Defaults.Exposed › Rešenja › Postav nameservera (raznolikost i SOA)

Kako popraviti Postav nameservera (raznolikost i SOA)

Vaši nameserveri su imenik koji govori cijelom internetu gdje pronaći vaš sajt i imejl. Ako svi sjede na jednoj mreži i ta mreža padne, vaše preduzeće nestaje s interneta u istom trenutku — nema sajta, nema imejla, ničeg — i nepažljivo sat-podešavanje na tim serverima može ostaviti promjene koje napravite da čekaju danima.

Suština za vaše poslovanje: Ako svaki nameserver za vaš domen živi na jednoj mreži, jedan outage ili napad na tu mrežu isključuje vaš sajt I vaš imejl zajedno — vi i dalje plaćate osoblje i oglase dok vas nijedan kupac ne može dostići. Odvojeno, pogrešno konfigurisani SOA tajmeri mogu ostaviti vaše DNS promjene (novi server, prebačeni imejl provajder, hitni redirect) da se šire danima umjesto satima.

Šta vam ovo može koštati

• Jedina mreža na kojoj sjede svi vaši nameserveri ima loše popodne — outage ili DDoS napad — i vaš sajt i imejl nestaju istovremeno. Kupci dobivaju stranice s greškama, vaš sales inbox odbacuje, i ništa što vaša IT osoba ne može uraditi osim čekati da se nečija tuđa mreža oporavi.
• IT tim većeg kupca vrši vendor provjeru, vidi sve vaše nameservere kod jednog provajdera bez redundancije i bilježi vaš domen kao single point of failure — prepreka na ugovoru koji biste inače dobili.
• Prelazite na novi web host ili menjate imejl provajdere, ali pogrešan 'refresh' tajmer u vašem SOA zapisu znači da drugi DNS serveri i dalje predaju vašu staru adresu danima — pa neki kupci pristaju na mrtav sajt i vaš imejl se dijeli u dvoje.
• Sigurnosni incident vas tjera da hitno preusmjerite saobraćaj, ali vaši SOA tajmeri govore svijetu da kešira vaše stare zapise sedmicu, pa promjena koju ste napravili sat ranije još nije stigla do pola interneta dok problem nastavlja.
• Vaša dva nameservera su tehnički dva naziva, ali rješavaju na isti rack na istoj mreži — pa je redundancija za koju mislite da je imate iluzija, i jedan kvar i dalje obaruje sve.

Zašto je to važno. Svaka posjeta vašem sajtu i svaki imejl koji vam se šalje počinje pretraživanjem vaših nameservera. Oni su temelj na kojemu sjedi ostatak vašeg online prisustva. Ako taj temelj nema redundanciju, jedan kvar obaruje sve odjednom; ako su njegove vrijednosti tajmera pogrešne, svaka promjena koju napravite sporo stupa na snagu — tačno kada to najmanje možete priuštiti.

Šta je ovo, jednostavnim rečima

Pre nego što iko može dostići vaš sajt ili vam poslati imejl, njihov kompjuter mora postaviti jednostavno pitanje: “gdje ovaj domen zapravo živi?” Serveri koji odgovaraju na to pitanje su vaši nameserveri. Oni su imenik za cijelo vaše online prisustvo — prva stvar kojoj svaki posjetilac i svaki imejl pristupa, pre nego što su vaš sajt ili inbox uopšte uključeni.

Ova stranica pokriva dva dijela ispravnog postavljanja tog imenika:

1. Raznolikost — imate li najmanje dva nameservera i sjede li na zaista odvojenim dijelovima mreže, tako da jedan outage ne može ućutkati sve odjednom?
2. SOA zapis — mali “start of authority” zapis koji drži tajmer-vrijednosti kontrolišući koliko dugo ostatak interneta vjeruje i kešira vaše DNS odgovore. Pogrešite tajmere i svaka promjena koju napravite traje duže da dostigne svijet.

Ni jedno nije glamurozno. Oba su temelji. Kad su ispravni, nikad ne razmišljate o njima; kad su pogrešni, saznate u najgorem mogućem trenutku.

Šta vam ovo može koštati

• Sve isključeno odjednom. Ako svi vaši nameserveri žive na jednoj mreži i ta mreža ima outage ili bude pogođena DDoS napadom, vaš sajt i vaš imejl zatamne zajedno. Ovo nije teorijsko — jedan DNS provajder pod napadom je isključio major, dobro-resursovane kompanije s interneta na veći dio dana. S redundancijom kroz mreže, jedan kvar je preživljiv; bez nje, totalan.

• Posao izgubljen na vendor provjeri. Bezbednosni ili nabavni tim većeg kupca vrši provjeru pre potpisivanja, vidi sve vaše nameservere koncentrirane kod jednog provajdera bez fallbacka i flaguje vaš domen kao single point of failure. To je vrsta male, izbježive oznake koja dodaje trenje ugovoru koji biste inače dobili.

• Promjene koje ne prolaze. Menjate web hostove, prelazite imejl provajdere ili trebate hitno preusmjeriti saobraćaj. Pogrešan “refresh” ili “expire” tajmer u vašem SOA zapisu znači da drugi DNS serveri i dalje serviraju vaš stari odgovor danima. Pola kupaca pristane na novi sajt, pola na mrtvi; neki imejl ide starom provajderu, neki novom. Promjena koju ste napravili sat ranije još nije gotova.

• Hitni slučaj koji ne možete brzo okončati. Tokom sigurnosnog incidenta trebate usmjeriti saobraćaj daleko od kompromitovanog servera odmah. Ako su vaši SOA tajmeri rekli svijetu da kešira vaše zapise sedmicu, vaša popravka se širi po internetu dok problem nastavlja gristi.

• Redundancija koja nije prava. Imate dva nameservera, pa pretpostavljate da ste pokriveni — ali oba rješavaju na isti rack na istoj mreži. Prva greška hardvera obaruje sve, a sigurnosna mreža na koju ste računali nikad nije bila tamo.

Šta je to zapravo

Raznolikost nameservera. Vaš domen treba navesti najmanje dva nameservera i idealno trebaju sjediti na zaista nezavisnim mrežnim putevima — ne samo dva naziva koji pokazuju na istu kutiju. Iza scene, svaki naziv nameservera rješava na jednu ili više IP adresa, i ono što zaista bitno je jesu li te adrese na različitim dijelovima internetskog routinga. Ozbiljan DNS provajder širi nameservere kroz mnoge odvojene mrežne blokove i lokacije širom svijeta, pa čak i dva nameservera od istog provajdera daju vam pravu, nezavisnu redundanciju. Kvar-slučaj je suprotan: jedan mali host gdje su oba “nameservera” ista mašina, pa je jedan kvar totalan.

Napomena za tehničkog čitaoca: naša provjera broji vaše NS zapise i zatim gleda koliko je prave mrežne raznolikosti iza njih. Primarni signal je raspon različitih IP mrežnih blokova u koje nameserveri rješavaju (grubo, /16 rasponi za IPv4 i /32 za IPv6), s brojem različitih naziva provajdera kao pozadinom. Ovo namjerno kreditira Anycast hyperscale provajdere — Cloudflare, Google, AWS Route 53, Azure DNS — koji objavljuju jedan mrežni identitet s mnogo globalno odvojenih routing pathova i tako isporučuju pravu raznolikost čak i od jednog brenda. Imanje manje od dva nameservera boduje se nulom na ovoj provjeri i tretira se kao visoka ozbiljnost, jer je to neublaženi single point of failure za cijeli domen.

SOA zapis. Svaka DNS zona ima tačno jedan Start of Authority zapis. Imenuje primarni nameserver i administrativni kontakt, nosi serijski broj koji se uvećava pri svakoj promjeni i — dio koji bitno za vaše poslovanje — drži četiri tajmera:

• Refresh — koliko često sekundarni nameserveri ponovo provjeravaju primarni za promjene. Dobri raspon: otprilike 1 do 24 sata (3,600–86,400 sekundi).
• Retry — koliko brzo pokušati ponovo ako refresh ne uspije. Dobri raspon: otprilike 5 do 60 minuta (300–3,600 sekundi).
• Expire — koliko dugo sekundarni serviraju vaše zapise ako ne mogu uopšte dostići primarni. Dobri raspon: otprilike 1 do 4 sedmice (604,800–2,419,200 sekundi).
• Minimum TTL — pod za koliko dugo odgovori (uključujući “ovo ime ne postoji” odgovore) budu keširan. Treba biti razumna pozitivna vrijednost; 300 sekundi je čest izbor.

Kako izgleda “dobro”: SOA koji postoji, ima valjani administrativni kontakt i nosi tajmere unutar tih raspona. Vrijednosti izvan raspona nisu fatalne — ali ili usporavaju vaše promjene (tajmeri predugi) ili nepotrebno opterećuju vaše nameservere (prekratki). Nedostajući ili zaista pokvareni SOA je ozbiljniji slučaj.

Kako popraviti (besplatno, ~15 minuta)

Ovaj dio je za ko god upravlja vašim domenom ili DNS-om — ako to niste vi, prosledite im ovaj odeljak. Popravka je besplatna; naplaćujemo jedino da pratimo da ostane popravljena.

Korak 1 — Osigurajte da imate najmanje dva nameservera na raznolikoj infrastrukturi.

1. Provjerite što imate danas. Pokrenite dig NS vasdomecn.com (ili koristite bilo koji “DNS lookup” web alat) i pročitajte nameservere. Dva ili više je minimum.
2. Ako imate samo jedan, ili su oba na jednom malom hostu, preselite vaš DNS na provajdera koji vam po defaultu daje redundanciju. Praktički svaki ozbiljan provajder to radi:
   • Cloudflare — automatski dodjeljuje dva nameservera raspoređena kroz njegovu globalnu Anycast mrežu kad dodate domen.
   • AWS Route 53 — svaka hosted zona dobiva četiri nameservera kroz odvojene Route 53 mreže.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — slično provisioniraju više nameservera kroz nezavisnu infrastrukturu.
3. Za prelazak, postavite nameservere vašeg domena kod vašeg registrara (gdje ste kupili domen — npr. GoDaddy, Namecheap) na one koje vam vaš novi DNS provajder daje. Ova promjena može potrajati 24–48 sati da se potpuno širi.
4. Za remen-i-tregeri otpornost, veća ili visoko-rizična preduzeća mogu pokrenuti sekundarni DNS od drugog nezavisnog provajdera (npr. Cloudflare + Route 53, ili NS1 + Cloudflare). Za većinu malih preduzeća ovo je opcionalno — jedan renomirani provajder već daje pravu cross-mrežnu redundanciju.

Korak 2 — Provjerite (i ako treba, popravite) vaše SOA tajmere.

1. Pokrenite dig SOA vasdomecn.com i pročitajte refresh, retry, expire i minimum-TTL vrijednosti.
2. Usporedite ih s rasponima gore. U ogromnoj većini slučajeva vaš DNS provajder je već postavio razumne defaultove i nema ničeg za raditi.
3. Ako je vrijednost van raspona, popravite je gdje je vaš DNS hostovan:
   • Na managed provajderima (Cloudflare, Route 53, Google, Azure) SOA se uglavnom obrađuje za vas; obično ga podešavate kroz podešavanja DNS provajdera ili podršku umjesto ručnog editiranja.
   • Na samoupravnom nameserveru (BIND, PowerDNS) editirajte SOA liniju direktno u zone fajlu i reload-ujte zonu — sjećajući se da povećate serijski broj da sekundarni preuzmu promjenu.
4. Nakon bilo koje promjene, ponovo pokrenite lookupe da potvrdite i listu nameservera i SOA tajmere izgledaju ispravno.

Česte greške

• Tretiranje “dva naziva” kao “dvije mreže”. Dva naziva nameservera koji rješavaju na istu kutiju ili rack su single point of failure prerušen u disguizu. Ono što bitno su nezavisni mrežni pathovi, ne broj naziva.
• Pretpostavljanje da je više uvijek bolje, bez raznolikosti. Pet nameservera svih na jednom fraggilnom hostu nije ništa bezbedonije od jednog. Raznolikost pobjeđuje kvantitet.
• Previše agresivno postavljanje tajmera. Guranje SOA refresha ili minimum-TTL-a do “napravi promjene instant” samo udara vaše nameservere i može outage pogoršati, s malim stvarnim dobitkom. Razumni defaultovi već balansiraju brzinu naspram opterećenja.
• Postavljanje expire prenisko. Ako sekundarni prestaju servisovati vašu zonu prebrzo tokom primarnog outage-a, oporaviva blipsa postaje puni outage. Držite expire u opsegu sedmica.
• Ručno editiranje zone i zaboravljanje serijskog broja. Na samoupravnim nameserverima, sekundarni preuzimaju promjene samo kad SOA serija raste. Promijenite zapise ali ostavite seriju i vaša “popravka” se nikad ne širi.
• Ostavljanje DNS-a na golom defaultu registrara domena. Ugrađeni DNS nekih registrara je jedan, minimalan postav. Prelazak DNS-a na pravog provajdera obično vam daje redundanciju i razumne SOA tajmere u jednom potezu.

Poanta

Vaši nameserveri i njihov SOA zapis su temelj na kojemu sve ostalo sjedi. Dva nameservera na zaista odvojenim mrežama znači da jedan kvar ne može isključiti cijelo vaše preduzeće odjednom; razumni SOA tajmeri znači da promjene koje napravite zaista dostignu svijet brzo. Oba su besplatna za ispraviti, oba su obično već u dobrom stanju čim ste kod pravilnog DNS provajdera i oba vrijede dvominutnu provjeru — jer je dan kad su bitni upravo onaj kad si ih najmanje možete priuštiti da budu pogrešni.

Često postavljana pitanja