Defaults.Exposed › Åtgärder › Namnservrar (diversitet och SOA)

Hur du fixar Namnservrar (diversitet och SOA)

Dina namnservrar är den katalog som berättar för hela internet var det hittar din webbplats och e-post. Om de alla sitter på ett enda nätverk och det går ned försvinner ditt företag från internet på samma gång — ingen webbplats, ingen e-post, ingenting — och en slarvig klockinställning på dessa servrar kan lämna ändringar du gör fastfrusna i dagar.

Slutsats för ditt företag: Om varje namnserver för din domän bor på ett enda nätverk kan ett avbrott eller angrepp på det nätverket ta din webbplats OCH din e-post offline tillsammans — du fortsätter betala personal och annonser medan ingen kund kan nå dig. Separat kan felkonfigurerade SOA-timers lämna dina DNS-ändringar (en ny server, en bytt e-postleverantör, en nödomdirigering) propagerande i dagar istället för timmar.

Vad detta kan kosta dig

Det enda nätverket som alla dina namnservrar sitter på har en dålig eftermiddag — ett avbrott eller en DDoS-attack — och din webbplats och e-post försvinner båda på samma gång. Kunder får felsidor, din försäljningsinbox studsar, och det finns ingenting din webbperson kan göra förutom att vänta på att någon annans nätverk återhämtar sig.
En stor kunds säkerhetsteam kör en leverantörskontroll, ser alla dina namnservrar hos en leverantör utan redundans och noterar din domän som en enskild felkälla — friktion på ett kontrakt du annars skulle ha vunnit.
Du flyttar till en ny webbvärd eller byter e-postleverantör, men en felaktig 'uppdaterings'-timer i din SOA-post innebär att andra DNS-servrar fortsätter dela ut din gamla adress i dagar — så vissa kunder hamnar på en död webbplats och din e-post delas i två.
En säkerhetsincident tvingar dig att omdirigera trafik brådskande, men dina SOA-timers berättar för världen att cacha dina gamla poster i en vecka, så ändringen du gjorde för en timme sedan fortfarande inte nått hälften av internet medan problemet fortsätter.
Dina två namnservrar är tekniskt sett två namn, men de löses upp till samma rack på samma nätverk — så den redundans du tror att du har är en illusion, och ett enskilt fel tar fortfarande ned allt.

Varför det spelar roll. Varje besök på din webbplats och varje e-post som skickas till dig börjar med ett uppslag mot dina namnservrar. De är grunden som resten av din onlinenärvaro vilar på. Om den grunden inte har redundans slår ett enskilt fel ut allt på en gång; om dess tidsvärden är fel är varje ändring du gör långsam att träda i kraft — exakt när du minst har råd med det.

Vad det här är, i klartext

Innan någon kan nå din webbplats eller skicka dig ett mejl måste deras dator ställa en enkel fråga: “var bor den här domänen egentligen?” De servrar som svarar på den frågan är dina namnservrar. De är katalogposten för hela din onlinenärvaro — det allra första som varje besökare och varje e-post rör, innan din webbplats eller din inkorg ens är inblandad.

Den här sidan täcker två delar av att få den katalogen rätt:

Diversitet — har du minst två namnservrar, och sitter de på genuint separata delar av nätverket, så att ett enda avbrott inte kan tysta alla på en gång?
SOA-posten — en liten “start of authority”-post som håller tidsvärden som styr hur länge resten av internet litar på och cachar dina DNS-svar. Få timers fel och varje ändring du gör tar längre tid att nå världen.

Inget av dem är glamoröst. Båda är grundläggande. När de stämmer tänker du aldrig på dem; när de är fel får du reda på det vid värsta möjliga tidpunkt.

Vad det här kan kosta dig

Allt offline på en gång. Om alla dina namnservrar bor på ett nätverk och det nätverket har ett avbrott eller attackeras av ett DDoS går din webbplats och din e-post mörka tillsammans. Det är inte teoretiskt — ett enda DNS-leverantörsangrepp har slagit ut stora, välresursade företag från internet under större delen av en dag. Med redundans över nätverk är ett fel hanterbart; utan det är det totalt.
En affär förlorad på en leverantörskontroll. En större kunds säkerhets- eller inköpsteam kör en kontroll innan de skriver på, ser alla dina namnservrar koncentrerade hos en leverantör utan reserv, och flaggar din domän som en enskild felkälla. Det är den typen av liten, undvikbar markering som lägger friktion i ett kontrakt du annars skulle vinna.
Ändringar som inte tar. Du byter webbvärdar, flyttar e-postleverantör eller behöver omdirigera trafik i en hast. En felaktig “uppdaterings”- eller “utgångs”-timer i din SOA-post innebär att andra DNS-servrar fortsätter servera ditt gamla svar i dagar. Hälften av dina kunder hamnar på den nya webbplatsen, hälften på den döda; viss e-post flödar till den gamla leverantören, viss till den nya. Ändringen du gjorde för en timme sedan är fortfarande inte klar.
En nödsituation du inte kan avsluta snabbt. Under en säkerhetsincident behöver du peka trafiken bort från en komprometterad server nu. Om dina SOA-timers berättade för världen att cacha dina poster i en vecka kryper din fix ut över internet medan problemet fortsätter bita.
Redundans som inte är verklig. Du har två namnservrar, så du antar att du är täckt — men båda löses upp till samma rack på samma nätverk. Det första maskinvarufelet tar ut alltihop, och säkerhetsnätet du räknade med var aldrig där.

Vad det faktiskt är

Namnserverdiversitet. Din domän bör lista minst två namnservrar, och idealt bör de sitta på genuint oberoende nätverksvägar — inte bara två namn som pekar på samma låda. Bakom kulisserna löses varje namnservernamn upp till en eller flera IP-adresser, och vad som verkligen spelar roll är om dessa adresser upptar olika delar av internets routning. En seriös DNS-leverantör sprider sina namnservrar över många separata nätverksblock och platser världen över, så att till och med två namnservrar från samma leverantör ger dig verklig, oberoende redundans. Misslyckandeskallet är det motsatta: en enda liten värd där båda “namnservrar” är samma maskin, så ett enda fel är totalt.

En notering för den tekniska läsaren: vår kontroll räknar dina NS-poster och tittar sedan på hur mycket genuint nätverksdiversitet som sitter bakom dem. Den primära signalen är spridningen av distinkta IP-nätverksblock som namnservrarna löser upp till (ungefär /16-intervall för IPv4 och /32 för IPv6), med antalet distinkta leverantörsnamn som ett reservmått. Det här kreditar avsiktligt Anycast-hyperskaleleverantörer — Cloudflare, Google, AWS Route 53, Azure DNS — som annonserar en nätverksidentitet från många globalt separata routingvägar och därmed levererar verklig diversitet även från ett enda varumärke. Att ha färre än två namnservrar ger noll på den här kontrollen och behandlas som hög allvarlighetsgrad, för det är en omitigerad enskild felkälla för hela domänen.

SOA-posten. Varje DNS-zon har exakt en Start of Authority-post. Den namnger den primära namnservern och den administrativa kontakten, bär ett serienummer som ökar vid varje ändring, och — den del som spelar roll för ditt företag — håller fyra timers:

Uppdatering (Refresh) — hur ofta sekundära namnservrar kontrollerar primären för ändringar. Bra intervall: ungefär 1 till 24 timmar (3 600–86 400 sekunder).
Återförsök (Retry) — hur snart att försöka igen om en uppdatering misslyckas. Bra intervall: ungefär 5 till 60 minuter (300–3 600 sekunder).
Utgång (Expire) — hur länge sekundärer fortsätter servera dina poster om de inte kan nå primären alls. Bra intervall: ungefär 1 till 4 veckor (604 800–2 419 200 sekunder).
Minsta TTL (Minimum TTL) — golvet för hur länge svar (inklusive “det här namnet finns inte”-svar) cachas. Bör vara ett förnuftigt positivt värde; 300 sekunder är ett vanligt val.

Vad “bra” ser ut som: en SOA som finns, har en giltig administrativ kontakt och bär timers inom dessa intervall. Värden utanför intervallen är inte fatala — men de antingen saktar ned dina ändringar (timers för långa) eller belastar dina namnservrar i onödan (för korta). En saknad eller genuint trasig SOA är det mer allvarliga fallet.

Så här åtgärdar du det (gratis, ~15 minuter)

Det här är för den som hanterar din domän eller DNS — om det inte är du, lämna dem det här avsnittet. Åtgärden är gratis; vi tar bara betalt för att övervaka att den förblir fixad.

Steg 1 — Se till att du har minst två namnservrar på diversifierad infrastruktur.

Kontrollera vad du har idag. Kör dig NS dindomän.com (eller använd valfritt “DNS-lookup”-webbverktyg) och läs av namnservrarna. Två eller fler är minimum.
Om du bara har en, eller båda är på en enda liten värd, flytta din DNS till en leverantör som ger dig redundans som standard. Praktiskt taget varje seriös leverantör gör det:
- Cloudflare — tilldelar automatiskt två namnservrar spridda över sitt globala Anycast-nätverk när du lägger till en domän.
- AWS Route 53 — varje hostad zon får fyra namnservrar över separata Route 53-nätverk.
- Google Cloud DNS / Microsoft 365 / Azure DNS — tilldelar på liknande sätt flera namnservrar över oberoende infrastruktur.
För att byta, sätt din domäns namnservrar hos din registrar (dit du köpte domänen) till de din nya DNS-leverantör ger dig. Denna ändring kan ta 24–48 timmar att fullständigt propagera.
För bälte-och-hängslen-motståndskraft kan större eller mer riskutsatta företag köra sekundär DNS från en andra oberoende leverantör (t.ex. Cloudflare + Route 53, eller NS1 + Cloudflare). För de flesta småföretag är det valfritt — en enda ansedd leverantör ger dig redan verklig tvärnätverksredundans.

Steg 2 — Kontrollera (och om nödvändigt, fixa) dina SOA-timers.

Kör dig SOA dindomän.com och läs av värden för uppdatering, återförsök, utgång och minsta-TTL.
Jämför dem mot intervallen ovan. I de allra flesta fall har din DNS-leverantör redan satt förnuftiga standardvärden och det finns ingenting att göra.
Om ett värde är utanför intervallet, fixa det där din DNS är hostad:
- På hanterade leverantörer (Cloudflare, Route 53, Google, Azure) hanteras SOA till stor del åt dig; du justerar den vanligtvis via leverantörens DNS-inställningar eller support snarare än att redigera den för hand.
- På en egenkörande namnserver (BIND, PowerDNS) redigera SOA-raden i zonfilen direkt och ladda om zonen — kom ihåg att öka serienumret så att sekundärer hämtar ändringen.
Efter varje ändring, kör slagningarna igen för att bekräfta att både namnserverlistan och SOA-timers ser rätt ut.

Vanliga misstag

Behandla “två namn” som “två nätverk.” Två namnservernamn som löses upp till samma låda eller rack är en enskild felkälla förklädd. Det som spelar roll är oberoende nätverksvägar, inte antalet namn.
Anta att mer alltid är bättre, utan diversitet. Fem namnservrar alla på en bräcklig värd är inte säkrare än en. Diversitet slår kvantitet.
Sätta timers för aggressivt. Att skruva ned SOA-uppdatering eller minsta-TTL till “gör ändringar momentana” belastar bara dina namnservrar och kan göra avbrott värre, med liten verklig fördel. Förnuftiga standardvärden balanserar redan hastighet mot belastning.
Sätta expire för lågt. Om sekundärer slutar servera din zon för tidigt under ett primärt avbrott, förvandlas ett återställbart hack till ett fullt avbrott. Håll expire i veckorsintervallet.
Redigera en zon för hand och glömma serienumret. På egenkörande namnservrar hämtar sekundärer bara ändringar när SOA-serienumret ökar. Ändra poster men lämna serienumret i fred och din “fix” propagerar aldrig.
Lämna DNS på domänregistrarens tomma standard. Vissa registrares inbyggda DNS är en enda, minimal inställning. Att flytta DNS till en riktig leverantör ger vanligtvis redundans och förnuftiga SOA-timers i ett enda drag.

Sammanfattning

Dina namnservrar och deras SOA-post är grunden som allt annat vilar på. Två namnservrar på genuint separata nätverk innebär att ett enskilt fel inte kan ta hela ditt företag offline på en gång; förnuftiga SOA-timers innebär att ändringarna du gör faktiskt når världen snabbt. Båda är gratis att få rätt, båda är vanligtvis redan i gott skick i det ögonblick du är på en ordentlig DNS-leverantör, och båda är värda en tvåminuterskontroll — för den dag de spelar roll är den dag du minst har råd med att de är fel.

Vanliga frågor

Jag är inte teknisk — är det här något jag kan lösa själv?

Du behöver inte förstå DNS-internals. Namnserverdiversitet hanteras vanligtvis åt dig i det ögonblick du lägger din domän på en riktig DNS-leverantör (Cloudflare, AWS Route 53, din värd) — de ger dig automatiskt två eller fler namnservrar över deras nätverk. SOA-timers är normalt satta förnuftigt som standard också. Jobbet är mestadels att kontrollera vad du har och, om du är på en enda bräcklig inställning, flytta till en leverantör som ger dig redundans. Lämna det tekniska avsnittet nedan till din webbperson eller IT-leverantör — åtgärden är gratis.

Vad är skillnaden mellan de två saker den här sidan kontrollerar?

Två relaterade delar av samma grund. Det första — namnserverdiversitet — handlar om motståndskraft: har du minst två namnservrar, och sitter de på genuint olika delar av nätverket så att ett enskilt fel inte kan ta ut dem alla? Det andra — SOA-posten — handlar om timing: den håller klockvärden som berättar för resten av internet hur länge de ska lita på och cacha dina DNS-svar. Det ena är 'lägg inte alla ägg i samma korg'; det andra är 'ställ in timers så att ändringar flödar igenom rent.'

Jag har två namnservrar från samma företag — räcker det?

Vanligtvis ja, om det företaget är en seriös DNS-leverantör. Stora leverantörer som Cloudflare, Google och AWS kör sina namnservrar över många separata nätverk och platser världen över, så två namn från dem sitter genuint på oberoende infrastruktur — det är verklig redundans. Riskfallet är en enda liten värd där båda 'namnservrar' verkligen är samma låda eller rack. Om du vill ha bälte-och-hängslen kan du köra namnservrar från två oberoende leverantörer, men för de flesta småföretag räcker en enda ansedd DNS-leverantör gott.

Vad gör SOA:ns 'refresh'- eller 'expire'-värde faktiskt för mitt företag?

Det är timers som berättar för andra DNS-servrar hur länge de ska vänta innan de kontrollerar dina poster igen, och hur länge de ska fortsätta servera dem om de inte kan nå dig. Satta för högt och en ändring du gör — en ny server-IP, en ny e-postleverantör, en nödomdirigering — tar mycket längre tid att nå alla. Satta för lågt och dina namnservrar hanterar onödig extratrafik. Förnuftiga standardvärden (uppdatering mätt i timmar, utgång i veckor) håller ändringar flödande snabbt medan de förblir robusta under ett avbrott. De flesta leverantörer sätter dessa korrekt som standard.

Ändrar det här mitt betyg, och hur mycket?

Ja, båda delarna räknas mot ditt DNS-betyg. Att ha färre än två namnservrar behandlas som ett allvarligt gap för att det är en enskild felkälla för din hela onlinenärvaro. En felkonfigurerad SOA är ett mer måttligt problem — det tar dig inte offline, men det saktar ned din förmåga att reagera när något ändras. Båda är gratis att åtgärda och, för de flesta företag, redan i gott skick så snart du är på en ordentlig DNS-leverantör.

Finns det en hake — måste jag betala dig för att åtgärda det?

Nej. Att skaffa redundanta namnservrar och förnuftiga SOA-timers är gratis hos varje stor DNS-leverantör, och stegen nedan är allt du behöver. Vi tar bara betalt om du senare vill att vi ska hålla koll på din domän och varna dig om redundansen faller tillbaka till en enskild felkälla eller timers driver iväg.