Назад | Перейти на главную страницу

Мой регистратор облажался или так работает распространение серверов имен?

Таким образом, у моей компании есть несколько доменов с крупным регистратором, имя которого должно остаться неназванным. Мы вносим некоторые изменения в нашу инфраструктуру DNS, и первое из них - мы перемещаем наш вторичный DNS с одного сервера на сайте на четыре сервера за пределами сайта. Поэтому мы обновили серверы имен для каждого домена у регистратора, удалив запись для старого вторичного сервера имен и добавив четыре новых. Я следил за запросами на старом вторичном сервере и, когда увидел, что новых запросов не поступало в течение 24 часов, выключил его. Это было сегодня утром. Я предположил, что на этом этапе все было хорошо. К сожалению, это была моя ошибка. Я должен был пойти и убедиться, что серверы имен возвращают правильные записи NS.

Итак, сегодня днем ​​мы выполняли обслуживание нашего основного DNS-сервера и выключили его. Именно тогда я начал получать предупреждения от нашего внешнего мониторинга. Я проверил и убедился, что используемый там DNS-сервер сообщил, что единственная запись NS для нашего основного домена была основным сервером имен. Ни новых вторичных серверов, ни старых вторичных серверов не было.

Разве с моей стороны было неразумно предположить, что, поскольку обновление было

ns1.mydomain.com
ns2.mydomain.com

к

ns1.mydomain.com
ns1.backupdns.com
ns2.backupdns.com
ns3.backupdns.com
ns4.backupdns.com

за один шаг в регистраторе, что не должно быть промежуточного состояния, в котором единственная запись NS была для ns1.mydomain.com?

Очевидно, что в плане безопасности я всегда буду оставлять старые серверы имен в покое до тех пор, пока не буду на 100% уверен, что новые будут распространены, и только после этого удаляю старые серверы имен из регистратора. Однако мне все равно хотелось бы знать, облажался ли мой регистратор или мои ожидания были необоснованными.

Разве с моей стороны было неразумно предположить, что, поскольку обновление было от <... обрезано ...>

ДА.

Вообще говоря, для вас неразумно делать ЛЮБОЙ предположение о ЛЮБОЙ изменение осуществляется через программное обеспечение панели управления (кроме стандартного предположения, что это как-то облажается).
Это включает в себя интерфейсы управления регистратором DNS (которые обычно довольно ужасны на сервере).

Внесенные вами изменения, вероятно, обрабатывались как две отдельные транзакции (одна удаляла старый сервер, другая добавляла новые), и кто-то получил вашу информацию DNS после первой транзакции, но до второй.


Тебя здесь укусили, потому что ты вроде как Сделал это неправильно - хотя так, как многие из нас делают.
В будущем безопасный рабочий процесс при выводе из эксплуатации DNS-серверов / их замене на новые:

  1. Создайте и разверните свои новые DNS-серверы. Убедитесь, что они работают правильно.
  2. Добавьте новые DNS-серверы в список серверов имен регистратора.
  3. Подождите (до тех пор, пока изменение не будет обнаружено в Интернете).
    TTL-зависимый, но обычно 24-48 часов - хорошее правило.
    • На этом этапе вы должны начать видеть запросы на новых серверах.
  4. Удалите старый DNS-сервер из списка серверов имен регистратора.
  5. Подождите снова (пока изменение не будет обнаружено в Интернете)
    Вы должны перестать видеть запросы, отправляемые на списанный сервер.
    Как и в (3), 24-48 часов - хорошее правило.
  6. Отключите старый сервер и утилизируйте его в соответствии с политиками вашей компании.

Этот рабочий процесс гарантирует, что в худшем случае у кого-то будет в списке дополнительный (хромой) NS, потому что он использует информацию «Шаг 2», но они будут всегда есть все ваши новые вторичные, поэтому они должны всегда иметь возможность найти хотя бы один рабочий сервер имен для вашего домена.

Вы объединили шаги 2, 3, 4 и 5 в один шаг, и на заднем конце удаление (4) произошло до добавления (2).
Скорее всего, это никогда не вызвало бы проблемы, если бы ваше обслуживание не было выполнено до того, как все поймут «добавочную» часть изменений. Это классический крайний случай, и вы на него приземлились.

Теперь вы знаете, а знание - это 7/16 битвы.