Delegarea Domeniilor Explicată: Un Ghid Complet pentru Autoritatea DNS și Gestionarea Subdomeniilor

Indiferent dacă lansezi un nou site web, scalezi o infrastructură complexă sau încerci pur și simplu să înțelegi cum internetul rezolvă numele de domenii, delegarea domeniilor este un concept pe care nu-ți poți permite să-l ignori. Se află în inima sistemului Domain Name System (DNS) și determină modul în care autoritatea asupra numelor de domenii este distribuită pe internet.

Acest ghid descompune totul ce trebuie să știi despre delegarea domeniilor — ce este, cum funcționează, componentele sale cheie și cele mai bune practici care mențin infrastructura DNS fiabilă și performantă.

Ce este delegarea domeniilor?

Delegarea domeniilor este procesul de transfer al controlului autoritar asupra unui domeniu specific sau subdomeniu către un set desemnat de servere de nume. În termeni practici, înseamnă a spune internetului: *"Pentru întrebări despre acest domeniu sau subdomeniu, întreabă aceste servere de nume — ele sunt în control."*

Când se face o interogare DNS pentru un domeniu, rezolvatorii urmează un lanț de autoritate. Delegarea domeniilor definește acel lanț. Fără aceasta, sistemul DNS — care gestionează miliarde de interogări zilnic — nu ar avea nicio modalitate structurată de a distribui responsabilitatea pe milioane de domenii.

Delegarea domeniilor nu este doar o formalitate tehnică. Afectează direct:

• Disponibilitatea site-ului web — delegarea incorectă duce la eșecuri de rezolvare DNS
• Livrabilitatea e-mailului — înregistrările MX trebuie să fie accesibile prin servere de nume corect delegate
• Securitate — delegarea configurată greșit poate expune domeniile la deturnare sau falsificare
• Performanță — delegarea bine structurată reduce latența căutării DNS

Dacă înregistrezi un domeniu nou și ai nevoie de o bază fiabilă pe care să construiești, Înregistrarea domeniilor cu AlexHost îți oferă control complet asupra setărilor DNS de la început.

Componentele cheie ale delegării domeniilor

Înțelegerea delegării domeniilor necesită familiaritate cu blocurile sale de construcție de bază. Fiecare componentă joacă un rol specific în ierarhia DNS.

1. Domeniul părinte

Domeniul părinte este domeniul care se află deasupra domeniului delegat în ierarhia DNS. El deține înregistrările NS (Name Server) care îndreaptă rezolvatorii către serverele de nume autorizate pentru domeniul copil.

Exemplu: Dacă deleghezi sub.example.com, domeniul părinte este example.com. Zona DNS pentru example.com conține înregistrările NS care deleghează autoritatea pentru sub.example.com către un set diferit de servere de nume.

La vârful ierarhiei se află serverele de nume rădăcină, care deleghează autoritatea către registrele Top-Level Domain (TLD) (cum ar fi .com, .net sau .org). Acele registre TLD, la rândul lor, deleghează autoritatea către serverele de nume ale registrarului tău de domenii.

2. Domeniul copil

Domeniul copil este domeniul sau subdomeniul care este delegat — entitatea care primește autoritatea. În exemplul de mai sus, sub.example.com este domeniul copil.

Domeniile copil pot fi:

• Subdomenii (de ex., api.example.com, mail.example.com, shop.example.com)
• Domenii complete de nivel doi (de ex., example.com delegat din registrul TLD .com)

3. Înregistrări NS (Name Server Records)

Înregistrările NS sunt mecanismul fundamental al delegării. Ele specifică care servere de nume sunt autorizate pentru un domeniu sau subdomeniu dat. Când un rezolvator DNS întâlnește o înregistrare NS în timpul unei căutări, știe că trebuie să interogeze acele servere de nume pentru informații suplimentare.

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

Cea mai bună practică dictează să ai cel puțin două înregistrări NS (primar și secundar) pentru a asigura redundanța. Dacă un server de nume devine indisponibil, celălalt continuă să servească răspunsuri DNS.

4. Înregistrări Glue

Înregistrările Glue sunt un tip special de înregistrare DNS care rezolvă o problemă comună de dependență circulară. Consideră acest scenariu:

• Vrei să deleghezi sub.example.com la ns1.sub.example.com
• Dar pentru a găsi ns1.sub.example.com, un rezolvator trebuie mai întâi să interogeze sub.example.com
• Aceasta creează o buclă infinită

Înregistrările Glue rezolvă aceasta prin includerea adresei IP a serverului de nume direct în zona părinte, ocolind căutarea circulară.

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

Înregistrările Glue sunt obligatorii când serverele de nume pentru un domeniu copil sunt ele însele subdomenii ale acelui domeniu copil. Ele sunt stocate la nivelul registrarului de domenii și servite de registrul TLD.

5. Înregistrare SOA (Start of Authority)

Fiecare zonă delegată ar trebui să aibă o înregistrare SOA care definește informații administrative despre zonă, inclusiv:

• Serverul de nume primar
• Adresa de e-mail a părții responsabile
• Numărul serial (folosit pentru versionarea transferului de zone)
• Valorile Refresh, retry, expire și minimum TTL

Înregistrarea SOA semnalează că o zonă este corect configurată și autorizată.

Cum funcționează delegarea domeniilor: Rezolvare DNS pas cu pas

Când un utilizator tastează sub.example.com în browserul lor, un proces sofisticat de rezolvare se desfășoară în spatele scenei. Iată exact ce se întâmplă:

Pasul 1: Interogare rezolvator recursiv

Dispozitivul utilizatorului trimite o interogare DNS către un rezolvator recursiv — de obicei operat de ISP-ul lor sau de un furnizor public de DNS cum ar fi Google (8.8.8.8) sau Cloudflare (1.1.1.1). Sarcina rezolvatorului este să găsească răspunsul prin interogarea ierarhiei DNS.

Pasul 2: Căutare server de nume rădăcină

Dacă rezolvatorului nu are răspunsul în cache, interogează unul dintre 13 clustere de servere de nume rădăcină. Serverele rădăcină nu știu adresa IP a sub.example.com, dar știu care servere de nume sunt autorizate pentru TLD-ul .com.

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

Pasul 3: Căutare server de nume TLD

Rezolvatorului interogează serverele de nume TLD .com. Aceste servere știu care servere de nume sunt autorizate pentru example.com (așa cum sunt înregistrate prin registrarul tău de domenii).

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

Pasul 4: Căutare server de nume domeniu părinte

Rezolvatorului interogează ns1.registrar.com (serverul de nume autoritar pentru example.com). Acest server deține înregistrările NS pentru delegarea sub.example.com.

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

Pasul 5: Căutare server de nume domeniu copil

Rezolvatorului acum interogează ns1.childnameserver.com — serverul de nume autoritar pentru sub.example.com. Acest server returnează înregistrările DNS reale solicitate, cum ar fi o înregistrare A (adresă IP) sau o înregistrare MX (server de poștă).

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

Pasul 6: Răspuns livrat

Rezolvatorului recursiv returnează adresa IP browserului utilizatorului, care apoi stabilește o conexiune la serverul web la acea adresă. Întregul proces se completează de obicei în milisecunde.

Fiecare pas din acest lanț reprezintă o delegare a autorității — de la rădăcină la TLD la registrar la serverele de nume ale furnizorului tău de găzduire.

Cum să deleghezi un domeniu sau subdomeniu: Pași practici

Indiferent dacă deleghezi un domeniu întreg unui nou furnizor de găzduire sau separi un subdomeniu într-o zonă DNS separată, procesul urmează un model consistent.

Pasul 1: Identifică serverele de nume țintă

Determină care servere de nume vor fi autorizate pentru domeniul copil. Aceasta este de obicei furnizată de:

• Furnizorul tău de găzduire (de ex., ns1.alexhost.com, ns2.alexhost.com)
• Un serviciu dedicat de gestionare DNS
• Infrastructura DNS auto-găzduită

Dacă rulezi propriile servere și ai nevoie de control complet asupra mediului DNS, Găzduire VPS de la AlexHost oferă accesul rădăcină și fiabilitatea rețelei necesare pentru a opera servere de nume autorizate.

Pasul 2: Adaugă înregistrări NS în zona părinte

Conectează-te la panoul de control al registrarului tău de domenii și navighează la secțiunea de gestionare DNS pentru domeniul părinte. Adaugă înregistrări NS care indică către serverele de nume delegate.

Exemplu — Delegarea shop.example.com către un mediu de găzduire separat:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

Important: Setează un TTL rezonabil (Time to Live). Un TTL de 3600 secunde (1 oră) este obișnuit. TTL-urile mai mici permit propagarea mai rapidă a modificărilor, dar cresc încărcarea interogărilor DNS.

Pasul 3: Adaugă înregistrări Glue dacă este necesar

Dacă serverele de nume ale domeniului tău copil sunt subdomenii ale domeniului copil în sine, contactează registrarul tău pentru a adăuga înregistrări Glue. Aceasta se face la nivelul registrarului, nu în fișierul tău de zonă DNS.

Pasul 4: Configurează zona copil

Pe serverele de nume delegate, creează zona DNS pentru domeniul copil și adaugă toate înregistrările necesare:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

Pasul 5: Verifică propagarea

Modificările DNS pot dura oriunde de la câteva minute la 48 de ore pentru a se propaga la nivel global, în funcție de valorile TTL și comportamentul de cache. Folosește instrumente cum ar fi:

• dig (Linux/macOS): dig NS shop.example.com @8.8.8.8
• nslookup (Windows): nslookup -type=NS shop.example.com
• Instrumente online: dnschecker.org sau whatsmydns.net

Delegarea domeniilor vs. Găzduire DNS: Înțelegerea diferenței

Aceste două concepte sunt strâns legate, dar distincte:

Poți înregistra un domeniu cu un furnizor și să-l deleghezi la servere de nume operate de un furnizor complet diferit. Aceasta este extrem de obișnuită — de exemplu, înregistrarea unui domeniu cu un registrar ieftin, dar găzduirea DNS cu un furnizor care oferă performanță superioară sau caracteristici avansate.

Pentru întreprinderile care au nevoie de e-mail profesional alături de prezența lor web, Găzduire e-mail de la AlexHost se integrează perfect cu configurația DNS, asigurând configurarea corectă a înregistrării MX și livrarea fiabilă a mesajelor.

Scenarii comune de delegare a domeniilor

Scenariul 1: Mutarea unui domeniu la un nou furnizor de găzduire

Când migrezi de la o gazdă la alta, actualizezi înregistrările NS la registrarul tău pentru a indica către serverele de nume ale noului furnizor. Serverele DNS ale noului furnizor devin apoi autorizate pentru domeniul tău.

Sfat cheie: Configurează toate înregistrările DNS pe noile servere de nume *înainte* de a schimba înregistrările NS la registrar. Aceasta minimizează downtime-ul în timpul tranziției.

Scenariul 2: Delegarea unui subdomeniu către o platformă SaaS

Multe platforme SaaS (de ex., platforme de comerț electronic, furnizori CDN) necesită să deleghezi un subdomeniu la serverele lor de nume. De exemplu, delegarea shop.yourdomain.com către o platformă de comerț electronic găzduită, în timp ce păstrezi www.yourdomain.com pe găzduirea ta principală.

Scenariul 3: Împărțirea infrastructurii pe mai mulți furnizori

Organizațiile mari deleghează adesea subdomenii diferite către furnizori de infrastructură diferiți:

• api.example.com → Furnizor cloud A
• cdn.example.com → Furnizor CDN B
• mail.example.com → Infrastructură de e-mail dedicată

Această arhitectură necesită gestionare atentă a DNS, dar permite alegeri de infrastructură de cea mai bună clasă. Un Server dedicat poate servi ca ancoră fiabilă pentru zona DNS primară, în timp ce subdomenii sunt delegate către furnizori specializați.

Scenariul 4: Delegare DNS internă

În mediile de întreprindere, domeniile interne (de ex., corp.internal) sunt adesea delegate la servere DNS interne care nu sunt accesibile public. Aceasta permite organizațiilor să gestioneze resursele interne (site-uri intranet, API-uri interne, imprimante) prin aceeași infrastructură DNS ca și domeniile lor publice.

Considerații de securitate în delegarea domeniilor

Delegarea domeniilor introduce mai multe riscuri de securitate pe care administratorii trebuie să le atenueze în mod activ.

DNSSEC (DNS Security Extensions)

DNSSEC adaugă semnături criptografice la înregistrările DNS, permițând rezolvatorilor să verifice că răspunsurile sunt autentice și nu au fost modificate. Când deleghezi un domeniu, DNSSEC necesită:

1. Semnarea zonei copil cu o Zone Signing Key (ZSK) și Key Signing Key (KSK)
2. Adăugarea înregistrărilor DS (Delegation Signer) la zona părinte
3. Stabilirea unui lanț de încredere de la rădăcină la zona ta

DNSSEC este puternic recomandat pentru orice domeniu care gestionează date sensibile sau tranzacții financiare. Asociază DNSSEC cu un Certificat SSL pentru a oferi atât securitate la nivel DNS, cât și la nivel de transport pentru domeniul tău.

Preluarea subdomeniu

Preluarea subdomeniu apare când înregistrările DNS ale unui subdomeniu indică către o resursă (de ex., un serviciu cloud, punct final CDN) care nu mai există, permițând unui atacator să revendice acea resursă și să servească conținut rău intenționat sub domeniul tău.

Prevenție:

• Auditează înregistrările DNS în mod regulat și elimină delegările vechi
• Monitorizează resursele nereclamate asociate subdomenii tale
• Folosește instrumente de monitorizare DNS care alertează asupra modificărilor neașteptate

Securitatea contului registrar

Deoarece delegarea domeniilor este controlată la nivelul registrarului, contul tău de registrar este o țintă de valoare ridicată. Protejează-l cu:

• Parole puternice și unice
• Autentificare cu doi factori (2FA)
• Blocare registrar (numită și blocare domeniu sau blocare transfer) pentru a preveni transferurile neautorizate

Otrăvire cache DNS

Atacurile de otrăvire cache încearcă să injecteze înregistrări DNS frauduloase în cache-urile rezolvatorilor, redirecționând utilizatorii către site-uri rău intenționate. DNSSEC este apărarea primară împotriva acestui vector de atac.

Cele mai bune practici pentru delegarea domeniilor

Aplicarea acestor cele mai bune practici va ține infrastructura DNS sigură, fiabilă și ușor de întreținut.

✅ Folosește mai multe servere de nume

Configurează întotdeauna cel puțin două servere de nume pentru redundanță. În mod ideal, ar trebui să fie distribuite geografic și operate pe infrastructură de rețea separată pentru a elimina punctele unice de eșec.

✅ Setează valori TTL corespunzătoare

• TTL ridicat (86400 secunde / 24 ore): Reduce încărcarea interogărilor DNS și îmbunătățește performanța. Folosește pentru înregistrări stabile.
• TTL scăzut (300–900 secunde): Permite propagarea mai rapidă a modificărilor. Folosește temporar înainte de migrări planificate.

✅ Documentează toate modificările DNS

Mențin un jurnal de modificări pentru fiecare modificare DNS, inclusiv:

• Ce a fost schimbat
• De ce a fost schimbat
• Când a fost schimbat
• Cine a făcut schimbarea

Această documentație este neprețuită în timpul răspunsului la incidente și auditurilor.

✅ Monitorizează starea DNS în mod continuu

Implementează monitorizare care te alertează asupra:

• Modificări neașteptate ale înregistrării NS
• Eșecuri de rezolvare DNS
• Modele de interogare neobișnuite (potențial DDoS sau recunoaștere)
• Expirarea certificatului (relevant pentru DNSSEC și SSL)

✅ Testează înainte de propagare

Folosește dig sau nslookup pentru a interoga direct noile servere de nume înainte de a actualiza înregistrările NS la registrar. Aceasta confirmă că zona este corect configurată înainte ca delegarea să devină live.

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ Implementează DNSSEC

Activează DNSSEC pe toate domeniile publice, mai ales pe cele care gestionează autentificare, plăți sau date sensibile ale utilizatorilor.

✅ Auditează delegările periodic

Revizuiește toate delegările NS trimestrial. Elimină delegările pentru subdomenii dezafectate și verifică că delegările active indică în continuare către servere de nume corecte și operaționale.

Depanarea problemelor comune de delegare a domeniilor

Problemă: DNS nu se rezolvă după schimbarea delegării

Cauză: Valorile TTL vechi care determină răspunsurile în cache să persiste.

Soluție: Așteaptă ca TTL-ul anterior să expire. În viitor, scade valorile TTL înainte de a face modificări.

Problemă: Dependență circulară / Înregistrare Glue lipsă

Cauză: Serverele de nume sunt subdomenii ale domeniului delegat, dar înregistrările Glue nu au fost adăugate.

Soluție: Contactează registrarul tău și solicită înregistrări Glue pentru adresele IP ale serverului de nume.

Problemă: Rezolvare parțială (funcționează în unele locații, nu în altele)

Cauză: Propagarea DNS este încă în curs, sau unii rezolvatori stochează în cache înregistrări vechi.

Soluție: Așteaptă propagarea completă (până la 48 de ore). Folosește dnschecker.org pentru a monitoriza starea propagării globale.

Problemă: E-mailul se oprește după delegare

Cauză: Înregistrările MX nu sunt configurate în zona nouă