timere u jednom potezu.

Zaključak

Vaši nameserveri i njihov SOA zapis su temelj na kojemu sve ostalo sjedi. Dva nameservera na genuinno odvojenim mrežama znači da jedan kvar ne može srušiti cijelo vaše poduzeće odjednom; razumni SOA timeri znače da promjene koje napravite zaista dosežu svijet brzo. Oboje je besplatno ispravno postaviti, oboje je obično već u dobrom stanju čim ste na pravom DNS pružatelju i oboje vrijedi dvominutnu provjeru — jer dan kad su važni je dan kad si ih možete najmanje priuštiti da budu pogrešni.

Česta pitanja