15%

全场主机优惠15%

测试技能,享折扣

使用代码:

Skills
开始使用
01.11.2024
2 +1
Category icon域名 Category icon域名系统

域名委派解释:DNS权限和子域管理完整指南

无论您是在启动新网站、扩展复杂基础设施,还是只是想了解互联网如何解析域名,域名委派是一个您不能忽视的概念。它位于域名系统 (DNS) 的核心,决定了域名权限如何在互联网上分布。

本指南详细介绍了您需要了解的有关域名委派的所有内容——它是什么、如何工作、其关键组件以及保持 DNS 基础设施可靠和高效的最佳实践。

什么是域名委派?

域名委派是将特定域名或子域名的权威控制权转移到指定名称服务器集合的过程。实际上,它意味着告诉互联网:”关于此域名或子域名的问题,请询问这些名称服务器——它们负责。”

当进行域名 DNS 查询时,解析器遵循权限链。域名委派定义了该链。没有它,每天处理数十亿查询的 DNS 系统就没有结构化的方式来分配数百万个域名的责任。

域名委派不仅仅是技术形式。它直接影响:

  • 网站可用性——不正确的委派导致 DNS 解析失败
  • 电子邮件可交付性——MX 记录必须通过正确委派的名称服务器可达
  • 安全性——配置错误的委派可能导致域名被劫持或欺骗
  • 性能——结构良好的委派可减少 DNS 查询延迟

如果您正在注册新域名并需要可靠的基础,AlexHost 的域名注册从第一天起就为您提供对 DNS 设置的完全控制。

域名委派的关键组件

理解域名委派需要熟悉其核心构建块。每个组件在 DNS 层次结构中都扮演特定角色。

1. 父域名

父域名是在 DNS 层次结构中位于被委派域名之上的域名。它保存 NS(名称服务器)记录,这些记录指向子域名的权威名称服务器。

示例:如果您正在委派 sub.example.com,父域名是 example.comexample.com 的 DNS 区域包含将 sub.example.com 的权限委派给不同名称服务器集合的 NS 记录。

在层次结构的顶部是根名称服务器,它们将权限委派给顶级域名 (TLD) 注册表(例如 .com.net.org)。这些 TLD 注册表反过来将权限委派给您的域名注册商的名称服务器。

2. 子域名

子域名是被委派的域名或子域名——接收权限的实体。在上面的示例中,sub.example.com 是子域名。

子域名可以是:

  • 子域(例如 api.example.commail.example.comshop.example.com
  • 整个二级域名(例如 example.com.com TLD 注册表委派)

3. NS 记录(名称服务器记录)

NS 记录是委派的基本机制。它们指定哪些名称服务器对给定域名或子域名具有权威性。当 DNS 解析器在查询期间遇到 NS 记录时,它知道要查询这些名称服务器以获取进一步信息。

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

最佳实践规定至少有两个 NS 记录(主服务器和辅助服务器)以确保冗余。如果一个名称服务器变得不可用,另一个继续提供 DNS 响应。

4. 粘合记录

粘合记录是一种特殊的 DNS 记录类型,可以解决常见的循环依赖问题。考虑这种情况:

  • 您想将 sub.example.com 委派给 ns1.sub.example.com
  • 但要找到 ns1.sub.example.com,解析器必须首先查询 sub.example.com
  • 这会创建一个无限循环

粘合记录通过直接在父区域中包含名称服务器的 IP 地址来解决这个问题,绕过循环查询。

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

当子域名的名称服务器本身是该子域名的子域名时,粘合记录是必需的。它们存储在域名注册商级别,由 TLD 注册表提供。

5. SOA 记录(权限起点)

每个委派的区域都应该有一个SOA 记录,定义有关该区域的管理信息,包括:

  • 主名称服务器
  • 负责方的电子邮件地址
  • 序列号(用于区域传输版本控制)
  • 刷新、重试、过期和最小 TTL 值

SOA 记录表示区域已正确配置且具有权威性。

域名委派如何工作:分步 DNS 解析

当用户在浏览器中输入 sub.example.com 时,幕后会发生复杂的解析过程。以下是确切发生的情况:

步骤 1:递归解析器查询

用户的设备向递归解析器发送 DNS 查询——通常由其 ISP 或公共 DNS 提供商(如 Google (8.8.8.8) 或 Cloudflare (1.1.1.1))运营。解析器的工作是通过查询 DNS 层次结构来找到答案。

步骤 2:根名称服务器查询

如果解析器没有缓存答案,它会查询13 个根名称服务器集群之一。根服务器不知道 sub.example.com 的 IP 地址,但它们知道哪些名称服务器对 .com TLD 具有权威性。

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

步骤 3:TLD 名称服务器查询

解析器查询 .com TLD 名称服务器。这些服务器知道哪些名称服务器对 example.com 具有权威性(如通过您的域名注册商注册的)。

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

步骤 4:父域名名称服务器查询

解析器查询 ns1.registrar.comexample.com 的权威名称服务器)。此服务器保存 sub.example.com 委派的 NS 记录。

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

步骤 5:子域名名称服务器查询

解析器现在查询 ns1.childnameserver.com——sub.example.com 的权威名称服务器。此服务器返回请求的实际 DNS 记录,例如 A 记录(IP 地址)或 MX 记录(邮件服务器)。

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

步骤 6:响应已交付

递归解析器将 IP 地址返回给用户的浏览器,然后浏览器建立与该地址处的网络服务器的连接。整个过程通常在毫秒内完成。

此链中的每一步都代表权限的委派——从根到 TLD 到注册商再到您的托管提供商的名称服务器。

如何委派域名或子域名:实际步骤

无论您是将整个域名委派给新的托管提供商,还是将子域名分离到单独的 DNS 区域,该过程都遵循一致的模式。

步骤 1:确定目标名称服务器

确定哪些名称服务器将对子域名具有权威性。这通常由以下提供:

  • 您的托管提供商(例如 ns1.alexhost.comns2.alexhost.com
  • 专用 DNS 管理服务
  • 您自己的自托管 DNS 基础设施

如果您正在运行自己的服务器并需要对 DNS 环境的完全控制,AlexHost 的 VPS 托管提供运营权威名称服务器所需的根访问权限和网络可靠性。

步骤 2:在父区域中添加 NS 记录

登录您的域名注册商的控制面板,并导航到父域名的 DNS 管理部分。添加指向委派名称服务器的 NS 记录。

示例——将 shop.example.com 委派给单独的托管环境:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

重要:设置合理的 TTL(生存时间)。TTL 为 3600 秒(1 小时)很常见。较低的 TTL 允许更快地传播更改,但会增加 DNS 查询负载。

步骤 3:如有必要,添加粘合记录

如果您的子域名的名称服务器是子域名本身的子域名,请联系您的注册商以添加粘合记录。这是在注册商级别完成的,而不是在您的 DNS 区域文件中。

步骤 4:配置子区域

在委派的名称服务器上,为子域名创建 DNS 区域并添加所有必要的记录:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

步骤 5:验证传播

DNS 更改可能需要几分钟到 48 小时才能全球传播,具体取决于 TTL 值和缓存行为。使用以下工具:

  • dig(Linux/macOS):dig NS shop.example.com @8.8.8.8
  • nslookup(Windows):nslookup -type=NS shop.example.com
  • 在线工具:dnschecker.org 或 whatsmydns.net

域名委派与 DNS 托管:理解区别

这两个概念密切相关但不同:

概念定义
域名注册通过注册商预留域名
DNS 托管提供回答 DNS 查询的名称服务器
域名委派将域名或子域名指向特定名称服务器

您可以向一个提供商注册域名,并将其委派给完全不同的提供商运营的名称服务器。这非常普遍——例如,向预算注册商注册域名,但向提供卓越性能或高级功能的提供商托管 DNS。

对于需要专业电子邮件和网络存在的企业,AlexHost 的电子邮件托管与您的 DNS 配置无缝集成,确保正确的 MX 记录设置和可靠的邮件传递。

常见域名委派场景

场景 1:将域名移至新的托管提供商

迁移到新主机时,您在注册商处更新 NS 记录以指向新提供商的名称服务器。新提供商的 DNS 服务器随后成为您域名的权威服务器。

关键提示:在注册商处更改 NS 记录之前,在新名称服务器上配置所有 DNS 记录。这可最大限度地减少过渡期间的停机时间。

场景 2:将子域名委派给 SaaS 平台

许多 SaaS 平台(例如电子商务平台、CDN 提供商)要求您将子域名委派给其名称服务器。例如,将 shop.yourdomain.com 委派给托管电子商务平台,同时将 www.yourdomain.com 保留在您的主托管上。

场景 3:跨多个提供商分割基础设施

大型组织通常将不同的子域名委派给不同的基础设施提供商:

  • api.example.com → 云提供商 A
  • cdn.example.com → CDN 提供商 B
  • mail.example.com → 专用电子邮件基础设施

此架构需要仔细的 DNS 管理,但可以实现最佳的基础设施选择。专用服务器可以作为您主 DNS 区域的可靠锚点,而子域名被委派给专业提供商。

场景 4:内部 DNS 委派

在企业环境中,内部域名(例如 corp.internal)通常被委派给不可公开访问的内部 DNS 服务器。这允许组织通过与其公共域名相同的 DNS 基础设施来管理内部资源(内部网站、内部 API、打印机)。

域名委派中的安全考虑

域名委派引入了管理员必须主动缓解的几个安全风险。

DNSSEC(DNS 安全扩展)

DNSSEC 向 DNS 记录添加加密签名,允许解析器验证响应是真实的且未被篡改。委派域名时,DNSSEC 需要:

  1. 使用区域签名密钥 (ZSK) 和密钥签名密钥 (KSK) 对子区域进行签名
  2. 向父区域添加DS(委派签名者)记录
  3. 建立从根到您的区域的信任链

对于处理敏感数据或财务交易的任何域名,强烈建议使用 DNSSEC。将 DNSSEC 与SSL 证书配对,为您的域名提供 DNS 级别和传输级别的安全性。

子域名接管

子域名接管发生在子域名的 DNS 记录指向不再存在的资源(例如云服务、CDN 端点)时,允许攻击者声称该资源并在您的域名下提供恶意内容。

预防:

  • 定期审计 DNS 记录并删除陈旧的委派
  • 监控与您的子域名关联的未声明资源
  • 使用 DNS 监控工具,在发生意外更改时发出警报

注册商账户安全

由于域名委派在注册商级别控制,您的注册商账户是高价值目标。使用以下方式保护它:

  • 强大、唯一的密码
  • 双因素身份验证 (2FA)
  • 注册商锁定(也称为域名锁定或转移锁定)以防止未授权转移

DNS 缓存中毒

缓存中毒攻击试图将虚假 DNS 记录注入解析器的缓存中,将用户重定向到恶意网站。DNSSEC 是针对此攻击向量的主要防御。

域名委派的最佳实践

应用这些最佳实践将保持您的 DNS 基础设施安全、可靠和可维护。

✅ 使用多个名称服务器

始终为冗余配置至少两个名称服务器。理想情况下,它们应该在地理上分布,并在单独的网络基础设施上运营,以消除单点故障。

✅ 设置适当的 TTL 值

  • 高 TTL(86400 秒 / 24 小时):减少 DNS 查询负载并提高性能。用于稳定的记录。
  • 低 TTL(300–900 秒):允许更快地传播更改。在计划迁移前临时使用。

✅ 记录所有 DNS 更改

为每个 DNS 修改维护更改日志,包括:

  • 更改了什么
  • 为什么进行更改
  • 何时进行更改
  • 谁进行了更改

此文档在事件响应和审计期间非常宝贵。

✅ 持续监控 DNS 健康

实施监控以提醒您:

  • 意外的 NS 记录更改
  • DNS 解析失败
  • 异常查询模式(可能的 DDoS 或侦察)
  • 证书过期(与 DNSSEC 和 SSL 相关)

✅ 在传播前测试

使用 dignslookup 在注册商处更新 NS 记录之前直接查询您的新名称服务器。这在委派上线前确认区域配置正确。

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ 实施 DNSSEC

在所有面向公众的域名上启用 DNSSEC,特别是那些处理身份验证、支付或敏感用户数据的域名。

✅ 定期审计委派

每季度审查所有 NS 委派。删除已停用子域名的委派,并验证活跃委派仍指向正确的、可运行的名称服务器。

排查常见域名委派问题

问题:委派更改后 DNS 无法解析

原因:旧 TTL 值导致缓存的响应持续存在。

解决方案:等待之前的 TTL 过期。将来,在进行更改前降低 TTL 值。

问题:循环依赖 / 粘合记录缺失

原因:名称服务器是委派域名的子域名,但未添加粘合记录。

解决方案:联系您的注册商并请求名称服务器 IP 地址的粘合记录。

问题:部分解析(在某些位置有效,在其他位置无效)

原因:DNS 传播仍在进行中,或某些解析器正在缓存旧记录。

解决方案:等待完全传播(最多 48 小时)。使用 dnschecker.org 监控全球传播状态。

问题:委派后电子邮件停止工作

原因:MX 记录未在新区域中配置,或新名称服务器尚未获得权威性。

解决方案:验证 MX 记录存在于子区域中。在停用旧 DNS 之前确认 NS 委派完成。

问题:DNSSEC 验证失败

原因:父区域中的 DS 记录与子区域中的 DNSKEY 记录不匹配,或密钥已轮换但未更新父区域

15%

全场主机优惠15%

测试技能,享折扣

使用代码:

Skills
开始使用
什么是电子邮件托管?它如何运作,为什么重要,以及何时需要它
什么是电子邮件托管?它如何运作,为什么重要,以及何时需要它

Table of Contents 从收件箱到身份:电子邮件托管的角色 关键词 电子邮件托管的真正含义及其区别 电子邮件托管的高层工作原理 为什么电子邮件托管在现实生活中很重要 信誉和品牌信任 可投递性和发件人声誉 安全性和控制 团队运作和增长 电子邮件托管与免费电子邮件、网络托管和域管理的区别 电子邮件托管的主要类型 与网络托管捆绑的电子邮件 专用托管的商业电子邮件套件 在VPS或专用基础设施上自托管电子邮件 谁真正需要电子邮件托管——以及何时可能过于复杂 在电子邮件托管服务中寻找什么...