Defaults.Exposed › Perbaikan › Pengaturan nameserver (keberagaman & SOA)

Cara memperbaiki Pengaturan nameserver (keberagaman & SOA)

Nameserver Anda adalah direktori yang memberi tahu seluruh internet di mana menemukan website dan email Anda. Jika semuanya duduk di satu jaringan dan jaringan itu turun, bisnis Anda menghilang dari internet sekaligus — tidak ada website, tidak ada email, tidak ada apa pun — dan pengaturan jam yang sembarangan di server tersebut bisa membuat perubahan yang Anda buat tersangkut selama berhari-hari.

Intinya bagi bisnis Anda: Jika setiap nameserver untuk domain Anda berada di satu jaringan, satu pemadaman atau serangan di jaringan itu membuat website DAN email Anda offline bersama-sama — Anda terus membayar staf dan iklan sementara tidak ada pelanggan yang bisa menghubungi Anda. Terpisah, timer SOA yang salah dikonfigurasi bisa membuat perubahan DNS Anda (server baru, penyedia email yang dialihkan, pengalihan darurat) merambat selama berhari-hari alih-alih berjam-jam.

Kerugian yang dapat ditimbulkan

Jaringan tunggal tempat semua nameserver Anda duduk mengalami hari yang buruk — pemadaman atau serangan DDoS — dan website dan email Anda keduanya menghilang pada saat yang sama. Pelanggan mendapatkan halaman error, kotak masuk penjualan Anda memantul, dan tidak ada yang bisa dilakukan orang web Anda selain menunggu jaringan orang lain pulih.
Tim keamanan pelanggan besar menjalankan pemeriksaan vendor, melihat semua nameserver Anda pada satu penyedia tanpa redundansi, dan mencatat domain Anda sebagai satu titik kegagalan — gesekan pada kontrak yang seharusnya Anda menangkan.
Anda pindah ke host web baru atau beralih penyedia email, tapi timer 'refresh' yang salah dalam record SOA Anda berarti server DNS lain terus memberikan alamat lama Anda selama berhari-hari — sehingga beberapa pelanggan mendarat di website yang mati dan email Anda terbagi dua.
Insiden keamanan memaksa Anda mengalihkan traffic secara mendesak, tapi timer SOA Anda memberi tahu dunia untuk meng-cache record lama Anda selama seminggu, sehingga perubahan yang Anda buat sejam lalu belum menjangkau separuh internet sementara masalah terus berlanjut.
Dua nameserver Anda secara teknis dua nama, tapi keduanya mengarah ke rack yang sama di jaringan yang sama — sehingga redundansi yang Anda pikir Anda miliki adalah ilusi, dan satu kegagalan masih merobohkan segalanya.

Mengapa ini penting. Setiap kunjungan ke website Anda dan setiap email yang dikirim kepada Anda dimulai dengan pencarian terhadap nameserver Anda. Mereka adalah fondasi tempat kehadiran online Anda lainnya duduk. Jika fondasi itu tidak memiliki redundansi, satu kegagalan menonaktifkan semuanya sekaligus; jika nilai timingnya salah, setiap perubahan yang Anda buat lambat berlaku — tepat saat Anda paling tidak mampu menerimanya.

Apa ini, dalam bahasa sederhana

Sebelum siapa pun bisa menjangkau website Anda atau mengirimi Anda email, komputer mereka harus mengajukan pertanyaan sederhana: “di mana domain ini sebenarnya berada?” Server yang menjawab pertanyaan itu adalah nameserver Anda. Mereka adalah entri direktori untuk seluruh kehadiran online Anda — hal pertama yang disentuh setiap pengunjung dan setiap email, sebelum website atau kotak masuk Anda bahkan terlibat.

Halaman ini mencakup dua bagian untuk mendapatkan direktori itu dengan benar:

Keberagaman — apakah Anda memiliki setidaknya dua nameserver, dan apakah mereka duduk di bagian jaringan yang benar-benar terpisah, sehingga pemadaman tunggal tidak bisa membungkam semuanya sekaligus?
Record SOA — record “start of authority” kecil yang menyimpan nilai timing mengontrol berapa lama sisa internet mempercayai dan meng-cache jawaban DNS Anda. Salah mengatur timer dan setiap perubahan yang Anda buat membutuhkan lebih lama untuk menjangkau dunia.

Tidak satu pun yang glamor. Keduanya adalah fondasi. Ketika benar Anda tidak pernah memikirkannya; ketika salah, Anda mengetahuinya di saat yang paling buruk.

Dampak finansial yang perlu diketahui

Semuanya offline sekaligus. Jika semua nameserver Anda tinggal di satu jaringan dan jaringan itu mengalami pemadaman atau diserang DDoS, website dan email Anda padam bersama. Ini bukan teori — satu penyedia DNS yang diserang telah mematikan perusahaan besar dan berkecukupan dari internet selama hampir sehari. Dengan redundansi di seluruh jaringan, satu kegagalan bisa bertahan; tanpanya, itu total.
Kesepakatan yang hilang pada pemeriksaan vendor. Tim keamanan atau pengadaan pelanggan yang lebih besar menjalankan pemeriksaan sebelum menandatangani, melihat semua nameserver Anda terkonsentrasi pada satu penyedia tanpa fallback, dan menandai domain Anda sebagai satu titik kegagalan. Ini adalah tanda kecil yang bisa dihindari yang menambahkan gesekan pada kontrak yang seharusnya Anda menangkan.
Perubahan yang tidak berlaku. Anda beralih host web, pindah penyedia email, atau perlu mengalihkan traffic tergesa-gesa. Timer “refresh” atau “expire” yang salah dalam record SOA Anda berarti server DNS lain terus menyajikan jawaban lama Anda selama berhari-hari. Separuh pelanggan Anda mendarat di website baru, separuh di website yang mati; beberapa email mengalir ke penyedia lama, beberapa ke yang baru. Perubahan yang Anda buat sejam lalu belum selesai.
Keadaan darurat yang tidak bisa Anda akhiri dengan cepat. Selama insiden keamanan Anda perlu mengalihkan traffic dari server yang dikompromikan sekarang. Jika timer SOA Anda memberi tahu dunia untuk meng-cache record Anda selama seminggu, perbaikan Anda merayap di internet sementara masalah terus menggigit.
Redundansi yang tidak nyata. Anda memiliki dua nameserver, jadi Anda mengasumsikan Anda terlindungi — tapi keduanya mengarah ke rack yang sama di jaringan yang sama. Kegagalan hardware pertama merobohkan semuanya, dan jaring pengaman yang Anda andalkan tidak pernah ada.

Apa sebenarnya itu

Keberagaman nameserver. Domain Anda harus mencantumkan setidaknya dua nameserver, dan idealnya mereka harus duduk di jalur jaringan yang benar-benar independen — bukan hanya dua nama yang menunjuk ke kotak yang sama. Di balik layar, setiap nama nameserver menyelesaikan ke satu atau lebih alamat IP, dan yang benar-benar penting adalah apakah alamat-alamat itu menempati bagian internet yang berbeda dari routing-nya. Penyedia DNS serius menyebarkan nameserver-nya di banyak blok jaringan dan lokasi terpisah di seluruh dunia, sehingga bahkan dua nameserver dari penyedia yang sama memberi Anda redundansi independen yang nyata. Kasus kegagalan adalah kebalikannya: host kecil tunggal di mana kedua “nameserver” adalah mesin yang sama, sehingga satu kegagalan adalah total.

Catatan untuk pembaca teknis: pemeriksaan kami menghitung record NS Anda dan kemudian melihat seberapa banyak keberagaman jaringan nyata yang ada di belakangnya. Sinyal utama adalah sebaran blok jaringan IP berbeda yang diselesaikan nameserver (kira-kira, rentang /16 untuk IPv4 dan /32 untuk IPv6), dengan jumlah nama penyedia berbeda sebagai cadangan. Ini dengan sengaja mengkreditkan penyedia hyperscale Anycast — Cloudflare, Google, AWS Route 53, Azure DNS — yang mengumumkan satu identitas jaringan dari banyak jalur routing terpisah secara global dan karena itu memberikan keberagaman nyata bahkan dari satu merek. Memiliki kurang dari dua nameserver mendapat skor nol pada pemeriksaan ini dan diperlakukan sebagai tingkat keparahan tinggi, karena ini adalah satu titik kegagalan yang tidak dikurangi untuk seluruh domain.

Record SOA. Setiap zona DNS memiliki tepat satu record Start of Authority. Ini menyebutkan nameserver utama dan kontak administratif, membawa nomor serial yang bertambah pada setiap perubahan, dan — bagian yang penting untuk bisnis Anda — menyimpan empat timer:

Refresh — seberapa sering nameserver sekunder memeriksa ulang primer untuk perubahan. Rentang yang baik: kira-kira 1 hingga 24 jam (3.600–86.400 detik).
Retry — seberapa cepat mencoba lagi jika refresh gagal. Rentang yang baik: kira-kira 5 hingga 60 menit (300–3.600 detik).
Expire — berapa lama sekunder terus menyajikan record Anda jika tidak bisa menjangkau primer sama sekali. Rentang yang baik: kira-kira 1 hingga 4 minggu (604.800–2.419.200 detik).
Minimum TTL — floor untuk berapa lama jawaban (termasuk jawaban “nama ini tidak ada”) di-cache. Harus bernilai positif yang masuk akal; 300 detik adalah pilihan umum.

Seperti apa “baik” itu: SOA yang ada, memiliki kontak administratif yang valid, dan membawa timer dalam rentang tersebut. Nilai di luar rentang tidak fatal — tapi mereka memperlambat perubahan Anda (timer terlalu panjang) atau memuat nameserver Anda dengan tidak perlu (terlalu pendek). SOA yang hilang atau benar-benar rusak adalah kasus yang lebih serius.

Cara memperbaikinya (gratis, ~15 menit)

Bagian ini untuk siapa pun yang mengelola domain atau DNS Anda — jika itu bukan Anda, berikan bagian ini kepada mereka. Perbaikannya gratis; kami hanya mengenakan biaya untuk memantau agar tetap diperbaiki.

Langkah 1 — Pastikan Anda memiliki setidaknya dua nameserver di infrastruktur yang beragam.

Periksa apa yang Anda miliki hari ini. Jalankan dig NS yourdomain.com (atau gunakan alat “pencarian DNS” web mana pun) dan baca nameserver. Dua atau lebih adalah minimum.
Jika Anda hanya memiliki satu, atau keduanya ada di host kecil tunggal, pindahkan DNS Anda ke penyedia yang memberikan redundansi secara default. Hampir setiap penyedia serius melakukan itu:
- Cloudflare — menetapkan dua nameserver yang tersebar di seluruh jaringan Anycast global-nya secara otomatis saat Anda menambahkan domain.
- AWS Route 53 — setiap hosted zone mendapat empat nameserver di seluruh jaringan Route 53 yang terpisah.
- Google Cloud DNS / Microsoft 365 / Azure DNS — demikian juga menyediakan beberapa nameserver di seluruh infrastruktur independen.
Untuk beralih, atur nameserver domain Anda di registrar Anda (tempat Anda membeli domain — misalnya GoDaddy, Namecheap) ke yang diberikan penyedia DNS baru Anda. Perubahan ini bisa membutuhkan waktu 24–48 jam untuk menyebar sepenuhnya.
Untuk ketahanan sabuk-dan-gesper, bisnis yang lebih besar atau lebih berisiko bisa menjalankan DNS sekunder dari penyedia independen kedua (misalnya Cloudflare + Route 53, atau NS1 + Cloudflare). Untuk kebanyakan bisnis kecil ini opsional — satu penyedia yang terpercaya sudah memberikan redundansi lintas-jaringan yang nyata.

Langkah 2 — Periksa (dan jika perlu, perbaiki) timer SOA Anda.

Jalankan dig SOA yourdomain.com dan baca nilai refresh, retry, expire dan minimum-TTL.
Bandingkan dengan rentang di atas. Dalam sebagian besar kasus penyedia DNS Anda sudah menetapkan default yang bijak dan tidak ada yang perlu dilakukan.
Jika nilai berada di luar rentang, perbaiki di tempat DNS Anda dihosting:
- Di penyedia terkelola (Cloudflare, Route 53, Google, Azure) SOA sebagian besar ditangani untuk Anda; Anda umumnya menyesuaikannya melalui pengaturan DNS penyedia atau dukungan daripada mengeditnya secara manual.
- Di nameserver yang dijalankan sendiri (BIND, PowerDNS) edit baris SOA di file zona langsung dan muat ulang zona — ingat untuk menaikkan nomor serial sehingga sekunder mengambil perubahan.
Setelah perubahan apa pun, jalankan ulang pencarian untuk mengonfirmasi daftar nameserver dan timer SOA keduanya terlihat benar.

Kesalahan umum

Memperlakukan “dua nama” sebagai “dua jaringan.” Dua nama nameserver yang mengarah ke kotak atau rack yang sama adalah satu titik kegagalan yang menyamar. Yang penting adalah jalur jaringan independen, bukan jumlah nama.
Mengasumsikan lebih selalu lebih baik, tanpa keberagaman. Lima nameserver semua pada satu host yang rapuh tidak lebih aman dari satu. Keberagaman mengalahkan kuantitas.
Mengatur timer terlalu agresif. Mengecilkan refresh SOA atau minimum-TTL hingga “membuat perubahan instan” hanya memalu nameserver Anda dan bisa memperburuk pemadaman, dengan sedikit manfaat nyata. Default yang bijak sudah menyeimbangkan kecepatan terhadap beban.
Mengatur expire terlalu rendah. Jika sekunder berhenti menyajikan zona Anda terlalu cepat selama pemadaman primer, blip yang bisa dipulihkan menjadi pemadaman penuh. Pertahankan expire dalam rentang minggu.
Mengedit zona secara manual dan melupakan nomor serial. Di nameserver yang dijalankan sendiri, sekunder hanya mengambil perubahan ketika serial SOA bertambah. Mengubah record tapi membiarkan serial sendiri dan “perbaikan” Anda tidak pernah menyebar.
Meninggalkan DNS pada default bare registrar domain. DNS bawaan beberapa registrar adalah pengaturan tunggal dan minimal. Memindahkan DNS ke penyedia nyata biasanya memberikan redundansi dan timer SOA yang wajar dalam satu langkah.

Intinya

Nameserver Anda dan record SOA-nya adalah fondasi yang duduki segalanya. Dua nameserver di jaringan yang benar-benar terpisah berarti satu kegagalan tidak bisa membuat seluruh bisnis Anda offline sekaligus; timer SOA yang bijak berarti perubahan yang Anda buat benar-benar menjangkau dunia dengan cepat. Keduanya gratis untuk diperbaiki, keduanya biasanya sudah dalam kondisi baik saat Anda menggunakan penyedia DNS yang tepat, dan keduanya layak untuk pemeriksaan dua menit — karena hari ketika mereka penting adalah hari yang paling tidak mampu Anda menerima mereka salah.

FAQ

Saya tidak teknis — apakah ini sesuatu yang bisa saya tangani sendiri?

Anda tidak perlu memahami internal DNS. Keberagaman nameserver biasanya ditangani untuk Anda saat Anda menempatkan domain Anda di penyedia DNS nyata (Cloudflare, AWS Route 53, host Anda) — mereka memberi Anda dua atau lebih nameserver di seluruh jaringan mereka secara otomatis. Timer SOA biasanya juga diatur dengan bijak secara default. Pekerjaannya sebagian besar adalah memeriksa apa yang Anda miliki dan, jika Anda menggunakan pengaturan tunggal yang rapuh, pindah ke penyedia yang memberi Anda redundansi. Berikan bagian teknis di bawah kepada orang web atau penyedia IT Anda — perbaikannya gratis.

Apa perbedaan antara dua hal yang diperiksa halaman ini?

Dua bagian terkait dari fondasi yang sama. Yang pertama — keberagaman nameserver — tentang ketahanan: apakah Anda memiliki setidaknya dua nameserver, dan apakah mereka duduk di bagian jaringan yang benar-benar berbeda sehingga satu kegagalan tidak bisa menonaktifkan semuanya? Yang kedua — record SOA — tentang timing: ini menyimpan nilai jam yang memberi tahu sisa internet berapa lama mempercayai dan meng-cache jawaban DNS Anda. Satu adalah 'jangan taruh semua telur dalam satu keranjang'; yang lain adalah 'atur timer agar perubahan mengalir dengan bersih.'

Saya memiliki dua nameserver dari perusahaan yang sama — apakah itu cukup?

Biasanya ya, jika perusahaan itu adalah penyedia DNS yang serius. Penyedia besar seperti Cloudflare, Google dan AWS menjalankan nameserver mereka di banyak jaringan dan lokasi terpisah di seluruh dunia, sehingga dua nama dari mereka benar-benar duduk di infrastruktur independen — itu adalah redundansi nyata. Kasus risiko adalah host kecil tunggal di mana kedua 'nameserver' sebenarnya adalah kotak atau rack yang sama. Jika Anda menginginkan sabuk-dan-gesper, Anda bisa menjalankan nameserver dari dua penyedia independen, tapi untuk kebanyakan bisnis kecil satu penyedia DNS yang terpercaya sudah cukup.

Apa yang sebenarnya dilakukan nilai 'refresh' atau 'expire' SOA pada bisnis saya?

Itu adalah timer yang memberi tahu server DNS lain berapa lama menunggu sebelum memeriksa ulang record Anda, dan berapa lama terus menyajikannya jika tidak bisa menghubungi Anda. Diatur terlalu tinggi dan perubahan yang Anda buat — IP server baru, penyedia email baru, pengalihan darurat — membutuhkan lebih lama untuk menjangkau semua orang. Diatur terlalu rendah dan nameserver Anda menangani traffic ekstra yang tidak perlu. Default yang bijak (refresh diukur dalam jam, expire dalam minggu) membuat perubahan mengalir dengan cepat sambil tetap kuat selama pemadaman. Sebagian besar penyedia mengatur ini dengan benar dari awal.

Apakah ini mengubah nilai saya, dan berapa banyak?

Ya, kedua bagian berkontribusi pada skor DNS Anda. Memiliki kurang dari dua nameserver diperlakukan sebagai kesenjangan serius karena ini adalah satu titik kegagalan untuk seluruh kehadiran online Anda. SOA yang salah dikonfigurasi adalah masalah yang lebih moderat — itu tidak membuat Anda offline, tapi memperlambat kemampuan Anda untuk merespons saat sesuatu berubah. Keduanya gratis untuk diperbaiki dan, untuk kebanyakan bisnis, sudah dalam kondisi baik setelah Anda menggunakan penyedia DNS yang tepat.

Apakah ada tangkapan — apakah saya harus membayar untuk memperbaiki ini?

Tidak. Mendapatkan nameserver yang redundan dan timer SOA yang wajar gratis di setiap penyedia DNS utama, dan langkah-langkah di bawah ini adalah semua yang Anda butuhkan. Kami hanya mengenakan biaya jika Anda nanti ingin kami terus memantau domain Anda dan memberi tahu Anda jika redundansi kembali ke satu titik kegagalan atau timer bergeser.