Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
DNS 
ДоменыДелегирование доменов объяснено: Полное руководство по DNS Authority и управлению поддоменами
Независимо от того, запускаете ли вы новый веб-сайт, масштабируете сложную инфраструктуру или просто пытаетесь понять, как интернет разрешает доменные имена, делегирование домена — это концепция, которую вы не можете позволить себе упустить. Она находится в самом центре системы доменных имен (DNS) и определяет, как распределяется полномочия над доменными именами по всему интернету.
Это руководство разбирает все, что вам нужно знать о делегировании домена — что это такое, как это работает, его ключевые компоненты и лучшие практики, которые поддерживают вашу DNS-инфраструктуру надежной и производительной.
Что такое делегирование домена?
Делегирование домена — это процесс передачи авторитетного контроля над конкретным доменом или поддоменом назначенному набору серверов имен. На практике это означает сообщить интернету: *«Для вопросов об этом домене или поддомене спросите эти серверы имен — они отвечают.»*
Когда выполняется DNS-запрос для домена, распознаватели следуют цепочке полномочий. Делегирование домена определяет эту цепочку. Без него система DNS — которая обрабатывает миллиарды запросов каждый день — не имела бы структурированного способа распределения ответственности между миллионами доменов.
Делегирование домена — это не просто техническая формальность. Это напрямую влияет на:
- Доступность веб-сайта — неправильное делегирование приводит к сбоям разрешения DNS
- Доставляемость электронной почты — записи MX должны быть доступны через правильно делегированные серверы имен
- Безопасность — неправильно настроенное делегирование может подвергнуть домены захвату или подделке
- Производительность — хорошо структурированное делегирование снижает задержку поиска DNS
Если вы регистрируете новый домен и вам нужна надежная основа для начала, регистрация домена с AlexHost дает вам полный контроль над вашими DNS-параметрами с первого дня.
Ключевые компоненты делегирования домена
Понимание делегирования домена требует знакомства с его основными строительными блоками. Каждый компонент играет определенную роль в иерархии DNS.
1. Родительский домен
Родительский домен — это домен, который находится выше делегированного домена в иерархии DNS. Он содержит записи NS (Name Server), которые направляют распознаватели к авторитетным серверам имен для дочернего домена.
Пример: Если вы делегируете sub.example.com, родительский домен — это example.com. Зона DNS для example.com содержит записи NS, которые делегируют полномочия для sub.example.com другому набору серверов имен.
В верхней части иерархии находятся корневые серверы имен, которые делегируют полномочия реестрам доменов верхнего уровня (TLD) (таким как .com, .net или .org). Эти реестры TLD, в свою очередь, делегируют полномочия серверам имен вашего регистратора доменов.
2. Дочерний домен
Дочерний домен — это домен или поддомен, который делегируется — сущность, получающая полномочия. В приведенном выше примере sub.example.com — это дочерний домен.
Дочерние домены могут быть:
- Поддомены (например,
api.example.com,mail.example.com,shop.example.com) - Полные домены второго уровня (например,
example.comделегированы из реестра TLD.com)
3. Записи NS (записи серверов имен)
Записи NS — это фундаментальный механизм делегирования. Они указывают, какие серверы имен являются авторитетными для данного домена или поддомена. Когда DNS-распознаватель встречает запись NS во время поиска, он знает, что должен запросить эти серверы имен для получения дополнительной информации.
; NS records in the example.com zone delegating sub.example.com
sub.example.com. IN NS ns1.childnameserver.com.
sub.example.com. IN NS ns2.childnameserver.com.Лучшая практика предполагает наличие как минимум двух записей NS (первичной и вторичной) для обеспечения избыточности. Если один сервер имен становится недоступным, другой продолжает обслуживать DNS-ответы.
4. Записи Glue
Записи Glue — это специальный тип DNS-записи, который решает проблему циклической зависимости. Рассмотрим этот сценарий:
- Вы хотите делегировать
sub.example.comнаns1.sub.example.com - Но чтобы найти
ns1.sub.example.com, распознаватель должен сначала запроситьsub.example.com - Это создает бесконечный цикл
Записи Glue решают эту проблему, включая IP-адрес сервера имен непосредственно в родительскую зону, обходя циклический поиск.
; Glue records in the example.com zone
ns1.sub.example.com. IN A 203.0.113.10
ns2.sub.example.com. IN A 203.0.113.11Записи Glue обязательны, когда серверы имен для дочернего домена сами являются поддоменами этого дочернего домена. Они хранятся на уровне регистратора доменов и обслуживаются реестром TLD.
5. Запись SOA (Start of Authority)
Каждая делегированная зона должна иметь запись SOA, которая определяет административную информацию о зоне, включая:
- Первичный сервер имен
- Адрес электронной почты ответственного лица
- Серийный номер (используется для управления версиями передачи зоны)
- Значения обновления, повтора, истечения и минимального TTL
Запись SOA сигнализирует о том, что зона правильно настроена и авторитетна.
Как работает делегирование домена: пошаговое разрешение DNS
Когда пользователь вводит sub.example.com в свой браузер, за кулисами разворачивается сложный процесс разрешения. Вот что происходит:
Шаг 1: Запрос рекурсивного распознавателя
Устройство пользователя отправляет DNS-запрос на рекурсивный распознаватель — обычно управляемый их интернет-провайдером или поставщиком публичного DNS, таким как Google (8.8.8.8) или Cloudflare (1.1.1.1). Задача распознавателя — найти ответ, запросив иерархию DNS.
Шаг 2: Поиск корневого сервера имен
Если распознаватель не имеет ответа в кэше, он запрашивает один из 13 кластеров корневых серверов имен. Корневые серверы не знают IP-адрес sub.example.com, но они знают, какие серверы имен являются авторитетными для TLD .com.
Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]Шаг 3: Поиск сервера имен TLD
Распознаватель запрашивает серверы имен TLD .com. Эти серверы знают, какие серверы имен являются авторитетными для example.com (как зарегистрировано через ваш регистратор доменов).
TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.Шаг 4: Поиск сервера имен родительского домена
Распознаватель запрашивает ns1.registrar.com (авторитетный сервер имен для example.com). Этот сервер содержит записи NS для делегирования sub.example.com.
Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.Шаг 5: Поиск сервера имен дочернего домена
Распознаватель теперь запрашивает ns1.childnameserver.com — авторитетный сервер имен для sub.example.com. Этот сервер возвращает фактические запрашиваемые DNS-записи, такие как запись A (IP-адрес) или запись MX (почтовый сервер).
Child Name Server Response:
sub.example.com. IN A 198.51.100.42Шаг 6: Ответ доставлен
Рекурсивный распознаватель возвращает IP-адрес браузеру пользователя, который затем устанавливает соединение с веб-сервером по этому адресу. Весь процесс обычно завершается за миллисекунды.
Каждый шаг в этой цепочке представляет делегирование полномочий — от корня к TLD к регистратору к серверам имен вашего хостинг-провайдера.
Как делегировать домен или поддомен: практические шаги
Независимо от того, делегируете ли вы весь домен новому хостинг-провайдеру или отделяете поддомен в отдельную зону DNS, процесс следует последовательной схеме.
Шаг 1: Определите целевые серверы имен
Определите, какие серверы имен будут авторитетными для дочернего домена. Обычно это предоставляется:
- Вашим хостинг-провайдером (например,
ns1.alexhost.com,ns2.alexhost.com) - Выделенной службой управления DNS
- Вашей собственной самостоятельно размещенной DNS-инфраструктурой
Если вы управляете собственными серверами и вам нужен полный контроль над вашей DNS-средой, VPS-хостинг от AlexHost обеспечивает корневой доступ и надежность сети, необходимые для управления авторитетными серверами имен.
Шаг 2: Добавьте записи NS в родительскую зону
Войдите в панель управления вашего регистратора доменов и перейдите в раздел управления DNS для родительского домена. Добавьте записи NS, указывающие на делегированные серверы имен.
Пример — делегирование shop.example.com в отдельную среду хостинга:
shop.example.com. 3600 IN NS ns1.shophosting.com.
shop.example.com. 3600 IN NS ns2.shophosting.com.Важно: установите разумное значение TTL (Time to Live). TTL 3600 секунд (1 час) является обычным. Более низкие значения TTL позволяют быстрее распространять изменения, но увеличивают нагрузку на DNS-запросы.
Шаг 3: Добавьте записи Glue, если необходимо
Если серверы имен вашего дочернего домена сами являются поддоменами дочернего домена, свяжитесь с вашим регистратором для добавления записей Glue. Это делается на уровне регистратора, а не в файле зоны DNS.
Шаг 4: Настройте дочернюю зону
На делегированных серверах имен создайте зону DNS для дочернего домена и добавьте все необходимые записи:
; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600
@ IN SOA ns1.shophosting.com. admin.example.com. (
2024010101 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
300 ) ; Minimum TTL
@ IN NS ns1.shophosting.com.
@ IN NS ns2.shophosting.com.
@ IN A 198.51.100.42
www IN A 198.51.100.42
@ IN MX 10 mail.shophosting.com.Шаг 5: Проверьте распространение
Изменения DNS могут распространяться от нескольких минут до 48 часов по всему миру, в зависимости от значений TTL и поведения кэширования. Используйте инструменты, такие как:
dig(Linux/macOS):dig NS shop.example.com @8.8.8.8nslookup(Windows):nslookup -type=NS shop.example.com- Онлайн-инструменты: dnschecker.org или whatsmydns.net
Делегирование домена и DNS-хостинг: понимание разницы
Эти два понятия тесно связаны, но различны:
| Концепция | Определение |
|---|---|
| Регистрация домена | Резервирование доменного имени через регистратора |
| DNS-хостинг | Предоставление серверов имен, которые отвечают на DNS-запросы |
| Делегирование домена | Указание домена или поддомена на конкретные серверы имен |
Вы можете зарегистрировать домен у одного провайдера и делегировать его серверам имен, управляемым совершенно другим провайдером. Это очень распространено — например, регистрация домена у бюджетного регистратора, но размещение DNS у провайдера, который предлагает превосходную производительность или расширенные функции.
Для бизнеса, которому нужна профессиональная электронная почта наряду с веб-присутствием, хостинг электронной почты от AlexHost легко интегрируется с вашей конфигурацией DNS, обеспечивая правильную настройку записей MX и надежную доставку почты.
Распространенные сценарии делегирования домена
Сценарий 1: перемещение домена к новому хостинг-провайдеру
При миграции с одного хоста на другой вы обновляете записи NS у вашего регистратора, чтобы они указывали на серверы имен нового провайдера. Серверы DNS нового провайдера становятся авторитетными для вашего домена.
Ключевый совет: настройте все DNS-записи на новых серверах имен *перед* изменением записей NS у регистратора. Это минимизирует простой во время перехода.
Сценарий 2: делегирование поддомена платформе SaaS
Многие платформы SaaS (например, платформы электронной коммерции, провайдеры CDN) требуют делегирования поддомена их серверам имен. Например, делегирование shop.yourdomain.com размещенной платформе электронной коммерции, сохраняя при этом www.yourdomain.com на вашем основном хостинге.
Сценарий 3: разделение инфраструктуры между несколькими провайдерами
Крупные организации часто делегируют различные поддомены разным провайдерам инфраструктуры:
api.example.com→ Облачный провайдер Acdn.example.com→ Провайдер CDN Bmail.example.com→ Выделенная инфраструктура электронной почты
Эта архитектура требует тщательного управления DNS, но позволяет выбирать лучшую инфраструктуру. Выделенный сервер может служить надежной основой для вашей основной зоны DNS, в то время как поддомены делегируются специализированным провайдерам.
Сценарий 4: внутреннее делегирование DNS
В корпоративных средах внутренние домены (например, corp.internal) часто делегируются внутренним DNS-серверам, которые не являются общедоступными. Это позволяет организациям управлять внутренними ресурсами (сайты интранета, внутренние API, принтеры) через ту же DNS-инфраструктуру, что и их публичные домены.
Соображения безопасности при делегировании домена
Делегирование домена вводит несколько рисков безопасности, которые администраторы должны активно смягчать.
DNSSEC (расширения безопасности DNS)
DNSSEC добавляет криптографические подписи к DNS-записям, позволяя распознавателям проверять, что ответы являются подлинными и не были подделаны. При делегировании домена DNSSEC требует:
- Подписания дочерней зоны с помощью ключа подписания зоны (ZSK) и ключа подписания ключа (KSK)
- Добавления записей DS (Delegation Signer) в родительскую зону
- Установления цепочки доверия от корня к вашей зоне
DNSSEC настоятельно рекомендуется для любого домена, обрабатывающего конфиденциальные данные или финансовые операции. Сочетайте DNSSEC с SSL-сертификатом для обеспечения безопасности как на уровне DNS, так и на уровне транспорта для вашего домена.
Захват поддомена
Захват поддомена происходит, когда DNS-записи поддомена указывают на ресурс (например, облачный сервис, конечную точку CDN), который больше не существует, позволяя злоумышленнику претендовать на этот ресурс и обслуживать вредоносный контент под вашим доменом.
Профилактика:
- Регулярно проверяйте DNS-записи и удаляйте устаревшие делегирования
- Мониторьте необработанные ресурсы, связанные с вашими поддоменами
- Используйте инструменты мониторинга DNS, которые предупреждают об неожиданных изменениях
Безопасность учетной записи регистратора
Поскольку делегирование домена контролируется на уровне регистратора, ваша учетная запись регистратора является высокоценной целью. Защитите ее с помощью:
- Надежные, уникальные пароли
- Двухфакторная аутентификация (2FA)
- Блокировка регистратора (также называемая блокировкой домена или блокировкой передачи) для предотвращения несанкционированных передач
Отравление кэша DNS
Атаки отравления кэша пытаются внедрить поддельные DNS-записи в кэши распознавателей, перенаправляя пользователей на вредоносные сайты. DNSSEC — это основная защита от этого вектора атаки.
Лучшие практики делегирования домена
Применение этих лучших практик поддержит вашу DNS-инфраструктуру безопасной, надежной и поддерживаемой.
✅ Используйте несколько серверов имен
Всегда настраивайте как минимум два сервера имен для избыточности. В идеале они должны быть географически распределены и управляться на отдельной сетевой инфраструктуре, чтобы исключить единые точки отказа.
✅ Установите подходящие значения TTL
- Высокий TTL (86400 секунд / 24 часа): снижает нагрузку на DNS-запросы и улучшает производительность. Используйте для стабильных записей.
- Низкий TTL (300–900 секунд): позволяет быстрее распространять изменения. Используйте временно перед запланированными миграциями.
✅ Документируйте все изменения DNS
Ведите журнал изменений для каждого изменения DNS, включая:
- Что было изменено
- Почему это было изменено
- Когда это было изменено
- Кто сделал изменение
Эта документация неоценима при реагировании на инциденты и проведении аудитов.