Сэкономьте 15% на всех хостинговых услугах

Проверьте свои навыки и получите скидку на любой тарифный план

Используйте код: Skills Начать
Рубрики
DNS Домены

Делегирование доменов объяснено: Полное руководство по DNS Authority и управлению поддоменами

Независимо от того, запускаете ли вы новый веб-сайт, масштабируете сложную инфраструктуру или просто пытаетесь понять, как интернет разрешает доменные имена, делегирование доменов — это концепция, которую вы не можете игнорировать. Оно находится в самом сердце системы доменных имен (DNS) и определяет, как полномочия над доменными именами распределяются по всему интернету.

Это руководство разбирает все, что вам нужно знать о делегировании доменов — что это такое, как это работает, его ключевые компоненты и лучшие практики, которые поддерживают вашу DNS-инфраструктуру надежной и производительной.

Что такое делегирование домена?

Делегирование домена — это процесс передачи авторитетного контроля над конкретным доменом или поддоменом назначенному набору серверов имён. На практике это означает сообщить интернету: *"Для вопросов об этом домене или поддомене обратитесь к этим серверам имён — они отвечают за это."*

Когда выполняется DNS-запрос для домена, резолверы следуют цепочке авторитета. Делегирование домена определяет эту цепочку. Без него система DNS — которая обрабатывает миллиарды запросов каждый день — не имела бы структурированного способа распределить ответственность между миллионами доменов.

Делегирование домена — это не просто техническая формальность. Оно напрямую влияет на:

  • Доступность веб-сайта — неправильное делегирование приводит к сбоям разрешения DNS
  • Доставляемость электронной почты — записи MX должны быть доступны через правильно делегированные серверы имён
  • Безопасность — неправильно настроенное делегирование может подвергнуть домены риску перехвата или подделки
  • Производительность — хорошо структурированное делегирование снижает задержку поиска DNS

Если вы регистрируете новый домен и вам нужна надёжная основа для работы, Регистрация доменов с AlexHost даёт вам полный контроль над вашими DNS-параметрами с первого дня.

Ключевые компоненты делегирования домена

Понимание делегирования домена требует знакомства с его основными строительными блоками. Каждый компонент играет определенную роль в иерархии DNS.

1. Родительский домен

Родительский домен — это домен, который находится выше делегируемого домена в иерархии DNS. Он содержит NS (Name Server) записи, которые указывают резолверам на авторитетные серверы имен для дочернего домена.

Пример: Если вы делегируете sub.example.com, родительский домен — это example.com. Зона DNS для example.com содержит NS записи, которые делегируют полномочия для sub.example.com другому набору серверов имен.

На вершине иерархии находятся корневые серверы имен, которые делегируют полномочия реестрам доменов верхнего уровня (TLD) (таким как .com, .net или .org). Эти реестры TLD, в свою очередь, делегируют полномочия серверам имен вашего регистратора доменов.

2. Дочерний домен

Дочерний домен — это домен или поддомен, который делегируется — сущность, получающая полномочия. В приведенном выше примере sub.example.com является дочерним доменом.

Дочерние домены могут быть:

  • Поддомены (например, api.example.com, mail.example.com, shop.example.com)
  • Полные домены второго уровня (например, example.com делегированные от реестра TLD .com)

3. NS записи (записи серверов имен)

NS записи — это фундаментальный механизм делегирования. Они указывают, какие серверы имен являются авторитетными для данного домена или поддомена. Когда резолвер DNS встречает NS запись во время поиска, он знает, что должен запросить эти серверы имен для получения дополнительной информации.

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

Лучшая практика предполагает наличие как минимум двух NS записей (первичной и вторичной) для обеспечения избыточности. Если один сервер имен становится недоступным, другой продолжает обслуживать DNS ответы.

4. Glue записи

Glue записи — это специальный тип DNS записи, который решает проблему циклической зависимости. Рассмотрите этот сценарий:

  • Вы хотите делегировать sub.example.com на ns1.sub.example.com
  • Но чтобы найти ns1.sub.example.com, резолвер должен сначала запросить sub.example.com
  • Это создает бесконечный цикл

Glue записи решают эту проблему, включая IP адрес сервера имен непосредственно в родительскую зону, минуя циклический поиск.

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

Glue записи обязательны, когда серверы имен для дочернего домена сами являются поддоменами этого дочернего домена. Они хранятся на уровне регистратора доменов и обслуживаются реестром TLD.

5. SOA запись (Start of Authority)

Каждая делегированная зона должна иметь SOA запись, которая определяет административную информацию о зоне, включая:

  • Первичный сервер имен
  • Адрес электронной почты ответственного лица
  • Серийный номер (используется для версионирования передачи зоны)
  • Значения обновления, повтора, истечения и минимального TTL

SOA запись сигнализирует, что зона правильно настроена и авторитетна.

Как работает делегирование доменов: пошаговое разрешение DNS

Когда пользователь вводит sub.example.com в свой браузер, за кулисами разворачивается сложный процесс разрешения. Вот что происходит:

Шаг 1: запрос рекурсивного распознавателя

Устройство пользователя отправляет DNS-запрос на рекурсивный распознаватель — обычно управляемый его поставщиком интернет-услуг или поставщиком публичного DNS, таким как Google (8.8.8.8) или Cloudflare (1.1.1.1). Задача распознавателя — найти ответ, запросив иерархию DNS.

Шаг 2: поиск корневого сервера имён

Если распознаватель не имеет ответа в кэше, он запрашивает один из 13 кластеров корневых серверов имён. Корневые серверы не знают IP-адрес sub.example.com, но они знают, какие серверы имён являются авторитетными для TLD .com.

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

Шаг 3: поиск сервера имён TLD

Распознаватель запрашивает серверы имён TLD .com. Эти серверы знают, какие серверы имён являются авторитетными для example.com (зарегистрированные через вашего регистратора доменов).

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

Шаг 4: поиск сервера имён родительского домена

Распознаватель запрашивает ns1.registrar.com (авторитетный сервер имён для example.com). Этот сервер содержит NS-записи для делегирования sub.example.com.

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

Шаг 5: поиск сервера имён дочернего домена

Распознаватель теперь запрашивает ns1.childnameserver.com — авторитетный сервер имён для sub.example.com. Этот сервер возвращает запрошенные DNS-записи, такие как A-запись (IP-адрес) или MX-запись (почтовый сервер).

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

Шаг 6: ответ доставлен

Рекурсивный распознаватель возвращает IP-адрес в браузер пользователя, который затем устанавливает соединение с веб-сервером по этому адресу. Весь процесс обычно завершается за миллисекунды.

Каждый шаг в этой цепи представляет делегирование полномочий — от корня к TLD к регистратору к серверам имён вашего хостинг-провайдера.

Как делегировать домен или поддомен: практические шаги

Независимо от того, делегируете ли вы весь домен новому хостинг-провайдеру или выделяете поддомен в отдельную DNS зону, процесс следует согласованной схеме.

Шаг 1: определите целевые серверы имен

Определите, какие серверы имен будут авторитетными для дочернего домена. Обычно это предоставляется:

  • Вашим хостинг-провайдером (например, ns1.alexhost.com, ns2.alexhost.com)
  • Выделенным сервисом управления DNS
  • Вашей собственной самостоятельно размещенной DNS инфраструктурой

Если вы управляете собственными серверами и вам нужен полный контроль над вашей DNS средой, VPS Hosting от AlexHost предоставляет корневой доступ и надежность сети, необходимые для работы авторитетных серверов имен.

Шаг 2: добавьте NS записи в родительскую зону

Войдите в панель управления вашего регистратора доменов и перейдите в раздел управления DNS для родительского домена. Добавьте NS записи, указывающие на делегированные серверы имен.

Пример — делегирование shop.example.com в отдельную среду хостинга:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

Важно: установите разумное значение TTL (Time to Live). TTL 3600 секунд (1 час) является стандартным. Более низкие значения TTL позволяют быстрее распространять изменения, но увеличивают нагрузку на DNS запросы.

Шаг 3: добавьте Glue записи при необходимости

Если серверы имен вашего дочернего домена являются поддоменами самого дочернего домена, свяжитесь с вашим регистратором для добавления glue записей. Это делается на уровне регистратора, а не в файле DNS зоны.

Шаг 4: настройте дочернюю зону

На делегированных серверах имен создайте DNS зону для дочернего домена и добавьте все необходимые записи:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

Шаг 5: проверьте распространение

Изменения DNS могут распространяться глобально от нескольких минут до 48 часов в зависимости от значений TTL и поведения кеширования. Используйте такие инструменты как:

  • dig (Linux/macOS): dig NS shop.example.com @8.8.8.8
  • nslookup (Windows): nslookup -type=NS shop.example.com
  • Онлайн инструменты: dnschecker.org или whatsmydns.net

Делегирование домена и DNS хостинг: понимание различий

Эти два понятия тесно связаны, но различны:

ПонятиеОпределение
Регистрация доменаРезервирование доменного имени через регистратора
DNS хостингПредоставление серверов имен, которые отвечают на DNS запросы
Делегирование доменаУказание домена или поддомена на конкретные серверы имен

Вы можете зарегистрировать домен у одного поставщика и делегировать его серверам имен, управляемым совершенно другим поставщиком. Это очень распространено — например, регистрация домена у бюджетного регистратора, но размещение DNS у поставщика, который предлагает превосходную производительность или расширенные функции.

Для бизнеса, которому требуется профессиональная электронная почта наряду с веб-присутствием, Email Hosting от AlexHost интегрируется бесперебойно с вашей конфигурацией DNS, обеспечивая правильную настройку MX записей и надежную доставку почты.

Распространённые сценарии делегирования доменов

Сценарий 1: Перемещение домена к новому хостинг-провайдеру

При миграции с одного хоста на другой вы обновляете NS записи у своего регистратора, чтобы они указывали на name servers нового провайдера. DNS серверы нового провайдера становятся авторитетными для вашего домена.

Ключевой совет: Настройте все DNS записи на новых name servers *перед* изменением NS записей у регистратора. Это минимизирует простой во время переходного периода.

Сценарий 2: Делегирование поддомена платформе SaaS

Многие платформы SaaS (например, платформы электронной коммерции, провайдеры CDN) требуют делегирования поддомена их name servers. Например, делегирование shop.yourdomain.com размещённой платформе электронной коммерции при сохранении www.yourdomain.com на вашем основном хостинге.

Сценарий 3: Распределение инфраструктуры между несколькими провайдерами

Крупные организации часто делегируют разные поддомены разным провайдерам инфраструктуры:

  • api.example.com → Облачный провайдер A
  • cdn.example.com → Провайдер CDN B
  • mail.example.com → Выделенная инфраструктура электронной почты

Эта архитектура требует тщательного управления DNS, но позволяет выбирать лучшие решения для инфраструктуры. Dedicated Server может служить надёжной основой для вашей основной DNS зоны, в то время как поддомены делегируются специализированным провайдерам.

Сценарий 4: Внутреннее делегирование DNS

В корпоративных средах внутренние домены (например, corp.internal) часто делегируются внутренним DNS серверам, которые не являются общедоступными. Это позволяет организациям управлять внутренними ресурсами (сайты интранета, внутренние API, принтеры) через ту же DNS инфраструктуру, что и их общедоступные домены.

Соображения безопасности при делегировании домена

Делегирование домена вводит несколько рисков безопасности, которые администраторы должны активно снижать.

DNSSEC (DNS Security Extensions)

DNSSEC добавляет криптографические подписи к DNS записям, позволяя резолверам проверить, что ответы аутентичны и не были подделаны. При делегировании домена DNSSEC требует:

  1. Подписания дочерней зоны с помощью Zone Signing Key (ZSK) и Key Signing Key (KSK)
  2. Добавления DS (Delegation Signer) записей в родительскую зону
  3. Установления цепи доверия от корня вниз до вашей зоны

DNSSEC настоятельно рекомендуется для любого домена, обрабатывающего конфиденциальные данные или финансовые операции. Объедините DNSSEC с SSL Certificate для обеспечения безопасности как на уровне DNS, так и на уровне транспорта для вашего домена.

Захват поддомена

Захват поддомена происходит, когда DNS записи поддомена указывают на ресурс (например, облачный сервис, CDN endpoint), который больше не существует, позволяя злоумышленнику заявить права на этот ресурс и подавать вредоносный контент под вашим доменом.

Профилактика:

  • Регулярно проверяйте DNS записи и удаляйте устаревшие делегирования
  • Отслеживайте незаявленные ресурсы, связанные с вашими поддоменами
  • Используйте инструменты мониторинга DNS, которые предупреждают об неожиданных изменениях

Безопасность учетной записи регистратора

Поскольку делегирование домена контролируется на уровне регистратора, ваша учетная запись регистратора является высокоценной целью. Защитите ее с помощью:

  • Надежных, уникальных паролей
  • Двухфакторной аутентификации (2FA)
  • Блокировки регистратора (также называемой блокировкой домена или блокировкой передачи) для предотвращения несанкционированных передач

Отравление DNS кэша

Атаки отравления кэша пытаются внедрить поддельные DNS записи в кэши резолверов, перенаправляя пользователей на вредоносные сайты. DNSSEC является основной защитой от этого вектора атаки.

Лучшие практики делегирования доменов

Применение этих лучших практик обеспечит безопасность, надежность и управляемость вашей DNS инфраструктуры.

✅ Используйте несколько Name Servers

Всегда настраивайте как минимум два name server для резервирования. В идеале они должны быть географически распределены и работать на отдельной сетевой инфраструктуре, чтобы исключить единые точки отказа.

✅ Установите подходящие значения TTL

  • Высокий TTL (86400 секунд / 24 часа): Снижает нагрузку на DNS запросы и улучшает производительность. Используйте для стабильных записей.
  • Низкий TTL (300–900 секунд): Позволяет быстрее распространять изменения. Используйте временно перед планируемыми миграциями.

✅ Документируйте все изменения DNS

Ведите журнал изменений для каждой модификации DNS, включая:

  • Что было изменено
  • Почему это было изменено
  • Когда это было изменено
  • Кто внес изменение

Эта документация неоценима при реагировании на инциденты и проведении аудитов.

✅ Постоянно контролируйте здоровье DNS

Реализуйте мониторинг, который оповещает вас о:

  • Неожиданных изменениях NS записей
  • Сбоях разрешения DNS
  • Необычных паттернах запросов (потенциальные DDoS или разведка)
  • Истечении сертификатов (относится к DNSSEC и SSL)

✅ Тестируйте перед распространением

Используйте dig или nslookup для прямого запроса к вашим новым name servers перед обновлением NS записей у регистратора. Это подтверждает, что зона правильно настроена перед тем, как делегирование станет активным.

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ Реализуйте DNSSEC

Включите DNSSEC на всех общедоступных доменах, особенно на тех, которые обрабатывают аутентификацию, платежи или конфиденциальные данные пользователей.

✅ Периодически проверяйте делегирования

Проверяйте все NS делегирования ежеквартально. Удаляйте делегирования для выведенных из эксплуатации поддоменов и проверяйте, что активные делегирования по-прежнему указывают на правильные, работающие name servers.

Устранение неполадок при делегировании доменов

Проблема: DNS не разрешается после изменения делегирования

Причина: Старые значения TTL вызывают сохранение кэшированных ответов.

Решение: Дождитесь истечения предыдущего TTL. В будущем снижайте значения TTL перед внесением изменений.

Проблема: Циклическая зависимость / отсутствует запись Glue

Причина: Серверы имен являются поддоменами делегированного домена, но записи glue не были добавлены.

Решение: Свяжитесь с вашим регистратором и запросите записи glue для IP-адресов серверов имен.

Проблема: Частичное разрешение (работает в некоторых местах, в других нет)

Причина: Распространение DNS все еще в процессе, или некоторые распознаватели кэшируют старые записи.

Решение: Дождитесь полного распространения (до 48 часов). Используйте dnschecker.org для мониторинга статуса глобального распространения.

Проблема: Электронная почта перестает работать после делегирования

Причина: MX записи не настроены в новой зоне, или новые серверы имен еще не являются авторитетными.

Решение: Убедитесь, что MX записи присутствуют в дочерней зоне. Подтвердите, что делегирование NS завершено перед выводом старого DNS из эксплуатации.

Проблема: Ошибки валидации DNSSEC

Причина: DS записи в родительской зоне не совпадают с DNSKEY записями в дочерней зоне, или ключи были ротированы без обновления родительской зоны.

Решение: Заново создайте и опубликуйте DS записи в родительской зоне. Следуйте надлежащим процедурам ротации ключей.

Заключение

Делегирование доменов — один из основных механизмов, которые делают DNS-систему интернета масштабируемой, распределённой и управляемой. Понимая, как полномочия передаются от корневых серверов через реестры TLD, регистраторов и хостинг-провайдеров к вашим конкретным серверам имён, вы получаете знания, необходимые для создания надёжной, безопасной и высокопроизводительной инфраструктуры доменов.

Независимо от того, делегируете ли вы один поддомен на платформу SaaS, переносите весь домен к новому хостинг-провайдеру или создаёте сложную многопровайдерскую архитектуру DNS, принципы остаются неизменными: правильно настройте NS-записи, добавьте glue-записи где необходимо, проверьте конфигурацию зоны перед запуском и постоянно мониторьте.

Для прочного фундамента вашего присутствия в интернете изучите Shared Web Hosting AlexHost для простых веб-сайтов, VPS Hosting для окружений, требующих полного контроля DNS, или Dedicated Servers для корпоративной инфраструктуры — всё это поддерживается надёжностью сети, от которой зависит ваша конфигурация DNS.

*Есть вопросы о настройке делегирования DNS для вашего домена на AlexHost? Свяжитесь с нашей командой поддержки — мы здесь, чтобы помочь вам сделать всё правильно.*