Настройка ресурсных записей на хостинге

Понятие DNS

Ни для кого не секрет, что компьютер использует язык чисел, когда сами пользователи предпочитают работать с обычными словами. В интернете используются оба варианта, предоставляя возможность выбора для удобства эксплуатации и навигации.

За счет этого у каждого сервера существует два имени: доменное для пользователей и числовое для компьютерной обработки. Уникальная последовательность чисел называется IP-адресом интернет протокола.

DNS представляет — система в формате базы данных которой для хранения всех доменных имен с соответствующими адресами. Именно DNS контроллер обеспечивает выполнение поисковых операций в интернете, например для Yandex (Яндекс). После введения пользователем адреса страницы в браузерную строку, DNS контроллер domain com выдает соответствие, перенаправляя запрос на соответствующий сайт.

Как добавить PTR-запись?

Добавить PTR-запись одновременно сложно и легко. Легко, потому что самостоятельно делать ничего не нужно. А сложно, потому что эта задача возлагается на плечи хостинга. То есть владельца IP-адреса, к которому привязан сайт. Надо написать хостинг-провайдеру, что вам нужно добавить PTR-запись. И ждать, пока техподдержка отреагирует и сделает то, что вам необходимо. В случае с хорошим хостингом, типа Timeweb, это займет минимум времени. С некоторыми процесс может затянуться.

У меня на VDS обратная зона была прописана по умолчанию. Ничего добавлять и вписывать руками не пришлось. 

Добавляем PTR-запись на примере ISPManager

Если обратная зона в панели управления Timeweb не указана, то надо:

• Открыть ISPManager (он должен быть приобретен у провайдера заранее).
• Перейти в меню «Настройки».
• Затем открыть «Настройки системы».
• В поле «Имя сервера» указать доменное имя своего сайта.
• Потом открываем панель управления Timeweb.
• Кликаем по меню в правой части от названия сервера.
• Выбираем подпункт «Конфигурация».
• И жмем на кнопку «Задать обратную зону».

Как я уже сказал выше, у меня она прописана, но у вас ее может и не быть по умолчанию. 

Можно ли добавить несколько Pointer’ов?

Нельзя. Каждому IP-адресу соответствует своя PTR-запись. Так что придется добыть еще один IP-адрес и только потом привязывать к нему еще один Pointer.

Основные характеристики DNS

Служба имен доменов DNS имеет ряд особых характеристик:

Иерархия.

Все узлы объединены в единое древо. Каждый узел контролирует нижестоящие.

Распределение администрирования.

Каждая часть иерархической структуре находится под контролем разных организаций или администраторов.

Распределение информации.

Любой узел хранит только данные, которые относятся к его зоне ответственности, включая адреса корневых.

Кэширование.

Узел может хранить данные из других зон для рационального распределения и снижения нагрузки на сеть.

Резервирование

Для обслуживания узлов обычно используется несколько, которые разделены физически и логически. Это гарантирует бесперебойность работы и сохранность данных.

Говоря о дополнительных возможностях серверов, это может быть дополнительная защита данных и операций, поддержка динамических обновлений и возможность обработки разных типов информации.

История проекта

Основное предназначение, которое выполняет служба имен доменов DNS – трансляция имен в IP-адреса и наоборот. Ранее, когда интернет только начинал массово распространяться в мире, такая задача решалась путем создания списка существующих компьютерных сетей. Этот список размножался на копии, которые должны были храниться на каждой отдельной машине. Конечно, вскоре такая система стала неудобной, а со временем и вовсе непригодной для эксплуатации, доставляя пользователям больше проблем, чем толка. Файлы становились слишком большие, требовали синхронизации и доставляли другие неудобства. Сейчас воплощение такой концепции можно встретить в виде файла HOSTS, куда можно сохранять данные регулярно используемых серверов.

Позднее сформировалась более удачная система, и DNS имя домена вошло в активную эксплуатацию. В качестве общего корня начала использоваться точка, ниже которого находятся домены первого уровня. К ним относятся интернациональные обозначения и домены государств. Под ними находятся имена вторых и третьих уровней, соответственно.

По мере развития систему появлялись все новые и новые требования к доменным именам. Все родительские должны иметь данные дочерних, чтобы своевременно и правильно обрабатывать запросы. Любой поиск должен начинаться с определенной точки. Если раньше основная часть трафика проходила в пределах локальной зоны, то сейчас масштаб только расширяется.

Система DNS полностью двусторонняя, ведь она не только отыскивает IP-адрес, но и выполняет обратную операцию, отыскивая имя домена. Многие современные серверы ограничивают доступ. Получив запрос на соединение, IP-адрес передается в виде обратного запроса. При правильной клиентской настройке DNS, пользователь сможет узнать dns клиентского хоста без ожидания, после чего владелец сети может принимать решение о допуске на сервер.

Серверы DNS

Выше, при рассмотрении типов ресурсных записей я упоминал о первичном и вторичном сервере. Кроме данных типов, существует еще один тип — кэширующий.

Главный сервер DNS (он же первичный, он же master, он же primary) — это авторитетный сервер (иногда называют — авторитативный, как правильнее называть — не знаю ), который хранит главную копию файла данных зоны, сопровождаемую администратором системы.

Вторичный сервер — тоже является авторитетным, но он копирует главный файл зоны с первичного сервера. Отличие главного от вторичного лишь в том, что главный загружает свою информацию из конфигурационных файлов зоны, а вторичный — загружает (получает) настройки зон — с главного сервера. Вторичный DNS может получать свои данные и от другого вторичного сервера. Любой запрос относительно хоста в пределах зоны, за которую отвечает авторитетный сервер, будет в конце концов передан одному из этих серверов (главному или вторичному). Вторичных серверов может быть сколько угодно много. В зависимости от настроек, главный сервер может посылать вторичному сигнал о изменении зоны, при этом вторичный, получив сигнал производит копирование. Данное действие называется трансфер зоны (zone transfer). Существует два механизма копирования зоны: полное копирование (AXFR) и инкрементальное (incremental) копирование зоны (IXFR).

Кэширующие серверы НЕ АВТОРИТЕТНЫ, данные серверы хранят в памяти (кэше), ответы на предыдущие запросы, если данный сервер получил запрос, то он сначала просматривает информацию в кэше, и если в кэше не оказалось необходимого ответа, то отправляет запрос вышестоящему серверу DNS.

Возможно так же настроить DNS в режиме stels (т.н. невидимый), информацию о данном сервере невозможно получить используя прямые запросы. Это может быть полезно для организации primary сервера в защищенной среде и тем самым оградить зону от атак на зону.

Защита DNS-серверов от атак

В наши дни опасность воздействия хакеров на DNS приобрела глобальные масштабы. Ранее уже были ситуации атак на серверы такого формата, которые приводили к многочисленным сбоям в работе всемирной паутины, в особенности известных социальных сетей.

Наиболее опасными считают нападения на корневые серверы, хранящие данные об IP-адресах. Например, в историю вошла произошедшая в октябре 2002 года DDoS-атака на 10 из 13 серверов верхнего уровня.

Протокол DNS получает результаты по запросам с помощью протокола пользовательских датаграмм UDP. UDP использует модель передачи данных без соединений для обеспечения безопасности и целостности информации. Таким образом, большинство атак производятся на этот протокол с помощью подделки IP-адресов.

Существует несколько схем, настройка которых позволит защитить DNS-сервер от атак хакеров:

• Использование технологии uRPF (Unicast Reverse Path Forwarding).
  Суть состоит в том, чтобы определить возможность принятия пакета с конкретным адресом отправителя на указанном устройстве для передачи данных. Пакет проходит проверку и принимается в том случае, когда сетевой интерфейс, с которого он получен, предназначен для обмена информацией с адресатом данного пакета. В обратной ситуации пакет будет отброшен. Этот способ помогает выявить и частично отобрать фальшивый трафик, но не гарантирует надежную защиту от фальсификации. uRPF полагает, что данные отправляются на определенный адрес через неизменный интерфейс. Ситуация усложняется, если появляется несколько провайдеров.
• Применение функции IP Source Guard.
  В ее основе лежит технология uRPF и проверка DHCP-пакетов. IP Source Guard отслеживает DHCP-трафик в интернете и выясняет, какие IP-адреса получили сетевые устройства. Это позволяет выявить поддельный трафик на некоторых портах установки. После этого данные собираются и записываются в общую таблицу итогов проверки DHCP-пакетов. В дальнейшем IP Source Guard обращается к этой таблице, чтобы осуществить проверку пакетов, полученных коммутатором. Если IP-адрес пакета не совпадает с адресом источника, то пакет откладывается.
• Использование утилиты dns-validator.
  Эта программа контролирует передачу всех пакетов DNS, соотносит запрос с ответом и в случае расхождения названий отправляет уведомление пользователю.

Какие параметры хранятся в SOA-записи

Параметры, внесенные в нее, влияют только на работу DNS-серверов, сайты же обрабатываются без их учета. Поэтому многие владельцы веб-ресурсов не задумываются о наличии SOA и назначении этой записи. 

Прочитать содержимое легко любым текстовым редактором вроде Блокнота или Notepad++. Подойдут и утилиты, встроенные в файловые менеджеры.

Основные типы информации в SOA:

1. TTL – время в секундах, которое затрачивается на кэширование данных, передаваемых через DNS-серверы.
2. MNAME – имена удаленных компьютеров, где будет храниться остальная информация о доменах.
3. RNAME (Hostname) – контактный электронный адрес лица, ответственного за конкретную SOA-запись.
4. Serial Number – серийный номер базы данных зоны, меняющийся при обновлении данных (это указывает вторичным серверам на то, что пора обновить конфигурацию).
5. Refresh – время в секундах, отпускаемое на запрос данных у первичного DNS-сервера, чтобы определить, требуется ли обновлять информацию (не менялся ли серийный номер).
6. Retry – время ожидания в секундах, через которое сервер будет принимать повторный запрос при неудачной попытке считывания информации.
7. Expire – период в секундах, в течение которого используются ранее полученные данные от первичного DNS-сервера. По истечении срока они теряют актуальность.
8. Minimum TTL – период хранения данных зоны в кэше.

Перечисленных параметров достаточно, чтобы обеспечить бесперебойную связь DNS-серверов между собой. Остальная информация хранится в других типах записей: NS, A, AAAA, MX, SRV, TXT, SPF, DKIM, CNAME. Подобная классификация упрощает считывание и понимание данных, а также снижает риски сбоев из-за ошибок доступа внешних приложений.

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите зарегистрировать записи ресурсов DNS немедленно, можно принудительно выполнить регистрацию вручную с помощью следующей процедуры. Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, необходимые для того, чтобы контроллер домена находился в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Регистрация записей ресурсов DNS вручную

1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск.
2. В поле Начать поиск введите Командная строка.
3. В верхней части меню Пуск щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.
4. Чтобы вручную инициировать регистрацию записей ресурсов локатора контроллеров домена на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД:
5. Чтобы инициировать регистрацию записи ресурса узла (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД:
6. В командной строке введите следующую команду и нажмите клавишу ВВОД: Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена для < DCName > . Проверьте выходные данные теста, чтобы убедиться, что тесты DNS пройдены. Если IPv6 не включен на контроллере домена, следует рассчитывать на сбой записи ресурса узла (AAAA) в тесте, что является нормальным условием, когда IPv6 не включен.

Ключевые характеристики DNS

DNS обладает следующими характеристиками:

• Распределённость администрирования. Ответственность за разные части иерархической структуры несут разные люди или организации.
• Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности, и (возможно) адреса корневых DNS-серверов.
• Кеширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть.
• Иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам.
• Резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов.

Проверка динамического обновления

Если основная проверка DNS показывает, что записи ресурсов не существуют в DNS, используйте динамический тест обновления, чтобы определить, почему служба сетевого входа в систему не зарегистрировала записи ресурсов автоматически. Чтобы убедиться, что Active Directory зона домена настроена на принятие безопасных динамических обновлений и на регистрацию тестовой записи (_dcdiag_test_record), выполните следующую процедуру. Тестовая запись удаляется автоматически после теста.

Проверка динамического обновления

1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск. В поле Начать поиск введите Командная строка. Вверху меню Пуск щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.
2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
   Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена для < DCName > . В качестве альтернативы можно проверить все контроллеры домена в лесу, введя/e: вместо/s:. Если IPv6 не включен на контроллере домена, следует рассчитывать на сбой записи ресурса узла (AAAA) в тесте, что является нормальным условием, когда IPv6 не включен.

Если безопасные динамические обновления не настроены, для их настройки можно использовать следующую процедуру.

Включение безопасных динамических обновлений

1. Откройте оснастку DNS. Чтобы открыть службу DNS, нажмите кнопку Пуск.
2. В окне начать поиск введите днсмгмт. msc и нажмите клавишу ВВОД. Если откроется диалоговое окно Контроль учетных записей пользователей, убедитесь, что оно отображает нужное действие, и нажмите кнопку продолжить.
3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите пункт Свойства.
4. На вкладке Общие убедитесь, что тип зоны — интегрированная Active Directory.
5. В меню динамические обновления щелкните только безопасные.

13 имен серверов является ограничением IPv4

Корневые DNS-серверы переводят URL-адреса в IP-адреса. Эти корневые серверы представляют собой сеть из сотен серверов в разных странах мира. Однако вместе они определены как 13 именованных серверов в корневой зоне DNS.

Сколько существует DNS-серверов?

Есть несколько причин, по которым система доменных имен в Интернете использует ровно 13 DNS-серверов в корне своей иерархии: число 13 было выбрано в качестве компромисса между надежностью и производительностью сети, а 13 основано на ограничении интернет-протокола (IP). версия 4 (IPv4).

Хотя для IPv4 существует только 13 назначенных имен корневых серверов DNS, на самом деле каждое из этих имен представляет собой не один компьютер, а скорее кластер серверов, состоящий из множества компьютеров. Такое использование кластеризации повышает надежность DNS без какого-либо негативного влияния на его производительность.

Поскольку новый стандарт IP версии 6 не имеет таких низких ограничений на размер отдельных дейтаграмм, мы можем ожидать, что в будущем DNS будет содержать больше корневых серверов для поддержки IPv6.

DNS IP пакеты

Поскольку работа DNS зависит от того, могут ли миллионы других интернет-серверов находить корневые серверы в любое время, адреса корневых серверов должны быть максимально эффективно распределены по IP. В идеале все эти IP-адреса должны помещаться в один пакет (дейтаграмму), чтобы избежать накладных расходов при отправке нескольких сообщений между серверами.

В широко распространенном сегодня использовании IPv4 данные DNS, которые могут поместиться в одном пакете, составляют всего 512 байт после вычитания всего другого протокола, поддерживающего информацию, содержащуюся в пакетах. Каждый IPv4-адрес требует 32 байта. Соответственно, разработчики DNS выбрали 13 в качестве числа корневых серверов для IPv4, взяв 416 байтов пакета и оставив до 96 байтов для других вспомогательных данных, а также возможность добавления еще нескольких корневых серверов DNS в будущем при необходимости.

Практическое использование DNS

Корневые DNS-серверы не так важны для обычного пользователя компьютера. Число 13 также не ограничивает DNS-серверы, которые вы можете использовать для своих устройств. На самом деле, существует множество общедоступных DNS-серверов, которые каждый может использовать для изменения DNS-серверов, используемых любым из их устройств.

Например, вы можете заставить свой планшет использовать DNS-сервер Cloudflare, чтобы ваши интернет-запросы проходили через этот DNS-сервер, а не другой, как у Google. Это может быть полезно, если сервер Google не работает или вы обнаружите, что вы можете просматривать веб-страницы быстрее, используя DNS-сервер Cloudflare.

Добавление AAAA-записи

1. 1.

   Перейдите в . Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:

2. 2.
   На открывшейся странице нажмите Добавить запись и выберите в шторке справа АААА.
3. 3.

   AAAA-запись аналогична A-записи: она связывает домен и IP-адрес сервера сайта. Отличие заключается в версии IP. А-запись предназначена для стандартных IPv4 (вида 123.123.123.123), а АААА-запись для современного сетевого протокола IPv6 (вида 7628:0d18:11a3:09d7:1f34:8a2e:07a0:765d).

   Чтобы добавить AAAA-запись, укажите в полях:

   Нажмите Готово:

Как настроить и прописать DNS сайта

Рассмотрим последовательно процесс настройки параметров для веб-ресурса.

• После завершения процедуры регистрации домена вам будет предложено перейти в панель управления для делегирования. Зайдите в раздел управления NS-записями.
• Для многих гораздо проще держать сервер сайта и DNS-записи под одним аккаунтом, поэтому домены делегируют на DNS-серверах компании-хостера. Для выполнения этой процедуры уточните у хостинга адреса NS-серверов и впишите их в настройках домена.
• Если вы желаете оставить NS-записи по умолчанию, дальнейшую настройку придётся проводить в панели управления от регистратора. В случае, если вы сменили NS на сервер хостера, перейдите в его панель управления и добавьте свой домен в лист. Чаще всего технический отклик процедура получает через 48 часов, не ждите мгновенного появления домена в списке.

После завершения всех первичных конфигурационных настроек можно переходить к непосредственной настройке параметров DNS-записей. Каждая панель управления имеет свои особенности, но принцип единый – выбираете режим редактирования домена, изменяете/добавляете/удаляете нужные пары параметр-значение, сохраняете, и спустя 24-72 часа результат отражается на сайте

Файлы зоны

Мы уже упоминали в перечисленных выше процессах «файлы зоны» и «записи».

Файлы зоны это способ, с помощью которого DNS-сервер хранит информацию о доменах, которые он знает. Каждый домен, информация о котором есть у DNS-сервера, хранится в файле зоны. Если DNS-сервер настроен для работы c рекурсивные запросами, как публичный DNS-сервер, он найдет ответ и предоставит его. В противном случае он укажет пользователю, где искать дальше. Чем больше у сервера файлов зоны, тем больше ответов на запросы он сможет предоставить.

Файл зоны описывает DNS «зону», которая, по существу, является подмножеством всей системы DNS. Как правило, она используется для настройки только одного домена. Она может содержать некоторое количество записей, которые указывают, где находятся ресурсы для запрашиваемого домена.

Параметр зоны $ORIGIN эквивалентен высшему уровню полномочий в зоне по умолчанию. 
Таким образом, если файл зоны используется для настройки домена «example.com.», то параметр $ORIGIN также будет установлен для этого домена.

Это настраивается на верхнем уровне файла зоны или может быть указано в настройках файла DNS-сервера, который ссылается на файл зоны. В любом случае этот параметр описывает то, за что зона будет ответственна.

Точно так же $TTL настраивает «время жизни» информации, которую он предоставляет. По сути, это таймер. Кэширующий DNS-сервер может использовать ранее запрошенные результаты для ответа на вопросы, пока заданное значение TTL не истечет.

Что такое PTR-запись

Если в двух словах, то PTR-запись (или, как ее иногда называют, Pointer) — противоположность A-записи для DNS. Но давайте обо всем по порядку. 

DNS (Domain Name System) — это система связи между доменными именами и IP-адресами, к которым они принадлежат. То есть это понятные названия для существующих в сети сайтов. Чтобы пользователям не приходилось запоминать IP-адреса, как номера телефонов, были придуманы простые названия в духе apple.com или timeweb.ru. 

A-запись показывает взаимосвязь между адресом и названием. Указывает на то, какой IP скрывается за доменным именем. PTR-запись нужна для обратного. Она показывает доменное имя для указанного адреса. 

Как выглядит Pointer?

PTR-запись имеет следующий формат:

При этом сам Pointer записывается в виде перевернутого IP-адреса с добавлением домена верхнего уровня in-addr.arpa. Этот домен используется для сетевой инфраструктуры и является первым доменом в интернете.

Название arpa идет от ARPANET. Это предок нынешнего интернета.

Так выглядит PTR-запись при попытке запустить утилиты для поиска DNS.

Добавление NS-записи

1. 1.

   Перейдите в . Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:

2. 2.
   На открывшейся странице нажмите Добавить запись и выберите в шторке справа NS.
3. 3.

   NS-запись принципиально важна для работы DNS. NS-записи для домена добавляются автоматически после указания DNS-серверов и скрыты в зоне домена для удобства, так как их все равно нельзя удалить или отредактировать. При необходимости вы можете прописать DNS-серверы для поддомена, чтобы управлять его зоной отдельно. Чтобы прописать NS-запись, укажите в полях:

   Нажмите Готово: