Defaults.Exposed › Popravki › Nastavitev imenskih strežnikov (raznolikost in SOA)

Kako popraviti Nastavitev imenskih strežnikov (raznolikost in SOA)

Vaši imenski strežniki so imenik, ki vsemu internetu pove, kje najti vaše spletno mesto in e-pošto. Če vsi sedijo na enem omrežju in to pade, vaše podjetje hkrati izgine z interneta — nobena stran, nobena e-pošta, nič — in neurejena nastavitev ure na teh strežnikih lahko pusti spremembe, ki jih naredite, obtičali za dni.

Bistvo za vaše podjetje: Če vsak imenski strežnik za vašo domeno živi na enem samem omrežju, ena motnja ali napad na to omrežje skupaj vzame vaše spletno mesto IN vašo e-pošto — plačujete osebje in oglase, medtem ko vas ne more doseči nobena stranka. Ločeno, napačno nastavljeni časovniki SOA lahko pustijo vaše spremembe DNS (novi strežnik, preklopljeni e-poštni ponudnik, nujni preusmernik) razširjajoče se za dni namesto ur.

Kaj vas to lahko stane

• Enotno omrežje, na katerem sedijo vsi vaši imenski strežniki, ima slab dan — motnja ali DDoS napad — in vaše spletno mesto in e-pošta hkrati izgineta. Stranke dobijo strani z napakami, vaša prodajna nabiralnik odklanja in vaša spletna oseba ne more storiti ničesar, kot le čakati, da se omrežje nekoga drugega povrne.
• Varnostna ekipa velikega naročnika opravi preverjanje prodajalca, vidi vse vaše imenskih strežnike pri enem ponudniku brez redundance in zazna vašo domeno kot enotno točko odpovedi — trenje pri pogodbi, ki bi jo sicer dobili.
• Premaknete se k novemu spletnemu gostitelju ali preklopite ponudnike e-pošte, a napačen časovnik 'osvežitve' v vašem zapisu SOA pomeni, da drugi DNS strežniki še dni strezajo vaš stari naslov — tako nekatere stranke pristanejo na mrtvi strani in vaša e-pošta se razdeli na dve.
• Varnostni incident vas prisili v nujno preusmeritev prometa, a vaši časovniki SOA svetu povejo, naj predpomni vaše stare zapise za teden, zato sprememba, ki ste jo naredili pred uro, še ni dosegla pol interneta, medtem ko problem traja.
• Vaša dva imenska strežnika sta tehnično dve imeni, a razrešita se na isto stojalo v istem omrežju — torej je redundanca, za katero menite, da jo imate, iluzija, in ena sama odpoved še vedno vzame vse.

Zakaj je to pomembno. Vsak obisk vašega spletnega mesta in vsaka e-pošta, ki vam je poslana, se začne z iskanjem vaših imenskih strežnikov. So temelj, na katerem stoji vse ostalo vašega spletnega prisotnosti. Če ta temelj nima redundance, ena sama odpoved vzame vse hkrati; če so vrednosti časa napačne, vsaka sprememba, ki jo naredite, počasi stopi v učinek — natanko, ko si tega najmanj lahko privoščite.

Kaj to je v preprostem jeziku

Preden kdorkoli doseže vaše spletno mesto ali vam pošlje e-pošto, mora njihov računalnik zastaviti preprosto vprašanje: “kje ta domena dejansko živi?” Strežniki, ki odgovorijo na to vprašanje, so vaši imenski strežniki. So vpis v imeniku za celotno vaše spletno prisotnost — tisto, česar se dotakne vsak obiskovalec in vsaka e-pošta, preden je spletno mesto ali mapa prihoda sploh vključena.

Ta stran pokriva dva dela pravilnega urejanja tega imenika:

1. Raznolikost — ali imate vsaj dva imenska strežnika in ali sedita na resnično ločenih delih omrežja, tako da ena motnja ne more utišati vseh hkrati?
2. Zapis SOA — majhen “začetek oblasti” zapis, ki vsebuje vrednosti časa, ki nadzorujejo, kako dolgo preostali internet zaupa in predpomni vaše DNS odgovore. Napačni časovniki in vsaka sprememba, ki jo naredite, svetu dlje vzame za doseganje.

Nobena ni glamurozna. Oba sta temelj. Ko sta pravilna, nanje nikoli ne pomislite; ko sta napačna, to ugotovite v najslabšem možnem trenutku.

Kaj vas to lahko stane

• Vse skupaj neaktivno. Če vsi vaši imenski strežniki živijo na enem omrežju in to omrežje ima motnjo ali je zadeto z DDoS napadom, vaše spletno mesto in vaša e-pošta skupaj potemnjeta. To ni teoretično — napad na enega DNS ponudnika je že vzel dobro urejene, dobro financirane organizacije iz spleta za skoraj cel dan. Z redundanco prek omrežij je ena odpoved preživljiva; brez nje je totalna.

• Posel, izgubljen pri preverjanju prodajalca. Večja strankina varnostna ali nabavna ekipa pred podpisom opravi preverjanje, vidi vse vaše imenskih strežnike skocentrane pri enem ponudniku brez rezervne rešitve in označi vašo domeno kot enotno točko odpovedi. Je tista vrsta majhne, izogibljive oznake, ki doda trenje pri pogodbi, ki bi jo sicer dobili.

• Spremembe, ki ne bodo vstopile. Preselite spletne gostitelje, premaknete ponudnika e-pošte ali potrebujete nujno preusmeriti promet. Napačen časovnik “refresh” ali “expire” v vašem zapisu SOA pomeni, da drugi DNS strežniki vaš stari odgovor še dni streže. Pol vaših strank pristane na novem mestu, pol na mrtvem; nekatere e-pošte tečejo staremu ponudniku, nekatere novemu. Sprememba, ki ste jo naredili pred uro, še ni dokončana.

• Nujnost, ki je ne morete hitro končati. Med varnostnim incidentom morate promet takoj usmeriti stran od ogroženega strežnika. Če so vaši časovniki SOA svetu naročili, da zapise predpomni za teden, vaš popravek internetu plazi čez čas, medtem ko problem znova grize.

• Redundanca, ki ni prava. Imate dva imenska strežnika, torej menite, da ste zaščiteni — a oba razrešita na isto stojalo v istem omrežju. Prva okvara strojne opreme vzame vse, in varnostna mreža, na katero ste se zanašali, nikoli ni bila tam.

Kaj dejansko je

Raznolikost imenskih strežnikov. Vaša domena bi morala navesti vsaj dva imenska strežnika in idealno bi morali sedeti na resnično neodvisnih omrežnih poteh — ne le dve imeni, ki kažeta na isto polje. Za kulisami vsako ime imenskega strežnika razrešita v en ali več IP naslovov in kar dejansko šteje, je, ali ti naslovi zasedajo ločene dele usmerjevanja interneta. Resen ponudnik DNS širi imenske strežnike prek številnih ločenih blokov omrežja in lokacij po vsem svetu, zato celo dva imenska strežnika od istega ponudnika dajeta pravo, neodvisno redundanco. Primer odpovedi je nasprotno: en majhen gostitelj, kjer sta oba “imenska strežnika” isti stroj, torej je ena odpoved totalna.

Opomba za tehničnega bralca: naše preverjanje šteje vaše NS zapise in nato pogleda, kako velik delež resnične omrežne raznolikosti sedi za njimi. Primarni signal je razpon ločenih blokov IP omrežja, v katere imenski strežniki razrešijo (groba vrednost /16 za IPv4 in /32 za IPv6), z številom ločenih imen ponudnikov kot varnostna mreža. To namerno kreditira hiperskalne ponudnike Anycast — Cloudflare, Google, AWS Route 53, Azure DNS — ki en omrežni identiteto najavijo iz številnih globalno ločenih usmerjevalnih poti in tako nudijo pravo raznolikost celo iz ene blagovne znamke. Manj kot dva imenska strežnika na tem preverjanju dobi nič točk in je obravnavano kot visoka resnost, ker je neomiljeno enotna točka odpovedi za celotno domeno.

Zapis SOA. Vsaka DNS cona ima natanko en zapis Start of Authority. Imenuje primarni imenski strežnik in administrativni kontakt, nosi serijsko številko, ki se poveča ob vsaki spremembi, in — del, ki je za vaše podjetje pomemben — štiri časovnike:

• Refresh — kako pogosto sekundarni imenski strežniki znova preverjajo primarnega glede sprememb. Dobro območje: groba vrednost 1 do 24 ur (3.600–86.400 sekund).
• Retry — kako kmalu poskusiti znova, če obnova ne uspe. Dobro območje: groba vrednost 5 do 60 minut (300–3.600 sekund).
• Expire — kako dolgo sekundarni strežniki streže vaše zapise, če sploh ne morejo doseči primarnega. Dobro območje: groba vrednost 1 do 4 tedne (604.800–2.419.200 sekund).
• Minimalni TTL — spodnja meja za to, kako dolgo odgovori (vključno z “to ime ne obstaja” odgovori) so predpomnjeni. Mora biti razumna pozitivna vrednost; 300 sekund je pogosta izbira.

Kako izgleda “dobro”: SOA, ki obstaja, ima veljavni administrativni kontakt in nosi časovnike znotraj teh območij. Vrednosti zunaj območij niso usodne — a bodisi upočasnijo vaše spremembe (časovniki predolgi) ali nepotrebno obremenijo vaše imenske strežnike (prekratki). Manjkajoč ali resnično pokvaren SOA je resnejši primer.

Kako to popraviti (brezplačno, ~15 minut)

To je za tistega, ki upravlja vašo domeno ali DNS — če to niste vi, posredujte mu ta razdelek. Popravek je brezplačen; zaračunamo le za nadziranje, da ostane popravljen.

1. korak — Zagotovite, da imate vsaj dva imenska strežnika na raznolikosti infrastrukturi.

1. Preverite, kaj imate danes. Zaženite dig NS vasadomena.com (ali uporabite katero koli spletno orodje “DNS lookup”) in preberite imenske strežnike. Dva ali več je minimum.
2. Če imate le enega ali sta oba pri enem majhnem gostitelju, preselite DNS na ponudnika, ki privzeto daje redundanco. Praktično vsak resen ponudnik to naredi:
   • Cloudflare — samodejno dodeli dva imenska strežnika, razprostrta po globalnem omrežju Anycast, ko dodate domeno.
   • AWS Route 53 — vsaka gostovana cona dobi štiri imenske strežnike prek ločenih Route 53 omrežij.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — podobno preskrbijo več imenskih strežnikov prek neodvisne infrastrukture.
3. Za preklop nastavite imenske strežnike vaše domene pri vašem registrarju (kjer ste kupili domeno — npr. Blacknight, GoDaddy, Namecheap) na tiste, ki vam jih da novi ponudnik DNS. Ta sprememba se lahko v celoti razširi 24–48 ur.
4. Za redundanco s pasom in naramnicami lahko večja ali večje-tvegana podjetja izvajajo sekundarni DNS od drugega neodvisnega ponudnika (npr. Cloudflare + Route 53, ali NS1 + Cloudflare). Za večino majhnih podjetij je to neobvezno — en uveljavljen ponudnik že daje pravo medmrežno redundanco.

2. korak — Preverite (in po potrebi popravite) vaše časovnike SOA.

1. Zaženite dig SOA vasadomena.com in preberite vrednosti za refresh, retry, expire in minimum-TTL.
2. Primerjajte z območji zgoraj. V ogromni večini primerov je vaš ponudnik DNS že nastavil razumne privzete vrednosti in ni ničesar narediti.
3. Če je vrednost zunaj območja, jo popravite tam, kjer je vaš DNS gostovan:
   • Pri upravljanih ponudnikih (Cloudflare, Route 53, Google, Azure) je SOA večinoma za vas urejen; ga navadno prilagodite prek nastavitev DNS ponudnika ali podpore, ne pa z ročnim urejanjem.
   • Na lastnem imenskem strežniku (BIND, PowerDNS) uredite vrstico SOA neposredno v datoteki cone in znova naložite cono — ne pozabite povečati serijske številke, da ga sekundarni zaznajo.
4. Po kateri koli spremembi znova zaženite poizvedbe, da potrdite, da oba seznam imenskih strežnikov in časovniki SOA izgledata pravilno.

Pogoste napake

• Obravnavanje “dveh imen” kot “dveh omrežij”. Dve imeni imenskih strežnikov, ki razrešita na isto polje ali stojalo, sta enotna točka odpovedi, oblečena v preobleko. Kar šteje, so neodvisne omrežne poti, ne število imen.
• Predpostavljanje, da je več vedno boljše, brez raznolikosti. Pet imenskih strežnikov vsi pri enem fragililnem gostitelju niso nič varnejši kot eden. Raznolikost premaga količino.
• Preagresivna nastavitev časovnikov. Zmanjšanje SOA refresh ali minimum-TTL do “da so spremembe takojšnje” le udari vaše imenske strežnike in med izpadi poslabša razmere, z malo dejanskim koristim. Razumne privzete vrednosti že uravnotežijo hitrost proti obremenitvi.
• Nastavitev expire prenizko. Če sekundarni prekmalu prenehajo streže vašo cono med motnjo primarnega, se popravni udrec postane polni izpad. Ohranite expire v območju tednov.
• Ročno urejanje cone in pozabljanje serijske številke. Na lastnih imenskih strežnikih sekundarni zaznavajo spremembe le, ko se poveča serijska SOA. Spremenite zapise, a pustite serijsko neumenjeno, in vaš “popravek” nikoli ne razpade.
• Puščanje DNS na golih privzetih vrednostih registrarja domene. Vgrajen DNS nekaterih registrarjev je enotna, minimalna nastavitev. Premik DNS na pravega ponudnika navadno v enem potezu da redundanco in razumne časovnike SOA.

Zaključna beseda

Vaši imenski strežniki in zapis SOA so temelj, na katerem stoji vse ostalo. Dva imenska strežnika na resnično ločenih omrežjih pomenita, da ena odpoved ne more vzeti celotnega vašega podjetja naenkrat; razumni časovniki SOA pomenita, da spremembe, ki jih naredite, dejansko hitro dosežejo svet. Oba sta brezplačna za pravilno nastavljanje, oba sta navadno že v redu takoj, ko ste pri pravem ponudniku DNS, in oba sta vredna dvominutnega preverjanja — ker je dan, ko štejeta, dan, ko si najmanj lahko privoščite, da sta napačna.

Pogosta vprašanja