Разное

Secondary dns: What Exactly Is Secondary DNS?

14.09.2023

Настройка услуги «Secondary» — RU-CENTER

В рамках услуги «Secondary» предоставляется четыре вторичных DNS-сервера. Они расположены в городах по всему миру для обеспечения отказоустойчивости и наименьшего времени ответа. Услуга предоставляется для прямых или обратных доменов в любых доменах верхнего уровня, в том числе для IDN-доменов. Заказать услугу «Secondary».

В этой статье мы расскажем, как работает услуга «Secondary» и как ее настроить.

Как работает услуга «Secondary»
Настройки услуги «Secondary»

Как работает услуга «Secondary»

Услуга «Secondary» функционирует по следующему алгоритму:

  1. DNS-серверы ns4-l2.nic.ru (или ns4-l3.nic.ru, ns4-l4.nic.ru, или ns4-l5.nic.ru в зависимости от уровня домена) обращаются с запросами на получение зоны к первичному DNS-серверу, IP-адрес которого указан в настройках услуги с момента ее активации. При необходимости IP-адрес первичного DNS-сервера всегда можно изменить.
  2. Если получение зоны с первичного DNS-сервера в какой-то момент невозможно — запросы будут периодически повторяться в течение 4-х календарных дней.
  3. Если в течение 4-х дней все запросы DNS-сервера были неудачными, они приостанавливаются на 4 календарных дня.
  4. DNS-сервер ns8-l2.nic.ru (ns8-l3.nic.ru, ns8-l4.nic.ru или ns8-l5.nic.ru в зависимости от уровня домена) обращается с запросами на получение зоны к первичному DNS-серверу, указанному в настройках услуги. Если получение зоны от первичного сервера невозможно, то к серверу ns4-l2.nic.ru (ns4-l3.nic.ru, ns4-l4.nic.ru или ns4-l5.nic.ru в зависимости от уровня домена).

Настройки услуги «Secondary»

Для функционирования услуги необходимо:

1. Указать имена предоставленных DNS-серверов при делегировании домена.

2. Настроить первичные и вторичные DNS-серверы.

В настройках услуги Secondary нужно указать IP-адрес первичного DNS-сервера, с которого следует получать файл зоны для домена. Необходимо указывать следующие имена DNS-серверов при делегировании доменов:

  • для доменов второго уровня, вида domain. ru
ns4-l2.nic.ru      

91.217.20.20
ns8-l2.nic.ru      

91.217.21.20
  • для доменов третьего уровня, вида domain.msk.ru
ns4-l3.nic.ru      

91.217.20.5
ns8-l3.nic.ru      

91.217.21.5
  • для доменов четвертого уровня, вида sub.domain.spb.ru
ns4-l4.nic.ru      

91.217.20.9
ns8-l4.nic.ru      

91.217.21.9
  • для доменов пятого уровня, вида sub.sub.domain.spb.ru
ns4-l5.nic.ru      

91. 217.20.13
ns8-l5.nic.ru      

91.217.21.13

Разрешить скачивание зоны для следующих IP-адресов:

91.217.20.0/26
91.217.21.0/26
194.226.96.192/28
31.177.66.192/28

Для своевременного обновления зоны домена на серверах услуги Secondary необходимо настроить на первичном DNS-сервере отправку notify. Для доменов второго уровня настроить notify на адреса ns4-l2-n.nic.ru, ns8-l2-n.nic.ru. Для доменов 3–5 уровней настроить notify на адреса вторичных DNS-серверов, указанных при делегировании: ns4-l*.nic.ru, ns8-l*.nic.ru.

В случае если на первичном DNS-сервере отправка notify не будет настроена, измененная зона домена на серверах ns4-l*.nic.ru, ns8-l*.nic.ru обновится в соответствии со значением параметра Refresh в SOA-записи, но не менее чем через 1 час.

  Туториал: как настроить услугу «Secondary»

Как настроить BIND9 вторичным DNS-сервером на Ubuntu 20.04

Антон Белов

4 мая 2021

Обновлено 26 июня 2023

Linux Ubuntu VPS

Вторичный (secondary) DNS-сервер необходим в качестве резервного. Если по какой-то причине перестанет работать первичный, вторичный обеспечит работоспособность сайта и других указанных в нем ресурсов.

Начальные настройки

  • IP первичного DNS-сервера — 10.1.1.9
  • IP вторичного DNS-сервера — 10.1.1.10
  • Пример доменного имени — domain-name.
    com

Дополнительные настройки для первичного DNS-сервера BIND9

Если вы настраивали первичный DNS-сервер по нашей инструкции, можете пропустить этот шаг.

Мы должны разрешить первичному DNS-серверу передавать данные DNS-зоны вторичному серверу. Откройте файл конфигурации BIND9.

sudo nano /etc/bind/named.conf.local

Добавьте в настройки зоны 2 параметра: allow-transfer и also-notify, подставив в них IP-адрес вторичного сервера. Результат будет примерно таким.

zone "domain-name.com" {
type master;
file "/etc/bind/db.domain-name.com";
allow-transfer { 10.1.1.10; };
also-notify { 10.1.1.10; };
};

Сохраните файл и перезагрузите BIND9.

sudo systemctl reload bind9

Настройка BIND9 в качестве вторичного DNS-сервера

Откройте файл настройки BIND9.

sudo nano /etc/bind/named.conf.local

Добавьте к нему следующую директиву.

zone "domain-name. com" {
type slave;
file "db.domain-name.com";
masters { 10.1.1.9; };
};

Параметр masters должен содержать IP-адрес первичного DNS-сервера. Сохраните файл и перезагрузите BIND9.

sudo systemctl reload bind9

Чтобы проверить, правильно ли работает вторичный DNS-сервер, используйте команду на любом удаленном компьютере.

nslookup domain-name.com 10.1.1.10

Используйте свое полное доменное имя вместо domain-name.com и IP-адрес вашего вторичного DNS-сервера вместо 10.1.1.10.

Результат:

Server: 10.1.1.10
Address: 10.1.1.10#53

Name: domain-name.com
Address: 10.1.1.10

Оценка:

5 из 5

Аverage rating : 5

Оценок: 8

191028 Санкт-Петербург Литейный пр.

, д. 26, Лит. А

+7 (812) 403-06-99

700 300

ООО «ИТГЛОБАЛКОМ ЛАБС»

191028 Санкт-Петербург Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

700 300

ООО «ИТГЛОБАЛКОМ ЛАБС»

700 300

первичных и вторичных DNS-серверов

Поставщики службы доменных имен (DNS) не застрахованы от простоев. К сожалению, суровая реальность такова, что многие перебои в работе происходят чаще, чем их клиенты осознают (или чаще, чем они хотят с этим смириться). Когда на самом деле достаточно? Правда в том, что вам не нужно зависеть от надежности инфраструктуры вашего DNS-провайдера. Фактически, вы можете довольно легко добавить столь необходимую избыточность в свой домен, настроив вторичный DNS.

Этот ресурс поможет объяснить основную функцию первичного и вторичного DNS-серверов, в чем различия, наиболее часто используемые конфигурации и почему эта служба стала необходимостью для доменов в наше время в Интернете.

Что такое первичный DNS-сервер 

Первичный DNS – это основной авторитетный DNS-сервер (или сервер имен), который служит начальной остановкой для запроса, поскольку введенное пользователем доменное имя преобразуется в IP-адрес, понятный системе— в конце концов, мы не говорим на одном языке, поэтому нам нужен переводчик, который будет помогать нам при каждом посещении веб-сайта. Когда мы вводим имя веб-сайта в браузере, DNS-сервер возьмет запись и преобразует ее в соответствующий IP-адрес домена, а затем подключит нас. Это похоже на то, как операторы работали в те дни, когда нам приходилось звонить по номеру телефона, который мы не знали. Мы сообщали им имя человека или компании, и они находили соответствующий номер и переводили нас. Когда в домен добавляется еще один DNS-сервер, он становится основным. На первичном DNS-сервере хранятся исходные файлы зоны DNS домена.

Что такое файл зоны DNS

Файл зоны DNS содержит все записи для доменов, которые хранятся на сервере DNS и управляются администратором организации. По сути, это управленческое пространство в среде DNS, которое определяет процедуры для надлежащих операций DNS по отношению к домену (доменам).

Каждый файл зоны содержит запись Start of Authority (SOA), которая включает административную информацию о зоне, такую ​​как ее имя, серийный номер и адрес электронной почты администратора файла зоны. Файл зоны DNS также включает время жизни (TTL), чтобы указать, как долго записи будут храниться в кэше DNS-сервера. Все записи, настроенные на портале управления DNS, хранятся на сервере. Они дополнительно определяют домен и диктуют действия, которые сервер должен предпринять в отношении правил, установленных в записи.

Совет . См. нашу памятку по типам записей DNS, чтобы найти загружаемый ресурс о наиболее распространенных типах записей DNS и их назначении.

Что такое вторичный DNS-сервер


Вторичная служба DNS предоставляет вам дополнительный набор авторитетных серверов имен для ответа на запросы для вашего домена. Информация, хранящаяся на обоих серверах имен, идентична. Вторичный DNS позволяет автоматически создавать резервную копию файла доменной зоны и хранить его как копию на вторичном сервере. Если один провайдер недоступен, другой будет систематически вмешиваться, чтобы ответить на запросы. Поскольку распознаватели изучают шаблоны скорости серверов, они также могут предпочесть более быстрый ресурс в качестве начальной точки контакта для входящих запросов.

Наличие вторичного DNS очень похоже на установку пункта назначения в картографическом приложении на мобильном телефоне и позволяет ему вести вас. Если есть два способа попасть в одно и то же место, он проведет вас по пути «наименьшего сопротивления» — тому, который не только приведет вас туда, но и выберет более быстрый маршрут. Вторичный DNS — это критически важная конфигурация, которая обеспечивает дополнительная избыточность для вашего домена, так как вы можете установить поддерживающий набор автоматически обновляемых файлов зон. Это важно для обхода сбоев службы DNS, неправильных конфигураций, стихийных бедствий и целевых атак, таких как попытки распределенного отказа в обслуживании (DDoS).

Знаете ли вы? Организации с большим глобальным присутствием получают выгоду от использования методов маршрутизации на основе местоположения, таких как глобальное направление трафика или региональная балансировка нагрузки. Поскольку некоторые вторичные поставщики DNS либо не предлагают эту услугу, либо не имеют необходимой интеграции для ее поддержки, важно также изучить доступные вам услуги и продукты при поиске вторичного поставщика DNS.

Разница между первичным и вторичным DNS-серверами

Возможно, вас все еще немного смущает разница между первичным и вторичным DNS-серверами, поскольку они оба хранят одну и ту же информацию, активны и готовы отвечать на онлайн-запросы для домена. Есть одно основное отличие, и это то, как ресурсы хранятся на сервере. Первичный содержит исходные файлы зоны, а вторичный хранит копию. Это означает, что конфигурации записей обновляются немного по-другому.

Лучшие вторичные стратегии DNS

Существует две стратегии вторичной DNS, которые чаще всего используются для определения того, как серверы имен будут обрабатывать обновления:

  • Первичный/первичный
  • Скрытый первичный Поставщики DNS должны быть установлены в качестве основных. Оба провайдера должны поддерживать одинаковые конфигурации для записей. Интегрированные инструменты, такие как Terraform и octoDNS, легко обновляют оба сервера имен DNS с помощью вызовов API.

    Скрытый первичный сервер имен

    Эта конфигурация вторичного DNS содержит только один набор серверов имен, отвечающих на запросы, — вторичный набор. При запросе домена эти серверы имен не отображаются. Вместо этого отображаются те из скрытого основного.

    Часто используется для защиты от атак на основной DNS, таких как распределенные атаки типа «отказ в обслуживании» (DDoS). Это также полезно для маскировки использования другого провайдера DNS в качестве основного провайдера DNS от общедоступных запросов DNS.

    Для этого типа группировки у вашего регистратора должны быть указаны только вторичные серверы имен. Таким образом, настоящий первичный провайдер действительно скрыт. Чтобы поддерживать обновления, их необходимо настроить таким образом, чтобы при обновлении записей основного провайдера они незаметно отправлялись на ваши вторичные серверы имен, сохраняя конфиденциальность для первого.

    Наша дочерняя компания DNS Made Easy предлагает другую стратегию вторичного DNS с традиционными первичными/вторичными конфигурациями, которая позволяет первичному серверу имен автоматически обновлять вторичный посредством передачи AXFR/IXFR.

    Дополнительные преимущества DNS 


    В этих базовых конфигурациях два набора серверов имен содержат информацию о записях, которая будет доступна конечным пользователям. Наличие этого дополнительного набора добавляет избыточности вашему домену. Мало того, что запросы будут направляться на самый работоспособный ресурс, вторичный DNS также может помочь в балансировке нагрузки. Службу можно настроить для направления большей части трафика вашего сайта к определенному провайдеру DNS, чтобы помочь с расходами, связанными с дорогими провайдерами, или даже на основе их надежности для защиты репутации вашего бренда. Вторичный DNS также должен быть частью вашей стратегии DNS с растущими угрозами безопасности и необходим для обеспечения того, чтобы ваш домен оставался в сети, когда у вашего провайдера DNS произошел сбой.

    См. наш развенчанный пост в блоге «5 самых распространенных мифов о вторичных DNS», чтобы найти ответы на некоторые распространенные заблуждения.

    Для более подробного ознакомления со вторичным DNS и другими связанными с ним рабочими частями, упомянутыми в этой статье, воспользуйтесь дополнительными ресурсами: 

    Что такое первичный DNS?

    Что такое вторичный DNS?

    Сколько времени жить (TTL)?

    Что такое DNS?

    Нужен лучший DNS?


    Мы можем помочь.

    • 100% гарантия безотказной работы
    • Простая настройка
    • Предотвращение DDoS-атак
    • Мониторинг доменов
    • Оптимизация трафика сайта
    • Повышение производительности домена
    • Бесплатная учетная запись POC + демоверсия сервер имен , вторичный DNS, первичный DNS, файл зоны,

    Что такое вторичный DNS?

    Мы видим изрядную путаницу в отношении вторичного DNS — отчасти потому, что это перегруженный термин. Многие регистраторы запрашивают у вас «первичный» и «вторичный» серверы имен для вашего домена, но на самом деле это не то, что касается вторичного DNS.

    Вместо этого вы можете думать о вторичном DNS как таковом: это способ для DNS-сервера или службы извлекать DNS-записи с другого DNS-сервера и поддерживать их в актуальном состоянии, используя сам протокол DNS.

    Первичный и вторичный DNS

    Чтобы понять вторичный DNS, нам необходимо иметь четкое представление об определениях RFC для настройки первичного/вторичного DNS-сервера. Настройка первичного/дополнительного DNS-сервера (RFC 1996) включает один первичный DNS-сервер и один или несколько вторичных DNS-серверов. Первичный DNS-сервер — это любой полномочный сервер, настроенный как источник передачи зоны для одного или нескольких вторичных серверов. Существуют и другие типы первичных/вторичных конфигураций DNS, но для ясного объяснения вторичного DNS мы будем использовать простые примеры конфигурации.

    При настройке основного/дополнительного DNS-сервера вторичный сервер создается у второго поставщика DNS для обеспечения избыточности в сети DNS.

    Первичный DNS-сервер — это полномочный сервер, для которого информация о зоне настраивается локально (RFC 2182), обычно через интерфейс провайдера или API. В сети первичного DNS-сервера могут быть как первичные, так и вторичные серверы.

    Дополнительный DNS-сервер — это авторитетный сервер, который получает информацию о зоне от основного сервера посредством передачи зоны. (RFC 2182) Таким образом, вторичный DNS-сервер привязан к первичному серверу.

    Причины использования вторичного DNS

    В прошлом вторичный DNS использовался главным образом для привязки вашего резервного сервера имен к основному. Конечно, сегодня в Интернете все еще есть много подобных развертываний. Однако текущая практика для современных управляемых DNS-провайдеров заключается в предоставлении нескольких IP-адресов серверов имен для использования, которые во многих случаях включают несколько пулов серверов с произвольным вещанием. Эти провайдеры DNS спроектированы таким образом, чтобы обеспечить внутреннюю избыточность и высокую доступность.

    Однако в современном Интернете все еще используются вторичные DNS. У некоторых клиентов есть инструменты, код или другие зависимости от существующего DNS-сервера или службы, но они хотят использовать высокопроизводительную и надежную платформу для доставки DNS. Например, у вас могут быть сценарии, которые автоматизируют создание новых DNS-записей в файлах зон BIND на внутреннем DNS-сервере, но вы не хотите запускать собственную DNS-сеть с произвольным вещанием, гарантированную SLA. Вы можете продолжить использовать существующую настройку DNS в качестве уровня управления и настроить вторичный DNS с помощью надежного поставщика с произвольной адресацией и гарантией SLA. В этом сценарии вы можете синхронизировать свои записи и направить свои домены к поставщику произвольной рассылки для обеспечения высокой производительности и высокой доступности доставки.

    Другие заказчики предъявляют строгие требования к единым точкам отказа. Некоторые организации, особенно сайты с высокой посещаемостью, которые могут сильно пострадать от любого сбоя, придают большое значение идее о том, что ни одна система или служба не должны нести ответственность за какой-либо критический этап пути доставки, включая DNS.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *