Defaults.Exposed › Oplossingen › Nameserveropzet (diversiteit & SOA)

Hoe je Nameserveropzet (diversiteit & SOA) oplost

Uw nameservers zijn de gids die het hele internet vertelt waar uw website en e-mail te vinden zijn. Zitten ze allemaal op één netwerk en gaat dat plat, dan verdwijnt uw bedrijf op datzelfde moment van het internet — geen site, geen e-mail, niets — en een slordige klokinstelling op die servers kan wijzigingen die u maakt dagenlang vast laten zitten.

De kern voor je bedrijf: Als elke nameserver voor uw domein op één netwerk leeft, haalt één storing of aanval op dat netwerk uw website ÉN uw e-mail tegelijk offline — u blijft personeel en advertenties betalen terwijl geen klant u kan bereiken. Apart kunnen verkeerd ingestelde SOA-timers uw DNS-wijzigingen (een nieuwe server, een gewisselde e-mailprovider, een nooddoorverwijzing) dagen in plaats van uren laten verspreiden.

Wat dit je kan kosten

Het ene netwerk waar al uw nameservers op zitten heeft een slechte middag — een storing of een DDoS-aanval — en uw website en e-mail verdwijnen tegelijk. Klanten krijgen foutpagina's, uw verkoopinbox bounct, en uw webbeheerder kan niets doen dan wachten tot iemand anders zijn netwerk herstelt.
Het securityteam van een grote klant doet een leverancierscontrole, ziet al uw nameservers bij één provider zonder redundantie, en noteert uw domein als een single point of failure — wrijving op een contract dat u anders gewonnen had.
U verhuist naar een nieuwe webhost of wisselt van e-mailprovider, maar een verkeerde „refresh”-timer in uw SOA-record laat andere DNS-servers dagenlang uw oude adres uitdelen — zodat sommige klanten op een dode site landen en uw e-mail in tweeën splitst.
Een beveiligingsincident dwingt u verkeer dringend om te leiden, maar uw SOA-timers vertellen de wereld uw oude records een week te cachen, zodat de wijziging van een uur geleden nog steeds de helft van het internet niet heeft bereikt terwijl het probleem voortduurt.
Uw twee nameservers zijn technisch twee namen, maar ze resolven naar hetzelfde rack op hetzelfde netwerk — zodat de redundantie die u denkt te hebben een illusie is, en één storing toch alles platlegt.

Waarom het ertoe doet. Elk bezoek aan uw website en elke e-mail naar u begint met een opzoeking bij uw nameservers. Ze zijn het fundament waarop de rest van uw online aanwezigheid rust. Heeft dat fundament geen redundantie, dan legt één storing alles tegelijk plat; zijn de timingwaarden verkeerd, dan werkt elke wijziging die u maakt traag door — precies wanneer u dat het minst kunt veroorloven.

Wat dit is, in gewone woorden

Voordat iemand uw website kan bereiken of u een e-mail kan sturen, moet zijn computer een simpele vraag stellen: „waar woont dit domein eigenlijk?” De servers die die vraag beantwoorden zijn uw nameservers. Ze zijn de gidsvermelding voor uw hele online aanwezigheid — het allereerste wat elke bezoeker en elke e-mail raakt, nog voor uw site of inbox erbij betrokken is.

Deze pagina behandelt twee delen van die gids goed krijgen:

Diversiteit — heeft u ten minste twee nameservers, en zitten die op werkelijk gescheiden delen van het netwerk, zodat één storing ze niet allemaal tegelijk kan verstommen?
Het SOA-record — een klein „start of authority”-record dat de timingwaarden bevat die bepalen hoe lang de rest van het internet uw DNS-antwoorden vertrouwt en cachet. Zet de timers verkeerd en elke wijziging die u maakt duurt langer om de wereld te bereiken.

Geen van beide is glamoureus. Beide zijn fundamenten. Wanneer ze goed staan denkt u er nooit aan; wanneer ze verkeerd staan komt u erachter op het slechtst denkbare moment.

Wat dit u kan kosten

Alles tegelijk offline. Als al uw nameservers op één netwerk leven en dat netwerk heeft een storing of wordt getroffen door een DDoS-aanval, gaan uw website en uw e-mail samen op zwart. Dit is niet theoretisch — een enkele DNS-provider die wordt aangevallen heeft grote, goed bemande bedrijven het grootste deel van een dag van het internet geslagen. Met redundantie over netwerken is één storing te overleven; zonder is het totaal.
Een deal verloren op een leverancierscontrole. Het security- of inkoopteam van een grotere klant doet een controle vóór ondertekening, ziet al uw nameservers geconcentreerd bij één provider zonder terugval, en markeert uw domein als single point of failure. Het is het soort kleine, vermijdbare smet die wrijving toevoegt aan een contract dat u anders zou winnen.
Wijzigingen die niet aanslaan. U wisselt van webhost, verhuist e-mailproviders, of moet verkeer haastig omleiden. Een verkeerde „refresh”- of „expire”-timer in uw SOA-record laat andere DNS-servers uw oude antwoord dagenlang serveren. De helft van uw klanten landt op de nieuwe site, de helft op de dode; sommige e-mail stroomt naar de oude provider, sommige naar de nieuwe. De wijziging van een uur geleden is nog steeds niet klaar.
Een noodgeval dat u niet snel kunt beëindigen. Tijdens een beveiligingsincident moet u verkeer nu wegleiden van een gecompromitteerde server. Vertelden uw SOA-timers de wereld uw records een week te cachen, dan kruipt uw oplossing over het internet terwijl het probleem blijft bijten.
Redundantie die niet echt is. U heeft twee nameservers, dus u neemt aan dat u gedekt bent — maar beide resolven naar hetzelfde rack op hetzelfde netwerk. De eerste hardwarestoring legt de hele boel plat, en het vangnet waarop u rekende was er nooit.

Wat het feitelijk is

Nameserverdiversiteit. Uw domein zou ten minste twee nameservers moeten vermelden, en idealiter zouden die op werkelijk onafhankelijke netwerkpaden moeten zitten — niet zomaar twee namen die naar dezelfde machine wijzen. Achter de schermen resolveert elke nameservernaam naar een of meer IP-adressen, en wat echt telt is of die adressen verschillende delen van de internetrouting innemen. Een serieuze DNS-provider spreidt zijn nameservers over vele aparte netwerkblokken en locaties wereldwijd, zodat zelfs twee nameservers van dezelfde provider u echte, onafhankelijke redundantie geven. Het faalgeval is het tegenovergestelde: een enkele kleine host waar beide „nameservers” dezelfde machine zijn, zodat één storing totaal is.

Een noot voor de technische lezer: onze check telt uw NS-records en kijkt dan hoeveel echte netwerkdiversiteit erachter zit. Het primaire signaal is de spreiding van afzonderlijke IP-netwerkblokken waar de nameservers naartoe resolven (ruwweg /16-bereiken voor IPv4 en /32 voor IPv6), met het aantal afzonderlijke providernamen als terugval. Dit crediteert bewust Anycast-hyperscaleproviders — Cloudflare, Google, AWS Route 53, Azure DNS — die één netwerkidentiteit aankondigen vanuit vele wereldwijd gescheiden routingpaden en zo echte diversiteit leveren zelfs vanuit één merk. Minder dan twee nameservers hebben scoort nul op deze check en wordt behandeld als hoge ernst, want het is een onverlicht single point of failure voor het hele domein.

Het SOA-record. Elke DNS-zone heeft precies één Start of Authority-record. Het benoemt de primaire nameserver en het administratieve contact, draagt een serienummer dat bij elke wijziging ophoogt, en — het deel dat voor uw bedrijf telt — bevat vier timers:

Refresh — hoe vaak secundaire nameservers de primaire op wijzigingen hercontroleren. Goed bereik: ruwweg 1 tot 24 uur (3.600–86.400 seconden).
Retry — hoe snel opnieuw te proberen als een refresh faalt. Goed bereik: ruwweg 5 tot 60 minuten (300–3.600 seconden).
Expire — hoe lang secundairen uw records blijven serveren als ze de primaire helemaal niet kunnen bereiken. Goed bereik: ruwweg 1 tot 4 weken (604.800–2.419.200 seconden).
Minimum-TTL — de ondergrens voor hoe lang antwoorden (inclusief „deze naam bestaat niet”-antwoorden) gecachet worden. Zou een verstandige positieve waarde moeten zijn; 300 seconden is een gangbare keuze.

Hoe „goed” eruitziet: een SOA die bestaat, een geldig administratief contact heeft, en timers binnen die bereiken draagt. Waarden buiten de bereiken zijn niet fataal — maar ze vertragen ofwel uw wijzigingen (timers te lang) ofwel belasten uw nameservers nodeloos (te kort). Een ontbrekende of werkelijk kapotte SOA is het ernstiger geval.

Hoe los je het op (gratis, ~15 minuten)

Dit deel is voor wie uw domein of DNS beheert — bent u dat niet, geef ze dan dit onderdeel. De oplossing is gratis; we rekenen alleen iets om te bewaken dat het opgelost blijft.

Stap 1 — Zorg dat u ten minste twee nameservers op diverse infrastructuur heeft.

Controleer wat u vandaag heeft. Draai dig NS uwdomein.com (of gebruik een „DNS lookup”-webtool) en lees de nameservers af. Twee of meer is het minimum.
Heeft u er maar één, of zitten beide op één kleine host, verhuis dan uw DNS naar een provider die u standaard redundantie geeft. Vrijwel elke serieuze provider doet dat:
- Cloudflare — wijst automatisch twee nameservers toe, verspreid over zijn wereldwijde Anycast-netwerk, wanneer u een domein toevoegt.
- AWS Route 53 — elke hosted zone krijgt vier nameservers over aparte Route 53-netwerken.
- Google Cloud DNS / Microsoft 365 / Azure DNS — voorzien eveneens meerdere nameservers over onafhankelijke infrastructuur.
Om te wisselen, stelt u de nameservers van uw domein in bij uw registrar (waar u het domein kocht — bijv. GoDaddy, Namecheap) op degene die uw nieuwe DNS-provider geeft. Deze wijziging kan 24–48 uur duren om volledig te verspreiden.
Voor dubbel-uitgevoerde veerkracht kunnen grotere of risicovollere bedrijven secundaire DNS draaien van een tweede onafhankelijke provider (bijv. Cloudflare + Route 53, of NS1 + Cloudflare). Voor de meeste kleine bedrijven is dit optioneel — één degelijke provider geeft u al echte cross-netwerk-redundantie.

Stap 2 — Controleer (en verhelp zo nodig) uw SOA-timers.

Draai dig SOA uwdomein.com en lees de refresh-, retry-, expire- en minimum-TTL-waarden af.
Vergelijk ze met de bereiken hierboven. In de overgrote meerderheid van de gevallen heeft uw DNS-provider al verstandige standaarden ingesteld en is er niets te doen.
Is een waarde buiten bereik, verhelp die dan waar uw DNS is gehost:
- Op beheerde providers (Cloudflare, Route 53, Google, Azure) wordt de SOA grotendeels voor u geregeld; u past die doorgaans aan via de DNS-instellingen of support van de provider in plaats van met de hand te bewerken.
- Op een zelf gedraaide nameserver (BIND, PowerDNS) bewerkt u de SOA-regel in het zonebestand direct en herlaadt u de zone — niet vergeten het serienummer op te hogen zodat secundairen de wijziging oppikken.
Draai na elke wijziging de opzoekingen opnieuw om te bevestigen dat zowel de nameserverlijst als de SOA-timers er goed uitzien.

Veelgemaakte fouten

„Twee namen” behandelen als „twee netwerken”. Twee nameservernamen die naar dezelfde machine of hetzelfde rack resolven zijn een single point of failure in vermomming. Wat telt zijn onafhankelijke netwerkpaden, niet het aantal namen.
Aannemen dat meer altijd beter is, zonder diversiteit. Vijf nameservers allemaal op één fragiele host zijn niet veiliger dan één. Diversiteit verslaat kwantiteit.
Timers te agressief instellen. SOA-refresh of minimum-TTL helemaal naar beneden draaien om „wijzigingen instant te maken” hamert enkel op uw nameservers en kan storingen erger maken, met weinig echt voordeel. Verstandige standaarden balanceren snelheid en belasting al.
expire te laag instellen. Als secundairen uw zone te snel stoppen met serveren tijdens een primaire storing, wordt een herstelbaar hikje een volledige storing. Houd expire in het wekenbereik.
Een zone met de hand bewerken en het serienummer vergeten. Op zelf gedraaide nameservers pikken secundairen wijzigingen alleen op wanneer het SOA-serienummer stijgt. Wijzig records maar laat het serienummer ongemoeid en uw „oplossing” verspreidt nooit.
DNS op de kale standaard van de domeinregistrar laten. De ingebouwde DNS van sommige registrars is een enkele, minimale opzet. DNS verhuizen naar een echte provider geeft u meestal redundantie en verstandige SOA-timers in één zet.

Kort en goed

Uw nameservers en hun SOA-record zijn het fundament waarop al het andere rust. Twee nameservers op werkelijk gescheiden netwerken betekenen dat één storing niet uw hele bedrijf tegelijk offline kan halen; verstandige SOA-timers betekenen dat de wijzigingen die u maakt de wereld ook echt vlot bereiken. Beide zijn gratis goed te krijgen, beide zijn meestal al in goede staat zodra u op een degelijke DNS-provider zit, en beide zijn een controle van twee minuten waard — want de dag dat ze ertoe doen, is de dag dat u zich het minst kunt veroorloven dat ze verkeerd staan.

Veelgestelde vragen

Ik ben niet technisch — kan ik dit zelf regelen?

U hoeft de DNS-internals niet te begrijpen. Nameserverdiversiteit wordt meestal voor u geregeld zodra u uw domein bij een echte DNS-provider zet (Cloudflare, AWS Route 53, uw host) — ze geven u automatisch twee of meer nameservers verspreid over hun netwerk. De SOA-timers staan doorgaans ook standaard verstandig. Het werk is vooral controleren wat u heeft en, zit u op een enkele fragiele opzet, verhuizen naar een provider die u redundantie geeft. Geef het technische onderdeel hieronder aan uw webbeheerder of IT-leverancier — de oplossing is gratis.

Wat is het verschil tussen de twee dingen die deze pagina controleert?

Twee verwante delen van hetzelfde fundament. Het eerste — nameserverdiversiteit — gaat over veerkracht: heeft u ten minste twee nameservers, en zitten die op werkelijk verschillende delen van het netwerk zodat één storing ze niet allemaal kan uitschakelen? Het tweede — het SOA-record — gaat over timing: het bevat de klokwaarden die de rest van het internet vertellen hoe lang uw DNS-antwoorden te vertrouwen en te cachen. Het ene is „leg niet al uw eieren in één mand”; het andere is „stel de timers zo in dat wijzigingen netjes doorstromen.”

Ik heb twee nameservers van hetzelfde bedrijf — is dat goed genoeg?

Meestal ja, als dat bedrijf een serieuze DNS-provider is. Grote providers als Cloudflare, Google en AWS draaien hun nameservers over vele aparte netwerken en locaties wereldwijd, dus twee namen van hen zitten echt op onafhankelijke infrastructuur — dat is echte redundantie. Het risicogeval is een enkele kleine host waar beide „nameservers” eigenlijk dezelfde machine of hetzelfde rack zijn. Wilt u dubbel uitgevoerd, dan kunt u nameservers van twee onafhankelijke providers draaien, maar voor de meeste kleine bedrijven is één degelijke DNS-provider ruim voldoende.

Wat doet de SOA-waarde „refresh” of „expire” eigenlijk met mijn bedrijf?

Dat zijn timers die andere DNS-servers vertellen hoe lang te wachten voor ze uw records opnieuw controleren, en hoe lang ze die blijven serveren als ze u niet kunnen bereiken. Te hoog ingesteld en een wijziging die u maakt — een nieuw server-IP, een nieuwe e-mailprovider, een nooddoorverwijzing — duurt veel langer om iedereen te bereiken. Te laag ingesteld en uw nameservers krijgen nodeloos extra verkeer. Verstandige standaarden (refresh in uren, expire in weken) houden wijzigingen vlot doorstromend en robuust tijdens een storing. De meeste providers stellen deze standaard correct in.

Verandert dit mijn cijfer, en hoeveel?

Ja, beide delen tellen mee voor uw DNS-score. Minder dan twee nameservers hebben wordt behandeld als een ernstig gat omdat het een single point of failure is voor uw hele online aanwezigheid. Een verkeerd ingestelde SOA is een gematigder probleem — het haalt u niet offline, maar het vertraagt uw vermogen te reageren wanneer er iets verandert. Beide zijn gratis op te lossen en zijn voor de meeste bedrijven al in goede staat zodra u op een degelijke DNS-provider zit.

Zit er een addertje onder het gras — moet ik u betalen om dit op te lossen?

Nee. Redundante nameservers en verstandige SOA-timers zijn gratis bij elke grote DNS-provider, en de stappen hieronder zijn alles wat u nodig heeft. We rekenen alleen iets als u later wilt dat we uw domein blijven bewaken en u waarschuwen als de redundantie ooit terugzakt naar één faalpunt of de timers afdrijven.