Defaults.Exposed › Taisymai › Vardų serverių sąranka (įvairovė ir SOA)

Kaip ištaisyti Vardų serverių sąranka (įvairovė ir SOA)

Jūsų vardų serveriai yra katalogas, kuris visam internetui sako, kur rasti jūsų svetainę ir el. paštą. Jei visi jie yra viename tinkle ir jis sugenda, jūsų verslas išnyksta iš interneto tuo pačiu metu – nėra svetainės, nėra el. pašto, nieko – ir netvarkingos laikrodžio nustatymas tuose serveriuose gali palikti jūsų atliekamus pakeitimus strigusius dienų dienomis.

Praktinė reikšmė jūsų verslui: Jei kiekvienas jūsų domeno vardų serveris gyvena viename tinkle, vienas to tinklo gedimas ar ataka išjungia jūsų svetainę IR el. paštą kartu – jūs toliau mokate darbuotojams ir reklamai, kol nė vienas klientas negali jūsų pasiekti. Atskirai, netinkamai sukonfigūruoti SOA laikmačiai gali palikti jūsų DNS pakeitimus (naują serverį, pakeistą el. pašto tiekėją, skubų peradresavimą) sklindančius dienų dienomis, o ne valandomis.

Ką tai gali kainuoti

Vienas tinklas, ant kurio sėdi visi jūsų vardų serveriai, turi blogą popietę – gedimas ar DDoS ataka – ir jūsų svetainė bei el. paštas abu tuo pačiu metu išnyksta. Klientai gauna klaidos puslapius, jūsų pardavimų gaunamasis atmeta, ir jūsų žiniatinklio asmuo negali nieko daryti tik laukti, kol kažkieno kito tinklas atsigaus.
Didelio kliento saugumo komanda atlieka tiekėjo patikrinimą, mato visus jūsų vardų serverius pas vieną tiekėją be redundancijos ir pažymi jūsų domeną kaip vieną gedimo tašką – trintis sutartyje, kurią kitaip būtumėte laimėję.
Jūs persikelia į naują žiniatinklio prieglobą ar persijungia el. pašto tiekėjus, bet neteisingas 'atnaujinimo' laikmatis jūsų SOA įraše reiškia, kad kiti DNS serveriai toliau pateikia jūsų seną adresą dienų dienomis – todėl kai kurie klientai patenka ant mirusios svetainės ir jūsų el. paštas dalijamas į du.
Saugumo incidentas verčia jus skubiai peradresuoti srautą, bet jūsų SOA laikmačiai pasauliui sako kešuoti jūsų senus įrašus savaitę, todėl pakeitimas, kurį atlikote valandą prieš, vis dar nepasiekė pusės interneto, kol problema tęsiasi.
Jūsų du vardų serveriai yra techniškai du pavadinimai, bet jie yra išsprendžiami į tą patį stovą tame pačiame tinkle – todėl redundancija, kurią galvojate turintys, yra iliuzija, ir vienas gedimas vis dar nugriauna viską.

Kodėl tai svarbu. Kiekvienas apsilankymas jūsų svetainėje ir kiekvienas jums siunčiamas el. laiškas prasideda nuo paieškos prieš jūsų vardų serverius. Jie yra pagrindas, ant kurio remiasi visa likusio jūsų internetinio buvimo. Jei tas pagrindas neturi redundancijos, vienas gedimas išjungia viską vienu metu; jei jo laiko vertės yra neteisingos, kiekvienas jūsų atliekamas pakeitimas yra lėtas – tiksliai tada, kai to mažiausiai galite leisti.

Kas tai yra, paprastais žodžiais

Prieš bet kas galėtų pasiekti jūsų svetainę ar atsiųsti jums el. laišką, jų kompiuteris turi užduoti paprastą klausimą: „kur iš tikrųjų gyvena šis domenas?” Serveriai, kurie atsako į tą klausimą, yra jūsų vardų serveriai. Jie yra visos jūsų internetinės buvimo katalogo įrašas – pirmasis dalykas, kurį liepia kiekvienas lankytojas ir kiekvienas el. laiškas, prieš net į jūsų svetainę ar gaunamąjį.

Šis puslapis apima dvi to katalogo teisingai gauti dalis:

Įvairovė – ar turite bent du vardų serverius, ir ar jie sėdi ant tikrai atskirų tinklo dalių, kad vienas gedimas negalėtų nutildyti visų jų vienu metu?
SOA įrašas – mažas „autoritetų pradžios” įrašas, laikantis laiko vertes, kurios valdo, kaip ilgai likusis internetas pasitiki ir kešuoja jūsų DNS atsakymus. Suklaidinkite laikmačius ir kiekvienas jūsų atliekamas pakeitimas ilgiau pasiekia pasaulį.

Nė vienas iš jų nėra glamouringas. Abu yra pagrindai. Kai jie yra teisingi, niekada apie juos negalvojate; kai jie yra neteisingi, sužinote blogiausiu įmanomu momentu.

Kiek tai gali jus kainuoti

Viskas išjungta vienu metu. Jei visi jūsų vardų serveriai gyvena viename tinkle ir tas tinklas turi gedimą ar yra pataikytas DDoS atakos, jūsų svetainė ir jūsų el. paštas kartu ateina patamsio. Tai nėra teorinis – vieno DNS tiekėjo puolimas išjungė stambias, gerai apsaugotas įmones iš interneto dienos dienos daliai. Su redundancija per tinklus, vienas gedimas yra išgyvenamas; be jo tai yra visiškas.
Sandoris prarastas tiekėjo patikrinime. Didesnis kliento saugumo ar pirkimų komanda patikrina prieš pasirašydama, mato visus jūsų vardų serverius sukoncentruotus ant vieno tiekėjo be atsargų, ir pažymi jūsų domeną kaip vieną gedimo tašką. Tai yra nedidelė, išvengiama žyma, kuri prideda trintį sutartyje, kurią kitaip laimėtumėte.
Pakeitimai, kurie neveiks. Jūs persijungiate žiniatinklio prieglobas, perkeliate el. pašto tiekėjus ar turite skubiai peradresuoti srautą. Neteisingas „atnaujinimo” ar „galiojimo pabaigos” laikmatis jūsų SOA įraše reiškia, kad kiti DNS serveriai toliau tiekia jūsų seną atsakymą dienų dienomis. Pusė jūsų klientų patenka ant naujos svetainės, pusė ant mirusios; dalis el. pašto srūva pas seną tiekėją, dalis pas naują. Pakeitimas, kurį atlikote valandą prieš, vis dar nėra padarytas.
Avarinė situacija, kurios negalite greitai užbaigti. Saugumo incidento metu jums reikia dabar nukreipti srautą nuo pažeisto serverio. Jei jūsų SOA laikmačiai pasauliui pasakė kešuoti jūsų įrašus savaitę, jūsų pataisymas šliaužia per internetą, kol problema toliau kandžiojasi.
Redundancija, kuri nėra tikra. Turite du vardų serverius, todėl manote, kad esate apsaugotas – bet abu sprendžiami į tą patį stovą tame pačiame tinkle. Pirmoji techninė gedimas pašalina visą loną, ir saugos tinklas, kuriuo pasitikėjote, niekada nebuvo ten.

Kas tai iš tikrųjų yra

Vardų serverių įvairovė. Jūsų domenas turėtų išvardinti bent du vardų serverius, ir idealiai jie turėtų sėdėti ant tikrai nepriklausomų tinklo kelių – ne tik du pavadinimai, nurodantys tą pačią mašiną. Už kulisų, kiekvienas vardų serverio pavadinimas išsprendžiamas į vieną ar daugiau IP adresų, ir tai, kas iš tikrųjų svarbu, yra tai, ar tie adresai užima skirtingas interneto maršruto dalis. Rimtas DNS tiekėjas savo vardų serverius plečia per daugelį atskirų tinklo blokų ir vietovių visame pasaulyje, todėl net du vardų serveriai iš to paties tiekėjo suteikia jums tikrą, nepriklausomą redundanciją. Gedimo atvejis yra priešingas: vienas mažas prieglobos tiekėjas, kur abu „vardų serveriai” yra ta pati mašina, todėl vienas gedimas yra visiškas.

SOA įrašas. Kiekviena DNS zona turi tiksliai vieną Autoritetų pradžios įrašą. Jis įvardija pagrindinį vardų serverį ir administracinį kontaktą, neša serijos numerį, kuris didėja po kiekvieno pakeitimo, ir – dalis, kuri svarbi jūsų verslui – laiko keturis laikmačius:

Atnaujinimas – kaip dažnai antriniai vardų serveriai pakartotinai patikrina pagrindinį dėl pakeitimų. Geras diapazonas: maždaug 1 iki 24 valandų (3 600–86 400 sekundžių).
Pakartojimas – kaip greitai bandyti iš naujo, jei atnaujinimas nepavyksta. Geras diapazonas: maždaug 5 iki 60 minučių (300–3 600 sekundžių).
Galiojimo pabaiga – kaip ilgai antriniai toliau tiekia jūsų įrašus, jei visai negali pasiekti pagrindinio. Geras diapazonas: maždaug 1 iki 4 savaičių (604 800–2 419 200 sekundžių).
Minimalus TTL – atsakymų kešavimo laiko riba (įskaitant „šio vardo nėra” atsakymus). Turėtų būti protinga teigiama reikšmė; 300 sekundžių yra dažnas pasirinkimas.

Kaip atrodo „gerai”: SOA, kuris egzistuoja, turi galiojantį administracinį kontaktą ir laiko laikmačius tuose diapazonuose. Reikšmės, esančios už diapazonų, nėra mirtinos – bet jos arba lėtina jūsų pakeitimus (laikmačiai per ilgi) ar nereikalingai apkrauna jūsų vardų serverius (per trumpi). Trūkstamas ar tikrai sugedęs SOA yra rimtesnis atvejis.

Kaip tai ištaisyti (nemokama, ~15 minučių)

Ši dalis yra tam, kas valdo jūsų domeną ar DNS – jei tai nesate jūs, perduokite jiems šią dalį. Pataisymas yra nemokamas; mes imame mokestį tik stebėti, kad jis išliktų ištaisytas.

1 žingsnis – Įsitikinkite, kad turite bent du vardų serverius ant įvairios infrastruktūros.

Patikrinkite, ką šiandien turite. Paleiskite dig NS jusudomenas.com (ar naudokite bet kurį „DNS paieškos” žiniatinklio įrankį) ir nuskaitykite vardų serverius. Du ar daugiau yra minimumas.
Jei turite tik vieną ar abu yra ant vieno mažo prieglobos tiekėjo, perkėlkite savo DNS pas tiekėją, kuris pagal numatytąjį suteikia redundanciją. Praktiškai kiekvienas rimtas tiekėjas tai daro:
- Cloudflare – automatiškai priskiria du vardų serverius, pasklidus per savo globalų Anycast tinklą, kai pridedate domeną.
- AWS Route 53 – kiekviena prieglobos zona gauna keturis vardų serverius per atskirus Route 53 tinklus.
- Google Cloud DNS / Microsoft 365 / Azure DNS – panašiai teikia kelis vardų serverius per nepriklausomą infrastruktūrą.
Persijungimui, nustatykite savo domeno vardų serverius jūsų registratoriuje (ten, kur nusipirkote domeną – pvz., GoDaddy, Namecheap) į tuos, kuriuos suteikia jūsų naujas DNS tiekėjas. Šis pakeitimas gali užtrukti 24–48 valandas, kol pilnai pilis.
Didesniems ar didesnės rizikos verslams, galite paleisti antrinę DNS iš antro nepriklausomo tiekėjo (pvz., Cloudflare + Route 53). Daugumai mažų verslų tai yra neprivaloma – vienas garbingas tiekėjas jau suteikia jums tikrą tarpkontinentinę tinklo redundanciją.

2 žingsnis – Patikrinkite (ir jei reikia, ištaisykite) savo SOA laikmačius.

Paleiskite dig SOA jusudomenas.com ir nuskaitykite atnaujinimo, pakartojimo, galiojimo pabaigos ir minimalaus TTL reikšmes.
Palyginkite jas su aukščiau pateiktais diapazonais. Didžiojoje daugumoje atvejų jūsų DNS tiekėjas jau nustatė protingus numatytuosius nustatymus ir nereikia nieko daryti.
Jei reikšmė yra ne diapazone, ją ištaisykite ten, kur prieglobsta jūsų DNS:
- Ant valdomų tiekėjų (Cloudflare, Route 53, Google, Azure) SOA daugiausia tvarkomas jums; paprastai ją koreguojate per tiekėjo DNS nustatymus ar palaikymą, o ne ranka ją redaguojate.
- Ant savarankiškai valdomo vardų serverio (BIND, PowerDNS) redaguokite SOA eilutę zonos faile tiesiogiai ir perkraukite zoną – nepamirškite padidinti serijos numerio, kad antriniai pasiimtų pakeitimą.
Po bet kokio pakeitimo, iš naujo paleiskite paieškos užklausas, kad patvirtintumėte, kad ir vardų serverių sąrašas, ir SOA laikmačiai atrodo teisingai.

Dažnos klaidos

„Dviejų pavadinimų” traktavimas kaip „dviejų tinklų”. Du vardų serverių pavadinimai, išsprendžiami į tą pačią mašiną ar stovą, yra vienas gedimo taškas su paslaptos. Svarbu yra nepriklausomi tinklo keliai, ne pavadinimų skaičius.
Manant, kad daugiau visada geriau, be įvairovės. Penki vardų serveriai visi ant vieno traplios prieglobos tiekėjo yra ne saugesni nei vienas. Įvairovė nugali kiekį.
Laikmačių nustatymas per agresyviai. SOA atnaujinimo ar minimalaus TTL sumažinimas iki „padaryti pakeitimus akimirksniais” tiesiog kala jūsų vardų serverius ir gali gedimus pabloginti, su mažai realiu pranašumu. Protingi numatyti nustatymai jau subalansuoja greitį su apkrova.
Galiojimo pabaigos nustatymas per žemas. Jei antriniai per greitai nustoja tiekti jūsų zoną pagrindinio gedimo metu, išgyvenamas blyksnys tampa visu gedimą. Laikykite galiojimo pabaigą savaičių diapazone.
Zonos redagavimas ranka ir serijos numerio pamiršimas. Ant savarankiškai valdomų vardų serverių, antriniai pasiima pakeitimus tik tada, kai SOA serija didėja. Pakeiskite įrašus, bet palikite seriją vienoje ir jūsų „pataisymas” niekada neplis.
DNS palikimas registratoriaus grynajame numatytajame. Kai kurių registratorių įdiegtas DNS yra viena, minimali sąranka. DNS perkėlimas pas tikrą tiekėją paprastai suteikia jums redundanciją ir protingus SOA laikmačius vienu judėjimu.

Esmė

Jūsų vardų serveriai ir jų SOA įrašas yra pagrindas, ant kurio remiasi viskas kita. Du vardų serveriai ant tikrai atskirų tinklų reiškia, kad vienas gedimas negali vienu metu išjungti viso jūsų verslo; protingi SOA laikmačiai reiškia, kad jūsų atliekami pakeitimai tikrai greitai pasiekia pasaulį. Abu yra nemokami gauti teisingai, abu paprastai jau yra geros būklės, kai esate ant tinkamo DNS tiekėjo, ir abu verta dviejų minučių patikrinimo – nes ta diena, kai jie svarbūs, yra ta, kai mažiausiai galite sau leisti, kad jie būtų neteisingi.

DUK

Aš nesu technikas – ar galiu tai sutvarkyti pats?

Jums nereikia suprasti DNS vidinių reikalų. Vardų serverių įvairovė paprastai tvarkoma jums akimirką, kai padedote savo domeną ant tikro DNS tiekėjo (Cloudflare, AWS Route 53, jūsų priegloba) – jie automatiškai suteikia du ar daugiau vardų serverių per savo tinklą. SOA laikmačiai paprastai nustatomi protingai pagal numatytąjį. Darbas daugiausia yra patikrinti, ką turite, ir jei esate ant vieno traplios sąrankos, perkelti pas tiekėją, kuris suteikia jums redundanciją. Perduokite toliau pateiktą techninę dalį savo žiniatinklio asmeniui ar IT tiekėjui – pataisymas yra nemokamas.

Koks skirtumas tarp dviejų dalykų, kuriuos šis puslapis tikrina?

Dvi susijusios tos pačios pagrindo dalys. Pirmoji – vardų serverių įvairovė – yra apie atsparumą: ar turite bent du vardų serverius, ir ar jie sėdi ant tikrai skirtingų tinklo dalių, kad vienas gedimas negalėtų jų visų pašalinti? Antroji – SOA įrašas – yra apie laiką: jis laiko laikrodžio vertes, kurios pasauliui sako, kaip ilgai pasitikėti ir kešuoti jūsų DNS atsakymus. Viena yra 'nedėkite visų kiaušinių į vieną krepšį'; kita yra 'nustatykite laikmačius, kad pakeitimai srautų švariai'.

Turiu du vardų serverius iš tos pačios įmonės – ar to pakanka?

Paprastai taip, jei ta įmonė yra rimtas DNS tiekėjas. Dideliai tiekėjai kaip Cloudflare, Google ir AWS valdo savo vardų serverius per daugelį atskirų tinklų ir vietovių visame pasaulyje, todėl du pavadinimai iš jų tikrai sėdi ant nepriklausomos infrastruktūros – tai yra tikra redundancija. Rizikos atvejis yra vienas mažas prieglobos tiekėjas, kur abu 'vardų serveriai' yra iš tikrųjų ta pati mašina ar tas pats stovas. Jei norite diržo ir petnešų, galite paleisti vardų serverius iš dviejų nepriklausomų tiekėjų, bet daugumai mažų verslų vienas garbingas DNS tiekėjas yra pakankamai.

Ką SOA 'atnaujinimas' ar 'galiojimo pabaiga' reikšmė iš tikrųjų daro mano verslui?

Tai yra laikmačiai, kurie sako kitiems DNS serveriams, kaip ilgai laukti prieš iš naujo patikrinant jūsų įrašus, ir kaip ilgai toliau juos tiekti, jei jie negali jūsų pasiekti. Nustatyti per aukštai ir pakeitimas, kurį atliekate – naujas serverio IP, naujas el. pašto tiekėjas, skubus peradresavimas – daug ilgiau pasiekia visus. Nustatyti per žemai ir jūsų vardų serveriai apdoroja nereikalingą papildomą srautą. Protingi numatyti nustatymai (atnaujinimas matuojamas valandomis, galiojimo pabaiga savaitėmis) palaiko pakeitimus greitai besitęsiančius ir liekant patikimais gedimo metu. Dauguma tiekėjų juos tinkamai nustato iš dėžutės.

Ar tai keičia mano vertinimą ir kiek?

Taip, abi dalys skaičiuojasi į jūsų DNS rezultatą. Mažiau nei du vardų serveriai yra laikomi rimtu atotrūkiu, nes tai yra vienas gedimo taškas jūsų visam internetiniam buvimui. Netinkamas SOA yra nuosaikesnė problema – tai jūsų neišjungia, bet lėtina jūsų gebėjimą reaguoti, kai kažkas pasikeičia. Abu yra nemokami ištaisyti ir, daugumai verslų, jau yra geros būklės, kai esate ant tinkamo DNS tiekėjo.

Ar yra kokia nors problema – ar turiu jums mokėti dėl to?

Ne. Redundantiniai vardų serveriai ir protingi SOA laikmačiai yra nemokami kiekvieno pagrindinio DNS tiekėjo ir toliau pateikti žingsniai yra viskas, ko jums reikia. Mes imame mokestį tik jei vėliau norėsite, kad toliau stebėtume jūsų domeną ir įspėtume, jei redundancija kada nors grįžtų prie vieno gedimo taško ar laikmačiai nustotų veikti.