Defaults.Exposed › Düzeltmeler › Ad sunucusu kurulumu (çeşitlilik ve SOA)

Ad sunucusu kurulumu (çeşitlilik ve SOA) nasıl düzeltilir

Ad sunucularınız, tüm internete web sitenizi ve e-postanızı nerede bulacağını söyleyen dizindir. Hepsi tek bir ağda oturuyorsa ve o ağ çökerse, işletmeniz tamamen aynı anda internetten kayboluyor — site yok, e-posta yok, hiçbir şey yok — ve o sunuculardaki özensiz saat ayarı, yaptığınız değişikliklerin günlerce takılı kalmasına neden olabilir.

İşletmeniz için sonuç: Alan adınız için her ad sunucusu tek bir ağda yaşıyorsa, o ağdaki tek bir kesinti veya saldırı hem web sitenizi hem de e-postanızı aynı anda çevrimdışı bırakır — hiçbir müşteri size ulaşamazken personele ve reklamlara ödemeye devam edersiniz. Ayrı olarak, yanlış yapılandırılmış SOA zamanlayıcıları DNS değişikliklerinizin (yeni sunucu, değiştirilmiş e-posta sağlayıcısı, acil yönlendirme) saatler yerine günlerce yayılmasına neden olabilir.

Bu size ne mal olabilir

Tüm ad sunucularınızın üzerinde bulunduğu tek ağ kötü bir gün geçiriyor — kesinti veya DDoS saldırısı — ve web siteniz ile e-postanız aynı anda kayboluyor. Müşteriler hata sayfaları görüyor, satış gelen kutunuz geri dönüyor ve web sorumlusunun başkasının ağının kurtarılmasını bekleme dışında yapabileceği hiçbir şey yok.
Büyük bir müşterinin güvenlik ekibi satıcı kontrolü yapıyor, tüm ad sunucularınızın hiç yedekleme olmadan tek sağlayıcıda olduğunu görüyor ve alan adınızı tek başarısızlık noktası olarak not ediyor — aksi takdirde kazanırdınız bir sözleşmede sürtüşme.
Yeni web barındırıcısına geçiyor veya e-posta sağlayıcısını değiştiriyorsunuz, ama SOA kaydındaki yanlış 'yenileme' zamanlayıcısı diğer DNS sunucularının eski adresinizi günlerce dağıtmaya devam etmesi anlamına geliyor — bazı müşteriler işlevsiz siteye ulaşıyor ve e-postanız ikiye bölünüyor.
Bir güvenlik olayı trafiği acilen yönlendirmenizi zorluyor, ama SOA zamanlayıcılarınız dünyaya eski kayıtlarınızı bir hafta önbelleğe almasını söylüyor; dolayısıyla bir saat önce yaptığınız değişiklik sorun devam ederken internetin yarısına hâlâ ulaşmamış.
İki ad sunucunuz teknik olarak iki isim, ama aynı ağdaki aynı rafa dönüşüyor — dolayısıyla sahip olduğunuzu sandığınız yedeklilik bir yanılsamadır ve tek bir arıza hâlâ her şeyi çökertir.

Neden önemlidir. Web sitenize her ziyaret ve size gönderilen her e-posta, ad sunucularınıza karşı arama ile başlar. Bunlar, çevrimiçi varlığınızın geri kalanının dayandığı temeldir. Bu temel yedekliliğe sahip değilse, tek bir arıza her şeyi aynı anda çökertir; zamanlama değerleri yanlışsa, yaptığınız her değişiklik yavaş yürürlüğe girer — tam olarak en az karşılayabileceğiniz zamanda.

Sade dille nedir

Biri web sitenize ulaşabilmeden veya size e-posta gönderebilmeden önce bilgisayarı basit bir soru sormak zorundadır: “Bu alan adı gerçekte nerede yaşıyor?” Bu soruyu yanıtlayan sunucular ad sunucularınızdır. Bunlar, tüm çevrimiçi varlığınızın dizin kaydıdır — her ziyaretçinin ve her e-postanın, siteniz veya gelen kutunuz dahil olmadan önce temas ettiği ilk şey.

Bu sayfa dizini doğru almanın iki bölümünü kapsar:

Çeşitlilik — en az iki ad sunucunuz var mı ve tek bir kesintinin hepsini aynı anda susturamaması için gerçekten ağın ayrı bölümlerinde mi bulunuyorlar?
SOA kaydı — geri kalan internetin DNS yanıtlarınıza ne kadar güveneceğini ve önbelleğe alacağını kontrol eden zamanlama değerlerini tutan küçük bir “yetki başlangıcı” kaydı. Zamanlayıcıları yanlış ayarlandığında her yaptığınız değişiklik dünyaya ulaşmak daha uzun sürer.

İkisi de göz alıcı değil. Her ikisi de temeldir. Doğru olduğunda onları hiç düşünmezsiniz; yanlış olduğunda bunu en kötü olası anda öğrenirsiniz.

Size maliyeti ne olabilir

Her şey aynı anda çevrimdışı. Tüm ad sunucularınız tek bir ağda yaşıyorsa ve o ağın kesintisi veya DDoS saldırısı varsa, web siteniz ve e-postanız birlikte kararlır. Bu teorik değil — saldırıya uğrayan tek DNS sağlayıcısı, büyük, iyi kaynaklı şirketleri günün büyük bölümünde internetten düşürdü. Ağlar arası yedeklilikle bir arıza atlatılabilir; bu olmadan toplam felaket.
Satıcı kontrolünde kaybedilen anlaşma. Daha büyük bir müşterinin güvenlik veya tedarik ekibi imzalamadan önce kontrol yapar, tüm ad sunucularınızın geri dönüş olmadan tek sağlayıcıda yoğunlaştığını görür ve alan adınızı tek başarısızlık noktası olarak işaretler. Aksi takdirde kazanacağınız sözleşmeye sürtüşme katan küçük, önlenebilir bir işarettir.
Geçerli olmayan değişiklikler. Web barındırıcısı değiştiriyor, e-posta sağlayıcısı taşıyor veya trafiği acele yönlendirmeniz gerekiyor. SOA kaydınızdaki yanlış “yenileme” veya “sona erme” zamanlayıcısı, diğer DNS sunucularının günlerce eski yanıtı sunmaya devam etmesi anlamına gelir. Müşterilerin yarısı yeni siteye, yarısı çalışmayanaına iniyor; bir kısım e-posta eski sağlayıcıya, bir kısım yenisine akıyor. Bir saat önce yaptığınız değişiklik hâlâ bitmedi.
Hızlı bitiremediğiniz acil durum. Güvenlik olayı sırasında trafiği tehlikeye giren sunucudan şimdi uzaklaştırmanız gerekiyor. SOA zamanlayıcılarınız dünyaya kayıtlarınızı bir hafta önbelleğe almasını söylediyse, düzeltmeniz sorun ısırmaya devam ederken internet üzerinden yavaşça yayılıyor.
Gerçek olmayan yedeklilik. İki ad sunucunuz var, dolayısıyla korunduğunuzu varsayıyorsunuz — ama ikisi de aynı ağdaki aynı rafa dönüşüyor. İlk donanım arızası hepsini çökertir ve güvendiğiniz güvenlik ağı hiç orada değildi.

Teknik olarak nedir

Ad sunucusu çeşitliliği. Alan adınız en az iki ad sunucusu listelemelidir ve ideali, tek bir arızanın tümünü çıkaramaması için gerçekten bağımsız ağ yollarında bulunmalarıdır — aynı kutuda iki isme değil. Perde arkasında her ad sunucusu adı bir veya daha fazla IP adresine dönüşür ve gerçekten önemli olan bu adreslerin internet’in yönlendirmesinin farklı bölümlerini işgal edip etmediğidir. Ciddi bir DNS sağlayıcısı ad sunucularını dünya genelinde birçok ayrı ağ bloğuna ve konuma yayar, dolayısıyla aynı sağlayıcıdan iki ad sunucusu bile gerçek, bağımsız yedeklilik sağlar. Arıza durumu tam tersidir: her iki “ad sunucusunun” aynı makine olduğu tek küçük barındırıcı, bir arızanın toplam arıza olması.

SOA kaydı. Her DNS bölgesinin tam olarak bir Yetki Başlangıcı kaydı vardır. Birincil ad sunucusunu ve yönetici iletişim adresini adlandırır, her değişiklikte artan seri numarası taşır ve — işletmeniz için önemli olan kısım — dört zamanlayıcı tutar:

Yenileme — ikincil ad sunucularının değişiklikler için birincile ne sıklıkta yeniden kontrol ettiği. İyi aralık: yaklaşık 1 ila 24 saat (3.600–86.400 saniye).
Yeniden deneme — yenileme başarısız olursa ne kadar süre sonra tekrar deneneceği. İyi aralık: yaklaşık 5 ila 60 dakika (300–3.600 saniye).
Sona erme — ikincillerin birincile hiç ulaşamadıklarında kayıtlarınızı sunmaya ne kadar süre devam ettiği. İyi aralık: yaklaşık 1 ila 4 hafta (604.800–2.419.200 saniye).
Minimum TTL — yanıtların (var olmayan adlar için “bu ad mevcut değil” yanıtları dahil) ne kadar süre önbelleğe alındığının tabanı. Makul pozitif değer olmalı; 300 saniye yaygın seçimdir.

“İyi” neye benziyor: mevcut olan, geçerli yönetici ilgili kişiye sahip ve bu aralıklar içinde zamanlayıcıları olan bir SOA. Aralık dışı değerler ölümcül değil — ama değişikliklerinizi ya yavaşlatır (zamanlayıcılar çok uzun) ya da ad sunucularınızı gereksiz yükler (çok kısa). Eksik veya gerçekten kırık SOA daha ciddi durumdur.

Nasıl düzeltilir (ücretsiz, ~15 dakika)

Alan adınızı veya DNS’nizi yöneten kişiye — sizin değilseniz — bu bölümü iletin. Düzeltme ücretsizdir; yalnızca düzeltilmiş kaldığını izlemek için ücret alıyoruz.

1. Adım — Çeşitli altyapıda en az iki ad sunucusuna sahip olduğunuzdan emin olun.

Bugün neye sahip olduğunuzu kontrol edin. dig NS alanadi.com çalıştırın (veya herhangi bir “DNS arama” web aracı kullanın) ve ad sunucularını okuyun. İki veya daha fazlası minimumdur.
Yalnızca biriniz varsa veya ikisi de tek küçük barındırıcıdaysa, varsayılan olarak yedeklilik sağlayan bir sağlayıcıya DNS’nizi taşıyın. Neredeyse her ciddi sağlayıcı bunu yapar:
- Cloudflare — bir alan adı eklediğinizde otomatik olarak global Anycast ağına yayılmış iki ad sunucusu atar.
- AWS Route 53 — her barındırılan bölge, ayrı Route 53 ağlarında dört ad sunucusu alır.
- Google Cloud DNS / Microsoft 365 / Azure DNS — benzer şekilde bağımsız altyapı boyunca birden fazla ad sunucusu sağlar.
Geçiş için, alan adınızın kayıt şirketindeki (alan adını satın aldığınız yer — ör. GoDaddy, Namecheap) ad sunucularını yeni DNS sağlayıcınızın size verdiklerine ayarlayın. Bu değişiklik tam yayılmak için 24–48 saat sürebilir.
Ekstra önlem için, daha büyük veya daha yüksek riskli işletmeler ikincil DNS’i ikinci bağımsız sağlayıcıdan (ör. Cloudflare + Route 53) çalıştırabilir. Çoğu küçük işletme için bu isteğe bağlıdır — tek saygın sağlayıcı zaten gerçek çapraz ağ yedekliliği sağlar.

2. Adım — SOA zamanlayıcılarınızı kontrol edin (ve gerekirse düzeltin).

dig SOA alanadi.com çalıştırın ve yenileme, yeniden deneme, sona erme ve minimum TTL değerlerini okuyun.
Yukarıdaki aralıklarla karşılaştırın. Büyük çoğunlukla DNS sağlayıcınız zaten makul varsayılanlar ayarlamıştır ve yapılacak hiçbir şey yoktur.
Bir değer aralık dışındaysa, DNS’nizi barındıran yerde düzeltin:
- Yönetilen sağlayıcılarda (Cloudflare, Route 53, Google, Azure) SOA büyük ölçüde sizin için ele alınır; genellikle sağlayıcının DNS ayarları veya destek aracılığıyla ayarlarsınız.
- Kendi işlettiğiniz ad sunucusunda (BIND, PowerDNS) bölge dosyasındaki SOA satırını doğrudan düzenleyin ve bölgeyi yeniden yükleyin — ikincillerin değişikliği alması için seri numarasını artırmayı unutmayın.
Herhangi bir değişiklikten sonra, hem ad sunucusu listesinin hem de SOA zamanlayıcılarının doğru göründüğünü onaylamak için aramaları yeniden çalıştırın.

Yaygın hatalar

“İki isim” ile “iki ağ” eşit saymak. Aynı kutuya veya rafa dönüşen iki ad sunucusu adı, kılık değiştirmiş tek başarısızlık noktasıdır. Önemli olan isim sayısı değil, bağımsız ağ yollarıdır.
Çeşitlilik olmadan daha fazlasının her zaman daha iyi olduğunu varsaymak. Tek kırılgan barındırıcıdaki beş ad sunucusu birinden daha güvenli değil. Çeşitlilik miktarı yener.
Zamanlayıcıları çok agresif ayarlamak. SOA yenilemeyi veya minimum TTL’yi “değişiklikleri anlık yap” için düşürmek, sadece ad sunucularını çökertir ve kesintileri daha kötü yapabilir. Makul varsayılanlar hız ile yükü zaten dengeler.
sona erme’yi çok düşük ayarlamak. Birincil kesinti sırasında ikinciller bölgenizi çok erken sunmayı bırakırsa, atlatılabilir bir sorun tam kesintiye dönüşür. Sona ermeyi haftalar aralığında tutun.
Bölgeyi elle düzenlemek ve seri numarasını unutmak. Kendi işlettiğiniz ad sunucularında ikinciller yalnızca SOA seri numarası arttığında değişiklikleri alır. Kayıtları değiştirip seriyi olduğu gibi bırakın ve “düzeltmeniz” asla yayılmaz.
DNS’i alan adı kayıt şirketinin varsayılanında bırakmak. Bazı kayıt şirketlerinin yerleşik DNS’i tek, minimal bir kurulumdur. DNS’i gerçek sağlayıcıya taşımak genellikle tek hamlede yedeklilik ve makul SOA zamanlayıcıları sağlar.

SSS

Teknik bilgim yok — bunu kendim çözebilir miyim?

DNS iç yapısını anlamanıza gerek yok. Ad sunucusu çeşitliliği genellikle alan adınızı gerçek bir DNS sağlayıcısına (Cloudflare, AWS Route 53, barındırıcınız) aldığınız anda sizin için halledilir — otomatik olarak ağları boyunca iki veya daha fazla ad sunucusu verirler. SOA zamanlayıcıları da normalde varsayılan olarak makul şekilde ayarlanır. İş büyük ölçüde sahip olduklarınızı kontrol etmek ve tek kırılgan kurulumda olduğunuzda size yedeklilik sağlayan bir sağlayıcıya geçmektir. Aşağıdaki teknik bölümü web sorumlusunuza veya BT sağlayıcınıza iletin — düzeltme ücretsizdir.

Bu sayfanın kontrol ettiği iki şey arasındaki fark nedir?

Aynı temelin iki birbiriyle ilgili parçası. Birincisi — ad sunucusu çeşitliliği — dayanıklılıkla ilgili: en az iki ad sunucunuz var mı ve tek bir arızanın hepsini bir anda çıkaramaması için gerçekten ağın farklı bölümlerinde mi bulunuyorlar? İkincisi — SOA kaydı — zamanlama ile ilgili: geri kalan internetin DNS yanıtlarınıza ne kadar güveneceğini ve önbelleğe alacağını kontrol eden saat değerlerini tutar. Biri 'tüm yumurtaları tek sepete koyma'; diğeri 'değişiklikler temiz akabilsin diye zamanlayıcıları ayarla'.

Aynı şirketten iki ad sunucum var — bu yeterli mi?

Bu şirket ciddi bir DNS sağlayıcısıysa genellikle evet. Cloudflare, Google ve AWS gibi büyük sağlayıcılar ad sunucularını dünya genelinde birçok ayrı ağ ve konuma yayarlar, dolayısıyla onlardan iki isim gerçekten bağımsız altyapıda bulunur — bu gerçek yedeklilik. Risk durumu, her iki 'ad sunucusunun' aslında aynı makine veya aynı raf olduğu tek küçük barındırıcıdır. Ekstra önlem almak istiyorsanız, iki bağımsız sağlayıcıdan ad sunucuları çalıştırabilirsiniz, ama çoğu küçük işletme için tek saygın DNS sağlayıcısı zaten yeterlidir.

SOA 'yenileme' veya 'sona erme' değeri işletmemi nasıl etkiler?

Bunlar, diğer DNS sunucularına kayıtlarınızı ne zaman yeniden kontrol edeceklerini ve ulaşamazlarsa ne kadar süre boyunca sunmaya devam edeceklerini söyleyen zamanlayıcılardır. Çok yüksek ayarlandığında yaptığınız değişiklik — yeni sunucu IP'si, yeni e-posta sağlayıcısı, acil yönlendirme — herkese ulaşmak çok daha uzun sürer. Çok düşük ayarlandığında ad sunucularınız gereksiz ekstra trafik alır. Makul varsayılanlar (yenileme saatler ölçüsünde, sona erme haftalar ölçüsünde) değişikliklerin hızlı akmasını sağlarken kesinti sırasında sağlam kalmayı dengeler. Çoğu sağlayıcı bunları kutudan doğru şekilde çıkarak ayarlar.

Bu notumu değiştirir mi ve ne kadar?

Evet, her iki parça da DNS puanınıza katkıda bulunur. İkiden az ad sunucusuna sahip olmak, tüm çevrimiçi varlığınız için tek başarısızlık noktası olduğundan ciddi açık olarak değerlendirilir. Yanlış yapılandırılmış SOA daha ılımlı bir sorundur — çevrimdışına almaz, ama bir şey değiştiğinde yanıt verme hızınızı yavaşlatır. Her ikisi de düzeltmesi ücretsizdir ve çoğu işletme için düzgün bir DNS sağlayıcısında oldukları anda zaten iyi durumdadır.

Bir kipas var mı — bunu düzeltmek için bana para ödemek zorunda mıyım?

Hayır. Yedekli ad sunucuları ve makul SOA zamanlayıcıları almak her büyük DNS sağlayıcısında ücretsizdir ve aşağıdaki adımlar ihtiyacınız olan her şeydir. Yalnızca yedekliliğin asla tek başarısızlık noktasına düşmediğini veya zamanlayıcıların sürüklemediğini izlememizi isterseniz ücret alıyoruz.