Defaults.Exposed › Виправлення › Nameserver setup (diversity & SOA)

Як виправити Nameserver setup (diversity & SOA)

Ваші сервери імен — це довідник, що каже всьому інтернету, де знайти ваш сайт та електронну пошту. Якщо вони всі знаходяться в одній мережі і вона виходить з ладу, ваш бізнес зникає з інтернету одночасно — немає сайту, немає пошти, нічого — і неправильне налаштування годинника на цих серверах може залишати ваші зміни застряглими на кілька днів.

Висновок для вашого бізнесу: Якщо кожен сервер імен вашого домену знаходиться в одній мережі, один збій або атака на цю мережу виводить ваш сайт І вашу пошту офлайн одночасно — ви продовжуєте платити персоналу та рекламі, поки жоден клієнт не може вас досягти. Окремо, неправильно налаштовані SOA-таймери можуть залишати ваші DNS-зміни (новий сервер, змінений постачальник пошти, екстрене перенаправлення) поширюватися протягом днів замість годин.

Що це може вам коштувати

• Єдина мережа, де сидять усі ваші сервери імен, має поганий день — збій або DDoS-атака — і ваш сайт та пошта зникають одночасно. Клієнти отримують сторінки помилок, ваша поштова скринька продажів відхиляє, і ваш веб-фахівець нічого не може зробити, крім як чекати, поки чужа мережа відновиться.
• Служба безпеки великого клієнта проводить перевірку постачальника, бачить, що всі ваші сервери імен знаходяться у одного провайдера без надмірності, і відзначає ваш домен як єдину точку відмови — тертя на контракті, який ви б інакше виграли.
• Ви переїжджаєте до нового веб-хосту або змінюєте постачальника пошти, але неправильний таймер 'refresh' у вашому SOA-записі означає, що інші DNS-сервери продовжують роздавати вашу стару адресу протягом днів — тому деякі клієнти потрапляють на мертвий сайт і ваша пошта розділяється на два потоки.
• Інцидент безпеки змушує вас терміново перенаправити трафік, але ваші SOA-таймери кажуть світу кешувати ваші старі записи тиждень, тому зміна, яку ви зробили годину тому, ще не досягла половини інтернету, поки проблема продовжується.
• Ваші два сервери імен технічно є двома іменами, але вони вирішуються до однієї стійки в одній мережі — тому надмірність, яку ви думали, що маєте, є ілюзією, і єдиний збій все одно виводить все.

Чому це важливо. Кожен візит на ваш сайт і кожен лист, надісланий вам, починається з пошуку по вашим серверам імен. Вони є фундаментом, на якому стоїть ваша вся онлайн-присутність. Якщо цей фундамент не має надмірності, єдиний збій виводить все одночасно; якщо його значення часу неправильні, кожна зміна, яку ви робите, повільно набирає чинності — саме тоді, коли ви найменше можете це собі дозволити.

Що це таке — простими словами

Перш ніж хтось може досягти вашого сайту або надіслати вам лист, їхній комп’ютер повинен задати просте запитання: «де насправді живе цей домен?» Сервери, що відповідають на це питання, — ваші сервери імен. Вони є записом у довіднику для всієї вашої онлайн-присутності — першою річчю, якої торкається кожен відвідувач і кожен лист, ще до того, як ваш сайт або ваша поштова скринька навіть залучаються.

Ця сторінка охоплює дві частини правильного налаштування цього довідника:

1. Різноманітність — чи маєте ви щонайменше два сервери імен, і чи знаходяться вони на справді окремих частинах мережі, щоб єдиний збій не міг заглушити їх всіх одночасно?
2. SOA-запис — невеликий запис «початку авторитету», що містить значення часу, що контролюють, як довго решта інтернету довіряє та кешує ваші DNS-відповіді. Встановіть таймери неправильно і кожна зміна, яку ви робите, займає більше часу, щоб досягти світу.

Жодна з них не є гламурною. Обидві є основами. Коли вони правильні — ви про них ніколи не думаєте; коли вони неправильні — ви дізнаєтеся в найгірший можливий момент.

Що це може коштувати вам

• Все офлайн одночасно. Якщо всі ваші сервери імен живуть в одній мережі і ця мережа має збій або атакована DDoS, ваш сайт і ваша пошта темніють разом. Це не теоретично — одна DNS-компанія, що атакується, вибивала великі, добре оснащені компанії з інтернету протягом більшої частини дня. З надмірністю по мережах один збій є переживаним; без неї — він тотальний.

• Угода, втрачена на перевірці постачальника. Більший клієнт або закупівельна команда перевіряє вас перед підписанням, бачить, що всі ваші сервери імен зосереджені у одного провайдера без запасного варіанту, і позначає ваш домен як єдину точку відмови. Це вид маленьких, уникних відміток, що додають тертя до контракту, який ви б інакше виграли.

• Зміни, що не набирають чинності. Ви змінюєте веб-хости, переходите до нового постачальника пошти або потребуєте терміново перенаправити трафік. Неправильний таймер «refresh» або «expire» у вашому SOA-записі означає, що інші DNS-сервери продовжують видавати вашу стару відповідь протягом днів. Половина ваших клієнтів потрапляє на новий сайт, половина на мертвий; деяка пошта тече до старого провайдера, деяка до нового. Зміна, яку ви зробили годину тому, ще не виконана.

• Надзвичайна ситуація, яку ви не можете швидко завершити. Під час інциденту безпеки вам потрібно негайно відвести трафік від скомпрометованого сервера. Якщо ваші SOA-таймери казали світу кешувати ваші записи тиждень, ваше виправлення повільно поширюється по інтернету, поки проблема продовжує кусатися.

• Надмірність, що не є реальною. У вас є два сервери імен, тому ви думаєте, що захищені — але обидва вирішуються до однієї стійки в тій самій мережі. Перший апаратний збій виводить все, і страховка, на яку ви розраховували, ніколи не існувала.

Що це насправді є

Різноманітність серверів імен. Ваш домен повинен перелічувати щонайменше два сервери імен, і в ідеалі вони мають знаходитися на справді незалежних мережевих шляхах — а не просто два імені, що вказують на ту саму машину. За лаштунками кожне ім’я сервера імен вирішується до однієї або більше IP-адрес, і те, що справді має значення, — це те, чи займають ці адреси різні частини маршрутизації інтернету. Серйозний DNS-провайдер розповсюджує свої сервери імен по багатьох окремих мережевих блоках і місцях у всьому світі, тому навіть два сервери імен від того самого провайдера дають вам реальну, незалежну надмірність. Ризиковий випадок — протилежне: єдиний невеликий хост, де обидва «сервери імен» — це та сама машина, тому один збій є тотальним.

Примітка для технічного читача: наша перевірка підраховує ваші NS-записи, а потім дивиться, скільки справжньої мережевої різноманітності знаходиться за ними. Основний сигнал — розповсюдження різних мережевих блоків IP, до яких вирішуються сервери імен (приблизно /16 діапазони для IPv4 і /32 для IPv6), з кількістю різних імен провайдерів як підстраховкою. Це навмисно зараховує Anycast гіперскейлерів — Cloudflare, Google, AWS Route 53, Azure DNS — які оголошують одну мережеву ідентичність з багатьох глобально окремих маршрутизаційних шляхів і тому забезпечують реальну різноманітність навіть від одного бренду. Мати менше двох серверів імен набирає нуль на цій перевірці і вважається серйозною проблемою, оскільки це незмінена єдина точка відмови для всього домену.

SOA-запис. Кожна DNS-зона має рівно один запис Start of Authority. Він називає первинний сервер імен і контактну адресу адміністратора, несе серійний номер, що збільшується при кожній зміні, і — частина, що має значення для вашого бізнесу — містить чотири таймери:

• Refresh — як часто вторинні сервери імен повторно перевіряють первинний на наявність змін. Хороший діапазон: приблизно 1-24 години (3600–86400 секунд).
• Retry — як скоро пробувати знову, якщо refresh не вдається. Хороший діапазон: приблизно 5-60 хвилин (300–3600 секунд).
• Expire — як довго вторинні продовжують обслуговувати ваші записи, якщо вони взагалі не можуть досягти первинного. Хороший діапазон: приблизно 1-4 тижні (604800–2419200 секунд).
• Minimum TTL — мінімум для того, як довго відповіді (включно з «це ім’я не існує») кешуються. Має бути розумним позитивним значенням; 300 секунд — поширений вибір.

Як виглядає «добре»: SOA, що існує, має дійсну адресу адміністратора і містить таймери в цих діапазонах. Значення поза діапазонами не є фатальними — але вони або сповільнюють ваші зміни (таймери занадто довгі) або завантажують ваші сервери імен непотрібно (занадто короткі). Відсутній або справді зламаний SOA — більш серйозний випадок.

Як це виправити (безкоштовно, ~15 хвилин)

Ця частина для того, хто керує вашим доменом або DNS — якщо це не ви, передайте їм цей розділ. Виправлення безкоштовне; ми беремо плату лише за моніторинг того, що воно залишається виправленим.

Крок 1 — Переконайтеся, що у вас є щонайменше два сервери імен на різноманітній інфраструктурі.

1. Перевірте, що у вас є зараз. Запустіть dig NS yourdomain.com (або використайте будь-який онлайн-інструмент «DNS lookup») і прочитайте сервери імен. Два або більше — мінімум.
2. Якщо у вас лише один, або обидва знаходяться на одному невеликому хості, перемістіть ваш DNS до провайдера, що дає вам надмірність за замовчуванням. Практично кожен серйозний провайдер робить це:
   • Cloudflare — автоматично призначає два сервери імен, розповсюджені по його глобальній Anycast мережі, коли ви додаєте домен.
   • AWS Route 53 — кожна розміщена зона отримує чотири сервери імен по окремих мережах Route 53.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — аналогічно надають кілька серверів імен по незалежній інфраструктурі.
3. Щоб переключитися, встановіть сервери імен вашого домену у вашого реєстратора (де ви купили домен) на ті, що дає вам ваш новий DNS-провайдер. Ця зміна може займати 24-48 годин для повного поширення.
4. Для подвійної надійності більший або більш ризикований бізнес може запускати вторинний DNS від другого незалежного провайдера (наприклад, Cloudflare + Route 53, або NS1 + Cloudflare). Для більшості малих компаній це необов’язково — єдиний авторитетний провайдер вже дає справжню міжмережеву надмірність.

Крок 2 — Перевірте (і якщо потрібно, виправте) ваші SOA-таймери.

1. Запустіть dig SOA yourdomain.com і прочитайте значення refresh, retry, expire та minimum-TTL.
2. Порівняйте їх з діапазонами вище. У переважній більшості випадків ваш DNS-провайдер вже встановив розумні стандарти і нічого робити не потрібно.
3. Якщо значення виходить за межі діапазону, виправте там, де розміщено ваш DNS:
   • На керованих провайдерах (Cloudflare, Route 53, Google, Azure) SOA здебільшого обробляється для вас; ви зазвичай регулюєте через налаштування DNS провайдера або підтримку, а не редагуєте вручну.
   • На самозапущеному сервері імен (BIND, PowerDNS) відредагуйте рядок SOA безпосередньо у файлі зони та перезавантажте зону — пам’ятаючи збільшити серійний номер, щоб вторинні підхопили зміну.
4. Після будь-якої зміни повторно запустіть пошуки, щоб підтвердити, що і список серверів імен, і SOA-таймери виглядають правильно.

Поширені помилки

• Ставлення до «двох імен» як до «двох мереж». Два імені серверів імен, що вирішуються до одного сервера або стійки — це єдина точка відмови, прихована за маскою. Важливі незалежні мережеві шляхи, а не кількість імен.
• Припускаючи, що більше завжди краще, без різноманітності. П’ять серверів імен, всі на одному крихкому хості, не є безпечнішими за один. Різноманітність перемагає кількість.
• Встановлення таймерів занадто агресивно. Зниження SOA-refresh або minimum-TTL до нуля для «миттєвих змін» просто завантажує ваші сервери імен і може погіршити збої, з незначною реальною користю. Розумні стандарти вже балансують швидкість і навантаження.
• Встановлення expire занадто низько. Якщо вторинні надто швидко перестають обслуговувати вашу зону під час збою первинного, відновлюваний збій стає повним. Тримайте expire в діапазоні тижнів.
• Редагування зони вручну і забуття серійного номера. На самозапущених серверах імен вторинні підхоплюють зміни лише коли SOA-серійний збільшується. Змінюйте записи, але залишайте серійний недоторканим і ваше «виправлення» ніколи не поширюється.
• Залишення DNS на стандарті реєстратора за замовчуванням. Вбудований DNS деяких реєстраторів — це єдине мінімальне налаштування. Перехід DNS до реального провайдера зазвичай дає вам надмірність і розумні SOA-таймери одним рухом.

FAQ