Podstawy DNS – Strefa DNS

No Comments

Strefa DNS - podstawy
Wiele osób nie zdaje sobie sprawy czym jest strefa DNS jak ją stworzyć oraz jak prawidłowo powinna wyglądać żebyśmy nie mieli problemów i nasz klient mógł wejść na stronę internetową, skorzystał z naszych usług oraz mógł wysłać do nas maila.

Czym jest strefa DNS

Strefa DNS to wszystkie informacje które posiada serwer DNS o danej domenie, każda domena posiada swoją strefę na wybranych serwerach autoryzowanych, informacja o których znajduje się u rejestratora domen oraz na serwerach root DNS. Ale od początku jak kupujemy domenę jesteśmy proszeni o podanie serwerów NS (name serwer) lub dostajemy przydzielone serwery od rejestratora domeny. Który z kolei informuje serwery root o tym że domena została zarejestrowana i posiada wybrane serwery NS. Dzięki czemu serwer naszego dostawcy internetowego znając serwery root jest w stanie się odpytać o adres IP serwera nazw który z kolei już jest odpytywany o adres IP naszej strony internetowej lub serwera pocztowego.

Przykładowa Prosta Strefa:

Najprostsza domena musi posiadać wpis A dla samej siebie, oraz powinna posiadać rekord SOA wpis MX oraz wpis A dla pod domeny www. Przykładem jest wpis poniższy zapisany w surowym pliku zgodnym z bind. Oczywiście rekordy AAAA (ipv6) są opcjonalne i je także można wyrzucić.

[codeblocks name='DNS_ZONE']

Budowa Strefy

Podstawą w budowie strefy DNS są wpisy A, AAAA, NS, MX, SOA, CNAME, TXT są to podstawowe wpisy których powinno się orientować jeśli planujemy zrobić własną strefę, nasz system oferuje prostą edycję strefy DNS dlatego musimy tylko wiedzieć co chcemy osiągnąć i jak to zrobić aby nasza strefa działała.

SOA – Start Of Authority

Wpis generowany automatycznie przez większość systemów, musi go zawierać każda strefa, przekazuje on informacje odnośnie głównego serwera nazw strefy, adres email osoby zarządzającej strefą gdzie @ zastąpiona jest kropką „.”. Numer seryjny – serial który powinien być zwiększony z każdą zmianą strefy, przyjmuje się że składa on się z RRRRMMDDnn – Rok, miesiąc, dzień, numer modyfikacji w danym dniu. Refresh – czas w sekundach co ile strefa powinna być odświeżana przez serwery podrzędne. Retry Jeśli serwer master nie odpowiedział to po ilu sekundach powinniśmy spróbować ponownie się skontaktować. Expire – po jakim czasie serwer ma odrzucić wcześniej pobraną strefę jeśli w międzyczasie nie można było się skontaktować z serwerem master i nie doszło do aktualizacji sesji. TTL czyli czas życia przez ile sekund serwer podrzędny powinien trzymać strefę w pamięci podręcznej i nie musi odpytywać się ponownie żeby nie generować niepotrzebnego ruchu i opóźnień.

Wpis A

Wpisy A odnoszą się do adresów IPv4, i informują z którym serwerem należy się podłączyć w przypadku wpisania określonej domeny. Przykładem może być wpis a głównej domeny (roan24.pl) o wartości 178.33.3.233 i wpis www (www.roan24.pl) o wartości 178.33.3.233 natomiast już wpis mail będzie wskazywał na adres ip 178.33.3.224 ponieważ to ten serwer odpowiada za pocztę.

Wpis AAAA

Działa na tej samej zasadzie co wpis A tylko że dla adresów IPv6. Wpisy AAAA mogą istnieć dla tych samych domen co wpisy A, jednak mogą także istnieć bez nich, trzeba tylko zwrócić uwagę że jeśli stworzymy tylko wpis AAAA dla danej domeny to osoby z adresem ipv4 nie będą w stanie na nią wejść.

Wpis CNAME

Wpis mówiący nam że dana pod domena jest ukryta w innej strefie, przykładem często jest poczta gdzie serwery pocztowe umieszczone są na innych serwerach niż serwery www. Na przykład jeśli nasza domena to moja.pl a pocztę gwarantuje mi dostawca z domeną poczta.zx to wpiszę mail.moja.pl CNAME do poczta.zx, dzięki czemu jeśli administrator poczty zmieni adres IP serwera pocztowego, zostanie on wychwycony z automatu i nie będę potrzeby zmiany strefy w moja.pl. UWAGA zgodnie z RFC 1035 wpis CNAME jest możliwy dla każdej pod domeny (www.moja.pl) oraz głównej domeny (moja.pl) jednak w tym drugim wypadku gdy stworzymy CNAME dla moja.pl wskazujący na np. inna.pl powinno to sprawić że jeśli wpiszemy www.moja.pl nasz serwer DNS powinien zwrócić odpowiedź dla www.inna.pl (!) nawet jeśli www.moja.pl jest zwykłym wpisem A lub AAAA.

Wpis NS

Wpis ns jest to nazwa naszego name serwera gdzie wskazuje on jaki serwer należy odpytać aby dostać informację o naszej strefie. Te właśnie wpisy przetrzymywane są w serwerach root. Należy pamiętać żeby zastosować tzw glue czyli klej – oznacza to, że podajemy dane adresu IP serwera do jego nazwy oraz podczas rejestracji serwera u rejestratora. Wymagane jest to tylko jeśli dodajemy serwer nazw taki sam jak nasza domena np. ns1.moja.pl.

Wpis MX

Wpis informujący z którym serwerem należy rozmawiać aby dostarczyć pocztę na daną domenę, np jeśli wysyłamy pocztę na ktos@moja.pl, serwer pocztowy odpytuje DNS o wpis MX dla strefy moja.pl jeśli znajdzie taki wpis to łączy się z danym serwerem, możliwe jest także podanie większej liczby wpisów MX należy pamiętać jednak że taki wpis musi się zacząć cyfrą wskazującą priorytet łączenia, na przykład jeśli zwróci 10 mx.moja.pl i 20 mx2.moja.pl to powinniśmy się połączyć z mx.moja.pl ponieważ ma mniejszy priorytet, jeśli połączenie będzie niemożliwe lub zwróci błąd 4xx (tymczasowy błąd serwera) to powinniśmy się połączyć z mx2.moja.pl itd.

Wpis TXT

Jest to wartość tekstowa zawierająca dodatkowe informacje o strefie, posiadanie jakiegoś wpisu TXT nie jest wymagane jednak w niektórych przypadkach wskazane przez np wpis SPF który informuje jakie komputery są upoważnione do wysyłania poczty dla danej domeny. I nie chodzi tutaj o komputer klienta tylko serwer który wysyła pocztę dalej już po tym jak nasz program pokaże że wiadomość została wysłana. Dlatego wpis ten powinien być wykonywany tylko przed administratorów poczty, bo może doprowadzić do tego że zły wpis sprawi że nasza poczta nie będzie dochodzić do adresata ponieważ serwer wysyłający nie zgadza się z wpisem spf.
Podobna zasada dotyczy wpisów DKIM gdzie zapytanie txt zwraca podpis klucza którym sygnowane są wiadomości, jeśli klucz się zgadza znaczy że wiadomość jest autentyczna i wyszła z upoważnionego serwera.
Oba wpisy opierają się o zapytanie TXT i służą walczeniu ze spamem oraz podszywaniem się pod inne domeny, informacja o tym napiszemy w innym artykule.

DNSSEC

Rozszerzenie DNSSEC służy do podpisania wybranej strefy strefy DNS kluczem szyfrującym i udostępnieniu tego klucza na serwerach root, sprawia to że nasza domena będzie bardziej zabezpieczona i mamy szansę uchronić się przed podszywaniem się stron internetowych. Niestety nasze serwery jeszcze nie obsługują tej funkcjonalności, dodatkowo jest ona bardzo podatna na błędy ze strony administratora domen, czyli na przykład naszych użytkowników. Dodatkowym minusem jest to że wiele serwerów pośrednich na przykład tych dostawców internetu w naszym kraju nie obsługuje tego rozszerzenia i nie można w ten sposób przeprowadzić walidacji ustawień oraz nie wpłyną na użytkowników gdy dana strona nie będzie posiadać odpowiedniego podpisu.

Często popełniane błędy

Brak Glue – kleju

Występuje tylko jak nasz serwer nazw istnieje w naszej domenie. np. ns1.moja.pl w domenie moja.pl – w takim wypadku rejestratorowi domeny trzeba podać adresy IP naszego serwera nazw oraz stworzyć na nim wpis A dla pod-domeny ns1. Nie ma możliwości podać rekordów Glue jeśli nasz serwer DNS będzie znajdować się w innej domenie głównej niż nasza domena przykład dns: ns1.test.NET, domena moja.PL.

Tylko jeden ns w strefie, lub 2 ns na jednym komputerze fizycznym

Ważne jest aby zagwarantować dostęp do naszego serwera nazw w każdym możliwym momencie dlatego powinno się umieszczać przynajmniej 2 serwery nazw, na dwóch różnych systemach aby dostęp do strefy był możliwy nawet jak jeden serwer nie będzie działać.

Różne strefy na różnych serwerach

Nie powinno się zdarzyć aby różne strefy występowały na różnych serwerach, na przykład ns1 zwraca dla sub-domeny www adres A xxx.yyy.zzz.www a serwer ns2 zwraca rekord CNAME do np. moja.pl. Problemy tego typu mogą wystąpić w przypadku błędu systemu przenoszenia stref między serwerami.

Lazy DNS

Tak zwane leniwe DNS – kiedy serwer zwraca strefę ale nie podaje informacji o tym że jest serwerem autoryzowanym mimo iż jest zapisany jako taki u rejestratora domeny, lub po prostu nim nie jest tylko odpytuje się na przykład pierwszego serwera nazw o tą strefę. Grozi to tym że jeśli pierwszy serwer padnie to następny nie będzie w stanie wysłać strefy którą powinien posiadać zapisaną.

Test Strefy

Test strefy można wykonać na stronie internetowej DNS Stuff jednocześnie udzielamy darmowych porad odnośnie problemów ze strefami DNS.

ROAN Agencja InterAktywna to przede wszystkim kreatywny zespół, który także uwielbia prowadzić ten Blog.

Zostaw komentarz

    Dopisz się do Newslettera!

    • To pole jest do zatwierdzania i powinno pozostać na niezmienionym poziomie.

    Sprawdź także

    Zobacz więcej
    No Comments