Defaults.Exposed › Исправления › Настройка nameservers (разнообразие и SOA)

Как исправить Настройка nameservers (разнообразие и SOA)

Ваши nameservers — это справочник, который сообщает всему интернету, где найти ваш сайт и почту. Если все они стоят в одной сети и она падает, ваш бизнес в тот же миг исчезает из интернета — нет сайта, нет почты, ничего, — а небрежная настройка часов на этих серверах может оставить вносимые вами изменения зависшими на дни.

Главное для вашего бизнеса: Если все nameservers вашего домена живут в одной сети, один сбой или атака на эту сеть выводит из строя ваш сайт И вашу почту одновременно — вы продолжаете платить сотрудникам и за рекламу, пока ни один клиент не может до вас дотянуться. Отдельно: неверно настроенные таймеры SOA могут оставить ваши изменения DNS (новый сервер, смена почтового провайдера, экстренное перенаправление) расходящимися дни вместо часов.

Во что это может вам обойтись

У единственной сети, где стоят все ваши nameservers, выдаётся плохой день — сбой или DDoS-атака — и ваш сайт и почта пропадают одновременно. Клиенты получают страницы ошибок, ваш ящик продаж отбивает письма, и вашему веб-специалисту остаётся лишь ждать восстановления чужой сети.
Служба безопасности крупного клиента делает проверку поставщика, видит все ваши nameservers у одного провайдера без резерва и помечает ваш домен как единую точку отказа — трение на контракте, который вы иначе выиграли бы.
Вы переходите на новый веб-хост или меняете почтового провайдера, но неверный таймер «refresh» в записи SOA означает, что другие DNS-серверы продолжают раздавать ваш старый адрес дни — так что часть клиентов попадает на мёртвый сайт, а ваша почта расщепляется надвое.
Инцидент безопасности вынуждает срочно перенаправить трафик, но таймеры SOA велят миру кешировать ваши старые записи неделю, так что изменение, сделанное час назад, всё ещё не дошло до половины интернета, пока проблема продолжается.
Ваши два nameservers — технически два имени, но они разрешаются в ту же стойку в той же сети — так что резервирование, которое вы думаете, что имеете, иллюзорно, и один сбой всё равно роняет всё.

Почему это важно. Каждый визит на ваш сайт и каждое отправленное вам письмо начинаются с запроса к вашим nameservers. Это фундамент, на котором стоит остальное ваше онлайн-присутствие. Если у этого фундамента нет резервирования, один сбой выбивает всё сразу; если его значения времени неверны, каждое вносимое изменение медленно вступает в силу — ровно тогда, когда вы можете меньше всего себе это позволить.

Что это, простыми словами

Прежде чем кто-то сможет дотянуться до вашего сайта или отправить вам письмо, его компьютер должен задать простой вопрос: «где на самом деле живёт этот домен?» Серверы, отвечающие на этот вопрос, — это ваши nameservers. Это запись в справочнике для всего вашего онлайн-присутствия — самое первое, чего касается каждый посетитель и каждое письмо, ещё до того, как в дело вступит ваш сайт или ящик.

Эта страница покрывает две части того, как сделать этот справочник правильным:

Разнообразие — есть ли у вас хотя бы два nameservers и стоят ли они на действительно раздельных частях сети, чтобы один сбой не мог замолчать их все сразу?
Запись SOA — небольшая запись «start of authority» (начало зоны полномочий), которая держит значения времени, управляющие тем, как долго остальной интернет доверяет и кеширует ваши ответы DNS. Задайте таймеры неверно — и каждое вносимое изменение дольше доходит до мира.

Ни то, ни другое не эффектно. Оба — фундамент. Когда они правильны, вы о них никогда не думаете; когда неправильны, вы узнаёте об этом в самый неподходящий момент.

Во что это может вам обойтись

Всё офлайн разом. Если все ваши nameservers живут в одной сети и у этой сети сбой или её бьёт DDoS-атака, ваш сайт и почта гаснут вместе. Это не теория — атака на единственного DNS-провайдера выбивала из интернета крупные, хорошо обеспеченные компании на бóльшую часть дня. С резервированием по сетям один сбой переживаем; без него — это тотально.
Сделка, потерянная на проверке поставщика. Служба безопасности или закупок крупного клиента делает проверку перед подписанием, видит все ваши nameservers сосредоточенными у одного провайдера без запасного и помечает ваш домен как единую точку отказа. Это та маленькая, избегаемая отметка, что добавляет трение к контракту, который вы иначе выиграли бы.
Изменения, которые не вступают. Вы меняете веб-хосты, переносите почтовых провайдеров или вам нужно срочно перенаправить трафик. Неверный таймер «refresh» или «expire» в записи SOA означает, что другие DNS-серверы продолжают отдавать ваш старый ответ дни. Половина клиентов попадает на новый сайт, половина — на мёртвый; часть почты течёт к старому провайдеру, часть — к новому. Изменение, сделанное час назад, всё ещё не завершено.
Чрезвычайная ситуация, которую не закончить быстро. Во время инцидента безопасности вам нужно увести трафик от скомпрометированного сервера сейчас. Если ваши таймеры SOA велели миру кешировать ваши записи неделю, ваше исправление ползёт по интернету, пока проблема продолжает кусать.
Резервирование, которого нет. У вас два nameservers, так что вы полагаете, что прикрыты — но оба разрешаются в ту же стойку в той же сети. Первый аппаратный сбой выбивает всё, а страховочной сетки, на которую вы рассчитывали, никогда не было.

Что это на самом деле

Разнообразие nameservers. Ваш домен должен перечислять хотя бы два nameservers, и в идеале они должны стоять на действительно независимых сетевых путях — не просто два имени, указывающих на тот же сервер. За кулисами каждое имя nameserver разрешается в один или несколько IP-адресов, и по-настоящему важно, занимают ли эти адреса разные части маршрутизации интернета. Серьёзный DNS-провайдер распределяет свои nameservers по многим раздельным сетевым блокам и локациям по миру, так что даже два nameservers от одного провайдера дают вам настоящее, независимое резервирование. Случай отказа противоположен: единственный мелкий хост, где оба «nameservers» — одна и та же машина, так что один сбой тотален.

Заметка для технического читателя: наша проверка считает ваши записи NS, а затем смотрит, сколько настоящего сетевого разнообразия стоит за ними. Основной сигнал — распределение различных IP-сетевых блоков, в которые разрешаются nameservers (грубо, диапазоны /16 для IPv4 и /32 для IPv6), с числом различных имён провайдеров как подстраховкой. Это намеренно засчитывает гиперскейл-провайдеров с Anycast — Cloudflare, Google, AWS Route 53, Azure DNS, — которые анонсируют одну сетевую идентичность из многих глобально раздельных маршрутных путей и потому дают настоящее разнообразие даже от одного бренда. Менее двух nameservers даёт ноль по этой проверке и трактуется как высокая серьёзность, потому что это несмягчённая единая точка отказа для всего домена.

Запись SOA. У каждой зоны DNS ровно одна запись Start of Authority. Она называет основной nameserver и административный контакт, несёт серийный номер, увеличивающийся при каждом изменении, и — часть, важная для вашего бизнеса, — держит четыре таймера:

Refresh — как часто вторичные nameservers перепроверяют основной на изменения. Хороший диапазон: примерно от 1 до 24 часов (3 600–86 400 секунд).
Retry — как скоро повторять попытку, если refresh не удался. Хороший диапазон: примерно от 5 до 60 минут (300–3 600 секунд).
Expire — как долго вторичные продолжают раздавать ваши записи, если вообще не могут дотянуться до основного. Хороший диапазон: примерно от 1 до 4 недель (604 800–2 419 200 секунд).
Minimum TTL — нижняя граница того, как долго кешируются ответы (включая ответы «такого имени не существует»). Должно быть разумным положительным значением; 300 секунд — распространённый выбор.

Как выглядит «хорошо»: SOA, которая существует, имеет действительный административный контакт и несёт таймеры внутри этих диапазонов. Значения вне диапазонов не фатальны — но они либо замедляют ваши изменения (таймеры слишком длинные), либо ненужно нагружают ваши nameservers (слишком короткие). Отсутствующая или по-настоящему сломанная SOA — более серьёзный случай.

Как это исправить (бесплатно, ~15 минут)

Эта часть для того, кто управляет вашим доменом или DNS — если это не вы, передайте им этот раздел. Исправление бесплатно; мы берём оплату лишь за мониторинг того, что оно остаётся исправленным.

Шаг 1 — Убедитесь, что у вас хотя бы два nameservers на разнообразной инфраструктуре.

Проверьте, что у вас сегодня. Запустите dig NS yourdomain.com (или используйте любой веб-инструмент «DNS lookup») и считайте nameservers. Два или больше — минимум.
Если у вас только один, или оба на единственном мелком хосте, перенесите ваш DNS к провайдеру, дающему резервирование по умолчанию. Практически каждый серьёзный провайдер так делает:
- Cloudflare — назначает два nameservers, распределённых по своей глобальной сети Anycast, автоматически при добавлении домена.
- AWS Route 53 — каждая размещённая зона получает четыре nameservers по раздельным сетям Route 53.
- Google Cloud DNS / Microsoft 365 / Azure DNS — аналогично выделяют несколько nameservers по независимой инфраструктуре.
Чтобы переключиться, задайте nameservers вашего домена у вашего регистратора (где вы купили домен — например, GoDaddy, Namecheap) на те, что даёт ваш новый DNS-провайдер. Это изменение может занять 24–48 часов на полное расхождение.
Для устойчивости «с запасом» крупные или более рискованные бизнесы могут держать вторичный DNS от второго независимого провайдера (например, Cloudflare + Route 53 или NS1 + Cloudflare). Для большинства малых бизнесов это необязательно — один авторитетный провайдер уже даёт настоящее межсетевое резервирование.

Шаг 2 — Проверьте (и при необходимости исправьте) таймеры SOA.

Запустите dig SOA yourdomain.com и считайте значения refresh, retry, expire и minimum-TTL.
Сравните их с диапазонами выше. В подавляющем большинстве случаев ваш DNS-провайдер уже задал разумные умолчания и делать нечего.
Если значение вне диапазона, исправьте его там, где размещён ваш DNS:
- На управляемых провайдерах (Cloudflare, Route 53, Google, Azure) SOA в основном ведётся за вас; вы, как правило, регулируете её через настройки DNS провайдера или поддержку, а не редактируете вручную.
- На самостоятельно ведомом nameserver (BIND, PowerDNS) отредактируйте строку SOA в файле зоны напрямую и перезагрузите зону — не забыв увеличить серийный номер, чтобы вторичные подхватили изменение.
После любого изменения перезапустите запросы, чтобы убедиться, что и список nameservers, и таймеры SOA выглядят правильно.

Частые ошибки

Восприятие «двух имён» как «двух сетей». Два имени nameserver, разрешающихся в тот же сервер или стойку, — это единая точка отказа в маскировке. Важны независимые сетевые пути, а не число имён.
Уверенность, что больше всегда лучше, без разнообразия. Пять nameservers, все на одном хрупком хосте, не безопаснее одного. Разнообразие бьёт количество.
Слишком агрессивные таймеры. Скручивание SOA refresh или minimum-TTL до минимума, чтобы «сделать изменения мгновенными», лишь долбит ваши nameservers и может усугубить сбои с малой реальной выгодой. Разумные умолчания уже балансируют скорость и нагрузку.
Слишком низкий expire. Если вторичные перестают раздавать вашу зону слишком рано во время сбоя основного, восстановимый сбой становится полным простоем. Держите expire в диапазоне недель.
Редактирование зоны вручную и забытый серийный номер. На самостоятельно ведомых nameservers вторичные подхватывают изменения, только когда серийный номер SOA растёт. Меняете записи, но оставляете серийный — и ваше «исправление» никогда не расходится.
Оставление DNS на голом умолчании регистратора домена. Встроенный DNS некоторых регистраторов — это единственная минимальная схема. Перенос DNS к настоящему провайдеру обычно даёт резервирование и разумные таймеры SOA одним ходом.

Итог

Ваши nameservers и их запись SOA — фундамент, на котором стоит всё остальное. Два nameservers на действительно раздельных сетях означают, что один сбой не может вывести весь ваш бизнес офлайн сразу; разумные таймеры SOA означают, что вносимые изменения действительно доходят до мира быстро. Оба бесплатно сделать правильно, оба обычно уже в хорошем состоянии в тот момент, когда вы на нормальном DNS-провайдере, и оба стоят двухминутной проверки — потому что день, когда они важны, — это день, когда вы можете меньше всего позволить им быть неверными.

Частые вопросы

Я не технарь — могу ли я разобраться с этим сам?

Внутренности DNS понимать не нужно. Разнообразие nameservers обычно настраивается за вас в тот момент, когда вы помещаете домен на серьёзного DNS-провайдера (Cloudflare, AWS Route 53, ваш хост) — они автоматически дают вам два или более nameservers по своей сети. Таймеры SOA обычно тоже заданы разумно по умолчанию. Задача в основном — проверить, что у вас есть, и, если вы на единственной хрупкой схеме, перейти к провайдеру с резервированием. Передайте технический раздел ниже вашему веб-специалисту или ИТ-подрядчику — исправление бесплатно.

В чём разница между двумя вещами, которые проверяет эта страница?

Две связанные части одного фундамента. Первая — разнообразие nameservers — об устойчивости: есть ли у вас хотя бы два nameservers и стоят ли они на действительно разных частях сети, чтобы один сбой не мог выбить их все? Вторая — запись SOA — о времени: она держит значения часов, говорящие остальному интернету, как долго доверять и кешировать ваши ответы DNS. Одно — это «не клади все яйца в одну корзину»; другое — «задай таймеры так, чтобы изменения проходили чисто».

У меня два nameservers от одной компании — этого достаточно?

Обычно да, если эта компания — серьёзный DNS-провайдер. Крупные провайдеры вроде Cloudflare, Google и AWS держат свои nameservers по многим раздельным сетям и локациям по миру, так что два имени от них действительно стоят на независимой инфраструктуре — это настоящее резервирование. Рискованный случай — единственный мелкий хост, где оба «nameservers» — на деле один и тот же сервер или стойка. Если хотите «с запасом», можете держать nameservers от двух независимых провайдеров, но для большинства малых бизнесов одного авторитетного DNS-провайдера достаточно.

Что значение SOA «refresh» или «expire» реально делает с моим бизнесом?

Это таймеры, говорящие другим DNS-серверам, сколько ждать перед перепроверкой ваших записей и сколько продолжать их раздавать, если не могут до вас дотянуться. Слишком высоко — и вносимое изменение (новый IP сервера, новый почтовый провайдер, экстренное перенаправление) доходит до всех гораздо дольше. Слишком низко — и ваши nameservers получают ненужный лишний трафик. Разумные умолчания (refresh в часах, expire в неделях) держат изменения проходящими быстро, оставаясь устойчивыми во время сбоя. Большинство провайдеров задают их верно из коробки.

Влияет ли это на мою оценку, и насколько?

Да, обе части идут в зачёт вашей оценки DNS. Менее двух nameservers трактуется как серьёзный пробел, потому что это единая точка отказа для всего вашего онлайн-присутствия. Неверно настроенная SOA — более умеренная проблема: она не выводит вас офлайн, но замедляет вашу способность реагировать, когда что-то меняется. Обе бесплатно исправить и для большинства бизнесов уже в хорошем состоянии, как только вы на нормальном DNS-провайдере.

Есть подвох — мне надо платить вам за исправление?

Нет. Получить резервные nameservers и разумные таймеры SOA бесплатно у любого крупного DNS-провайдера, и шагов ниже достаточно. Мы берём оплату лишь если вы позже захотите, чтобы мы следили за вашим доменом и предупреждали вас, если резервирование когда-либо опустится до единой точки отказа или таймеры уплывут.