Отворен билет 
+373 79 600002 
Чат на живо в Telegram 
Често задавани въпроси 
български
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
Polski 
Indonesia 
中文 (中国) 
DNS 
Имена на домейниDomain Delegation Explained: A Complete Guide to DNS Authority and Subdomain Management
Независимо дали стартирате нов уебсайт, мащабирате сложна инфраструктура или просто се опитвате да разберете как интернет разрешава имена на домени, делегирането на домени е концепция, която не можете да пренебрегнете. Тя се намира в самото сърце на системата за имена на домени (DNS) и определя как властта над имена на домени е разпределена в интернет.
Това ръководство разбива всичко, което трябва да знаете за делегирането на домени — какво е, как работи, неговите ключови компоненти и най-добрите практики, които поддържат вашата DNS инфраструктура надеждна и производителна.
Какво е делегиране на домени?
Делегирането на домени е процесът на прехвърляне на авторитетния контрол над конкретен домен или поддомен на определен набор от name servers. На практика това означава да кажете на интернет: *„За въпроси относно този домен или поддомен, попитайте тези name servers — те са отговорни.”*
Когато се направи DNS заявка за домен, резолверите следват верига от власт. Делегирането на домени определя тази верига. Без него, системата DNS — която обработва милиарди заявки всеки ден — нямаше структуриран начин да разпредели отговорност между милиони домени.
Делегирането на домени не е просто техническа формалност. То директно влияе на:
- Наличност на уебсайта — неправилното делегиране води до неуспехи при разрешаване на DNS
- Доставяемост на имейл — MX записите трябва да бъдат достъпни чрез правилно делегирани name servers
- Сигурност — неправилно конфигурираното делегиране може да експозира домени на отвличане или подправяне
- Производителност — добре структурираното делегиране намалява латентността на DNS търсенето
Ако регистрирате нов домен и имате нужда от надежна основа, Регистрация на домени с AlexHost ви дава пълен контрол над вашите DNS настройки от първия ден.
Ключови компоненти на делегирането на домени
Разбирането на делегирането на домени изисква запознаност с неговите основни строителни блокове. Всеки компонент играе специфична роля в DNS йерархията.
1. Родителския домен
Родителския домен е домена, който се намира над делегирания домен в DNS йерархията. Той съдържа NS (Name Server) записите, които насочват резолверите към авторитетните name servers за детския домен.
Пример: Ако делегирате sub.example.com, родителския домен е example.com. DNS зоната за example.com съдържа NS записите, които делегират власт за sub.example.com на различен набор от name servers.
В върха на йерархията се намират root name servers, които делегират власт на регистрите на Top-Level Domain (TLD) (като .com, .net или .org). Тези TLD регистри, от своя страна, делегират власт на name servers на вашия регистратор на домени.
2. Детския домен
Детския домен е домена или поддомена, който се делегира — субектът, който получава власт. В примера по-горе, sub.example.com е детския домен.
Детските домени могат да бъдат:
- Поддомени (напр.
api.example.com,mail.example.com,shop.example.com) - Цели домени от второ ниво (напр.
example.comделегирани от регистъра на.comTLD)
3. NS записи (Name Server записи)
NS записите са основния механизъм на делегирането. Те определят кои name servers са авторитетни за даден домен или поддомен. Когато DNS резолвер срещне NS запис по време на търсене, той знае да направи заявка към тези name servers за допълнителна информация.
; NS records in the example.com zone delegating sub.example.com
sub.example.com. IN NS ns1.childnameserver.com.
sub.example.com. IN NS ns2.childnameserver.com.Най-добрата практика диктува да имате поне два NS записа (първичен и вторичен) за да осигурите резервност. Ако един name server стане недостъпен, другият продължава да служи DNS отговори.
4. Glue записи
Glue записите са специален тип DNS запис, който разрешава проблем с циклична зависимост. Помислете за този сценарий:
- Искате да делегирате
sub.example.comкъмns1.sub.example.com - Но за да намери
ns1.sub.example.com, резолвер трябва първо да направи заявка къмsub.example.com - Това създава безкраен цикъл
Glue записите решават това, като включват IP адреса на name server директно в родителската зона, заобикаляйки циклично търсене.
; Glue records in the example.com zone
ns1.sub.example.com. IN A 203.0.113.10
ns2.sub.example.com. IN A 203.0.113.11Glue записите са задължителни, когато name servers за детския домен са сами поддомени на този детски домен. Те се съхраняват на ниво регистратор на домени и се служат от TLD регистъра.
5. SOA запис (Start of Authority)
Всяка делегирана зона трябва да има SOA запис, който определя административна информация за зоната, включително:
- Първичния name server
- Имейл адреса на отговорния лице
- Сериен номер (използван за версионирането на трансфер на зона)
- Стойности за обновяване, повторен опит, изтичане и минимален TTL
SOA записът сигнализира, че зона е правилно конфигурирана и авторитетна.
Как работи делегирането на домени: Стъпка по стъпка DNS разрешаване
Когато потребител въведе sub.example.com в своя браузър, зад кулисите се разгръща сложен процес на разрешаване. Ето точно какво се случва:
Стъпка 1: Рекурсивна заявка на резолвер
Устройството на потребителя изпраща DNS заявка към рекурсивен резолвер — обикновено управляван от техния ISP или публичен DNS доставчик като Google (8.8.8.8) или Cloudflare (1.1.1.1). Работата на резолвера е да намери отговора, като направи заявки към DNS йерархията.
Стъпка 2: Търсене на Root Name Server
Ако резолвер няма отговора кеширан, той направи заявка към един от 13 root name server клъстера. Root servers не знаят IP адреса на sub.example.com, но знаят кои name servers са авторитетни за .com TLD.
Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]Стъпка 3: Търсене на TLD Name Server
Резолвер направи заявка към .com TLD name servers. Тези servers знаят кои name servers са авторитетни за example.com (както е регистрирано чрез вашия регистратор на домени).
TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.Стъпка 4: Търсене на Name Server на родителския домен
Резолвер направи заявка към ns1.registrar.com (авторитетния name server за example.com). Този server съдържа NS записите за делегирането на sub.example.com.
Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.Стъпка 5: Търсене на Name Server на детския домен
Резолвер сега направи заявка към ns1.childnameserver.com — авторитетния name server за sub.example.com. Този server връща действителните DNS записи, поискани, като A запис (IP адрес) или MX запис (mail server).
Child Name Server Response:
sub.example.com. IN A 198.51.100.42Стъпка 6: Отговор доставен
Рекурсивният резолвер връща IP адреса на браузъра на потребителя, който след това установява връзка с уеб сървъра на този адрес. Целия процес обикновено завършва в милисекунди.
Всяка стъпка в тази верига представлява делегиране на власт — от root към TLD към регистратор към name servers на вашия хостинг доставчик.
Как да делегирате домен или поддомен: Практически стъпки
Независимо дали делегирате цял домен на нов хостинг доставчик или разделяте поддомен на отделна DNS зона, процесът следва последователен модел.
Стъпка 1: Идентифицирайте целевите Name Servers
Определете кои name servers ще бъдат авторитетни за детския домен. Това обикновено се предоставя от:
- Вашия хостинг доставчик (напр.
ns1.alexhost.com,ns2.alexhost.com) - Услуга за управление на DNS
- Вашата собствена самостоятелно хоствана DNS инфраструктура
Ако управлявате собствени сървъри и имате нужда от пълен контрол над вашата DNS среда, VPS хостинг от AlexHost предоставя root достъпа и надеждност на мрежата, необходими за управление на авторитетни name servers.
Стъпка 2: Добавете NS записи в родителската зона
Влезте в контролния панел на вашия регистратор на домени и отидете на раздела за управление на DNS за родителския домен. Добавете NS записи, които сочат към делегираните name servers.
Пример — Делегиране на shop.example.com към отделна хостинг среда:
shop.example.com. 3600 IN NS ns1.shophosting.com.
shop.example.com. 3600 IN NS ns2.shophosting.com.Важно: Задайте разумен TTL (Time to Live). TTL от 3600 секунди (1 час) е обичайно. По-ниските TTL позволяват по-бързо разпространение на промени, но увеличават натоварването на DNS заявки.
Стъпка 3: Добавете Glue записи, ако е необходимо
Ако name servers на вашия детски домен са поддомени на самия детски домен, свържете се с вашия регистратор, за да добавите glue записи. Това се прави на ниво регистратор, не във вашия DNS файл на зона.
Стъпка 4: Конфигурирайте детската зона
На делегираните name servers, създайте DNS зона за детския домен и добавете всички необходими записи:
; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600
@ IN SOA ns1.shophosting.com. admin.example.com. (
2024010101 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
300 ) ; Minimum TTL
@ IN NS ns1.shophosting.com.
@ IN NS ns2.shophosting.com.
@ IN A 198.51.100.42
www IN A 198.51.100.42
@ IN MX 10 mail.shophosting.com.Стъпка 5: Проверете разпространението
DNS промените могат да отнемат от няколко минути до 48 часа, за да се разпространят глобално, в зависимост от TTL стойностите и поведението на кеширането. Използвайте инструменти като:
dig(Linux/macOS):dig NS shop.example.com @8.8.8.8nslookup(Windows):nslookup -type=NS shop.example.com- Онлайн инструменти: dnschecker.org или whatsmydns.net
Делегиране на домени срещу DNS хостинг: Разбиране на разликата
Тези две концепции са тясно свързани, но различни:
| Концепция | Определение |
|---|---|
| Регистрация на домени | Резервиране на име на домен чрез регистратор |
| DNS хостинг | Предоставяне на name servers, които отговарят на DNS заявки |
| Делегиране на домени | Насочване на домен или поддомен към конкретни name servers |
Можете да регистрирате домен с един доставчик и да го делегирате към name servers, управлявани от напълно различен доставчик. Това е изключително често — например регистриране на домен с бюджетен регистратор, но хостинг на DNS с доставчик, който предлага превъзходна производителност или напреднали функции.
За бизнеси, които имат нужда от професионален имейл заедно с техния уеб присъствие, Имейл хостинг от AlexHost се интегрира безпроблемно с вашата DNS конфигурация, осигурявайки правилна настройка на MX записи и надежда доставка на пощата.
Обичайни сценарии на делегиране на домени
Сценарий 1: Преместване на домен към нов хостинг доставчик
При мигриране от един хост към друг, актуализирате NS записите на вашия регистратор, за да сочат към name servers на новия доставчик. Name servers на новия доставчик след това стават авторитетни за вашия домен.
Ключов съвет: Конфигурирайте всички DNS записи на новите name servers *преди* да промените NS записите на регистратора. Това минимизира престоя по време на преход.
Сценарий 2: Делегиране на поддомен към SaaS платформа
Много SaaS платформи (напр. платформи за електронна търговия, CDN доставчици) изискват да делегирате поддомен към техните name servers. Например делегиране на shop.yourdomain.com към хостирана платформа за електронна търговия, докато запазвате www.yourdomain.com на вашия основен хостинг.
Сценарий 3: Разделяне на инфраструктура между множество доставчици
Големи организации често делегират различни поддомени на различни доставчици на инфраструктура:
api.example.com→ Облачен доставчик Acdn.example.com→ CDN доставчик Bmail.example.com→ Специализирана имейл инфраструктура
Тази архитектура изисква внимателно управление на DNS, но позволява избор на най-добрата инфраструктура. Специализиран сървър може да служи като надежден якор за вашата първична DNS зона, докато поддомени се делегират на специализирани доставчици.
Сценарий 4: Вътрешно делегиране на DNS
В корпоративни среди, вътрешни домени (напр. corp.internal) често се делегират на вътрешни DNS servers, които не са публично достъпни. Това позволява на организациите да управляват вътрешни ресурси (интранет сайтове, вътрешни API, принтери) чрез същата DNS инфраструктура като техните публични домени.
Съображения за сигурност при делегиране на домени
Делегирането на домени въвежда няколко риска за сигурност, които администраторите трябва активно да смекчат.
DNSSEC (DNS Security Extensions)
DNSSEC добавя криптографски подписи към DNS записи, позволявайки на резолверите да проверят, че отговорите са автентични и не са били манипулирани. При делегиране на домен, DNSSEC изисква:
- Подписване на детската зона с Zone Signing Key (ZSK) и Key Signing Key (KSK)
- Добавяне на DS (Delegation Signer) записи към родителската зона
- Установяване на верига на доверие от root надолу към вашата зона
DNSSEC се препоръчва силно за всеки домен, който обработва чувствителни данни или финансови трансакции. Комбинирайте DNSSEC с SSL сертификат, за да осигурите както DNS-ниво, така и транспортно ниво на сигурност за вашия домен.
Отвличане на поддомен
Отвличането на поддомен се случва, когато DNS записите на поддомена сочат към ресурс (напр. облачна услуга, CDN крайна точка), която вече не съществува, позволявайки на нападател да претендира за този ресурс и да служи вредоносно съдържание под вашия домен.
Предотвратяване:
- Редовно одитирайте DNS записи и премахвайте остарели делегирания
- Следете за неиспользвани ресурси, свързани с вашите поддомени
- Използвайте инструменти за мониторинг на DNS, които предупреждават при неочаквани промени
Сигурност на регистраторския акаунт
Тъй като делегирането на домени се контролира на ниво регистратор, вашият регистраторски акаунт е висока стойност цел. Защитете го с:
- Силни, уникални пароли
- Двуфакторна аутентификация (2FA)
- Регистраторски блокаж (също наречен домейн блокаж или трансфер блокаж), за да предотвратите неоторизирани трансфери
DNS отравяне на кеш
Атаките на отравяне на кеш се опитват да инжектират фалшиви DNS записи в кешовете на резолверите, пренасочвайки потребители към вредоносни сайтове. DNSSEC е основната защита срещу този вектор на атака.
Най-добри практики за делегиране на домени
Прилагането на тези най-добри практики ще поддържа вашата DNS инфраструктура сигурна, надеждна и поддържаема.
✅ Използвайте множество Name Servers
Винаги конфигурирайте поне два name servers за резервност. В идеалния случай те трябва да бъдат географски разпределени и управлявани на отделна мрежова инфраструктура, за да елиминирате единични точки на отказ.
✅ Задайте подходящи TTL стойности
- Висок TTL (86400 секунди / 24 часа): Намалява натоварването на DNS заявки и подобрява производителността. Използвайте за стабилни записи.
- Нисък TTL (300–900 секунди): Позволява по-бързо разпространение на промени. Използвайте временно преди планирани миграции.
✅ Документирайте всички DNS промени
Поддържайте дневник на промени за всяка DNS модификация, включително:
- Какво е променено
- Защо е променено
- Кога е променено
- Кой е направил промяната
Тази документация е безценна по време на реагиране на инцидент и одити.
✅ Непрекъснато следете здравето на DNS
Внедрете мониторинг, който ви предупреждава за:
- Неочаквани промени на NS записи
- Неуспехи при разрешаване на DNS
- Необичайни модели на заявки (потенциален DDoS или разузнаване)
- Изтичане на сертификат (релевантно за DNSSEC и SSL)