所有托管服务节省 15%

测试技能,享折扣

使用代码: Skills 开始使用
China
域名 域名系统

域名委派解释:DNS权限和子域管理完整指南

无论你是在启动一个新网站、扩展复杂的基础设施,还是只是想了解互联网如何解析域名,域名委派都是一个你不能忽视的概念。它位于域名系统 (DNS) 的核心,决定了对域名的权限如何在互联网上分布。

本指南详细讲解了你需要了解的关于域名委派的所有内容——它是什么、它如何工作、它的关键组件,以及保持你的 DNS 基础设施可靠和高性能的最佳实践。

什么是域名委派?

域名委派是将特定域名或子域名的权威控制权转移到指定名称服务器集合的过程。实际上,它意味着告诉互联网:*"关于这个域名或子域名的问题,请询问这些名称服务器——它们负责。"*

当进行域名DNS查询时,解析器遵循一个权限链。域名委派定义了这个链。没有它,每天处理数十亿查询的DNS系统就没有结构化的方式来分配数百万个域名的责任。

域名委派不仅仅是技术形式。它直接影响:

  • 网站可用性——不正确的委派会导致DNS解析失败
  • 电子邮件可送达性——MX记录必须通过正确委派的名称服务器可访问
  • 安全性——配置错误的委派可能会使域名面临劫持或欺骗风险
  • 性能——结构良好的委派可降低DNS查询延迟

如果您正在注册新域名并需要可靠的基础来构建,AlexHost的域名注册从第一天起就为您提供对DNS设置的完全控制。

域名委派的关键组件

理解域名委派需要熟悉其核心构成部分。每个组件在DNS层级中都发挥特定的作用。

1. 父域

父域是在DNS层级中位于被委派域之上的域。它包含NS(名称服务器)记录,这些记录将解析器指向子域的权威名称服务器。

示例:如果您正在委派sub.example.com,父域是example.comexample.com的DNS区域包含NS记录,将sub.example.com的权限委派给另一组名称服务器。

在层级的顶部是根名称服务器,它们将权限委派给顶级域(TLD)注册表(如.com.net.org)。这些TLD注册表反过来将权限委派给您的域名注册商的名称服务器。

2. 子域

子域是被委派的域或子域——接收权限的实体。在上面的示例中,sub.example.com是子域。

子域可以是:

  • 子域(例如api.example.commail.example.comshop.example.com
  • 整个二级域(例如从.com TLD注册表委派的example.com

3. NS记录(名称服务器记录)

NS记录是委派的基本机制。它们指定哪些名称服务器对给定的域或子域具有权威性。当DNS解析器在查询过程中遇到NS记录时,它知道要查询这些名称服务器以获取进一步的信息。

; NS records in the example.com zone delegating sub.example.com
sub.example.com.    IN    NS    ns1.childnameserver.com.
sub.example.com.    IN    NS    ns2.childnameserver.com.

最佳实践要求至少有两条NS记录(主要和次要)以确保冗余。如果一个名称服务器变得不可用,另一个将继续提供DNS响应。

4. 胶水记录

胶水记录是一种特殊的DNS记录,用于解决常见的循环依赖问题。考虑这种情况:

  • 您想将sub.example.com委派给ns1.sub.example.com
  • 但要找到ns1.sub.example.com,解析器必须先查询sub.example.com
  • 这会造成无限循环

胶水记录通过直接在父区域中包含名称服务器的IP地址来解决这个问题,绕过循环查询。

; Glue records in the example.com zone
ns1.sub.example.com.    IN    A    203.0.113.10
ns2.sub.example.com.    IN    A    203.0.113.11

当子域的名称服务器本身是该子域的子域时,胶水记录是必需的。它们存储在域名注册商级别,由TLD注册表提供。

5. SOA记录(权限起点)

每个被委派的区域都应该有一条SOA记录,定义关于该区域的管理信息,包括:

  • 主名称服务器
  • 负责方的电子邮件地址
  • 序列号(用于区域传输版本控制)
  • 刷新、重试、过期和最小TTL值

SOA记录表明一个区域已正确配置且具有权威性。

域名委派如何工作:分步DNS解析

当用户在浏览器中输入 sub.example.com 时,一个复杂的解析过程在幕后展开。以下是确切发生的情况:

步骤 1:递归解析器查询

用户的设备向递归解析器发送 DNS 查询 — 通常由其 ISP 或公共 DNS 提供商(如 Google (8.8.8.8) 或 Cloudflare (1.1.1.1))运营。解析器的工作是通过查询 DNS 层次结构来找到答案。

步骤 2:根名称服务器查询

如果解析器没有缓存答案,它会查询13 个根名称服务器集群之一。根服务器不知道 sub.example.com 的 IP 地址,但它们知道哪些名称服务器对 .com TLD 具有权威性。

Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]

步骤 3:TLD 名称服务器查询

解析器查询 .com TLD 名称服务器。这些服务器知道哪些名称服务器对 example.com(通过您的域名注册商注册)具有权威性。

TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.

步骤 4:父域名称服务器查询

解析器查询 ns1.registrar.comexample.com 的权威名称服务器)。此服务器保存 sub.example.com 委派的 NS 记录。

Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.

步骤 5:子域名称服务器查询

解析器现在查询 ns1.childnameserver.comsub.example.com 的权威名称服务器。此服务器返回请求的实际 DNS 记录,例如 A 记录(IP 地址)或 MX 记录(邮件服务器)。

Child Name Server Response:
sub.example.com.    IN    A    198.51.100.42

步骤 6:响应已传递

递归解析器将 IP 地址返回给用户的浏览器,浏览器随后建立与该地址处的 Web 服务器的连接。整个过程通常在毫秒内完成。

此链中的每一步都代表权威性的委派 — 从根到 TLD 到注册商再到您的托管提供商的名称服务器。

如何委派域名或子域名:实践步骤

无论您是将整个域名委派给新的托管提供商,还是将子域名分离到单独的 DNS 区域,该过程都遵循一致的模式。

步骤 1:确定目标名称服务器

确定哪些名称服务器将对子域名具有权威性。这通常由以下提供:

  • 您的托管提供商(例如 ns1.alexhost.comns2.alexhost.com
  • 一个专用 DNS 管理服务
  • 您自己的自托管 DNS 基础设施

如果您运行自己的服务器并需要对 DNS 环境进行完全控制,AlexHost 的 VPS 托管提供了运行权威名称服务器所需的根访问权限和网络可靠性。

步骤 2:在父区域中添加 NS 记录

登录您的域名注册商的控制面板,并导航到父域名的 DNS 管理部分。添加指向委派名称服务器的 NS 记录。

示例 — 将 shop.example.com 委派到单独的托管环境:

shop.example.com.    3600    IN    NS    ns1.shophosting.com.
shop.example.com.    3600    IN    NS    ns2.shophosting.com.

重要:设置合理的 TTL(生存时间)。TTL 为 3600 秒(1 小时)很常见。较低的 TTL 允许更快地传播更改,但会增加 DNS 查询负载。

步骤 3:如有必要,添加胶水记录

如果您的子域名的名称服务器是子域名本身的子域名,请联系您的注册商以添加胶水记录。这是在注册商级别完成的,而不是在您的 DNS 区域文件中。

步骤 4:配置子区域

在委派的名称服务器上,为子域名创建 DNS 区域并添加所有必要的记录:

; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600

@    IN    SOA    ns1.shophosting.com. admin.example.com. (
                  2024010101 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  300 )      ; Minimum TTL

@    IN    NS     ns1.shophosting.com.
@    IN    NS     ns2.shophosting.com.
@    IN    A      198.51.100.42
www  IN    A      198.51.100.42
@    IN    MX  10 mail.shophosting.com.

步骤 5:验证传播

DNS 更改可能需要几分钟到 48 小时才能全局传播,具体取决于 TTL 值和缓存行为。使用以下工具:

  • dig(Linux/macOS):dig NS shop.example.com @8.8.8.8
  • nslookup(Windows):nslookup -type=NS shop.example.com
  • 在线工具:dnschecker.org 或 whatsmydns.net

域名委派与 DNS 托管:理解区别

这两个概念密切相关但又有所不同:

概念定义
域名注册通过注册商预留域名
DNS 托管提供回答 DNS 查询的名称服务器
域名委派将域名或子域名指向特定的名称服务器

您可以通过一个提供商注册域名,并将其委派给由完全不同的提供商运营的名称服务器。这非常普遍 — 例如,通过预算注册商注册域名,但使用提供卓越性能或高级功能的提供商托管 DNS。

对于需要专业电子邮件和网络存在的企业,AlexHost 的电子邮件托管与您的 DNS 配置无缝集成,确保正确的 MX 记录设置和可靠的邮件传递。

常见域名委派场景

场景 1:将域名移至新的托管提供商

从一个主机迁移到另一个主机时,您需要在注册商处更新 NS 记录,使其指向新提供商的名称服务器。新提供商的 DNS 服务器随后将成为您域名的权威服务器。

关键提示:在注册商处更改 NS 记录之前,先在新名称服务器上配置所有 DNS 记录。这样可以最大限度地减少过渡期间的停机时间。

场景 2:将子域委派给 SaaS 平台

许多 SaaS 平台(例如电子商务平台、CDN 提供商)要求您将子域委派给其名称服务器。例如,将 shop.yourdomain.com 委派给托管电子商务平台,同时将 www.yourdomain.com 保留在您的主托管上。

场景 3:跨多个提供商分割基础设施

大型组织通常将不同的子域委派给不同的基础设施提供商:

  • api.example.com → 云提供商 A
  • cdn.example.com → CDN 提供商 B
  • mail.example.com → 专用电子邮件基础设施

这种架构需要仔细的 DNS 管理,但能够实现最佳的基础设施选择。专用服务器可以作为您主 DNS 区域的可靠锚点,而子域则委派给专业提供商。

场景 4:内部 DNS 委派

在企业环境中,内部域(例如 corp.internal)通常委派给不可公开访问的内部 DNS 服务器。这允许组织通过与公共域相同的 DNS 基础设施来管理内部资源(内部网站、内部 API、打印机)。

域名委派中的安全考虑

域名委派引入了多个安全风险,管理员必须主动缓解这些风险。

DNSSEC (DNS安全扩展)

DNSSEC为DNS记录添加加密签名,允许解析器验证响应的真实性并确保未被篡改。委派域名时,DNSSEC需要:

  1. 使用区域签名密钥 (ZSK) 和密钥签名密钥 (KSK) 对子区域进行签名
  2. DS (委派签名者) 记录添加到父区域
  3. 建立从根到您的区域的信任链

对于处理敏感数据或金融交易的任何域名,强烈建议使用DNSSEC。将DNSSEC与SSL证书配对,为您的域名提供DNS级别和传输级别的安全保护。

子域名接管

子域名接管发生在子域名的DNS记录指向不再存在的资源(例如云服务、CDN端点)时,允许攻击者声称该资源并在您的域名下提供恶意内容。

预防:

  • 定期审计DNS记录并删除过期的委派
  • 监控与您的子域名关联的未声明资源
  • 使用DNS监控工具,在发生意外更改时发出警报

注册商账户安全

由于域名委派在注册商级别进行控制,您的注册商账户是高价值目标。使用以下方式保护它:

  • 强大、唯一的密码
  • 双因素认证 (2FA)
  • 注册商锁定(也称为域名锁定或转移锁定)以防止未授权转移

DNS缓存中毒

缓存中毒攻击试图将虚假DNS记录注入解析器的缓存中,将用户重定向到恶意网站。DNSSEC是针对此攻击向量的主要防御。

域名委派最佳实践

应用这些最佳实践将保持您的DNS基础设施安全、可靠和易于维护。

✅ 使用多个名称服务器

始终为冗余配置至少两个名称服务器。理想情况下,它们应该在地理位置上分散,并在独立的网络基础设施上运行,以消除单点故障。

✅ 设置适当的TTL值

  • 高TTL(86400秒 / 24小时):减少DNS查询负载并提高性能。用于稳定的记录。
  • 低TTL(300–900秒):允许更快地传播更改。在计划迁移前临时使用。

✅ 记录所有DNS更改

为每个DNS修改维护一个变更日志,包括:

  • 更改了什么
  • 为什么更改
  • 何时更改
  • 谁进行了更改

此文档在事件响应和审计期间非常宝贵。

✅ 持续监控DNS健康状况

实施监控以提醒您:

  • 意外的NS记录更改
  • DNS解析失败
  • 异常查询模式(可能的DDoS或侦察)
  • 证书过期(与DNSSEC和SSL相关)

✅ 在传播前测试

使用dignslookup直接查询您的新名称服务器,然后再在注册商处更新NS记录。这在委派上线前确认区域配置正确。

# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com

✅ 实施DNSSEC

在所有面向公众的域上启用DNSSEC,特别是那些处理身份验证、支付或敏感用户数据的域。

✅ 定期审计委派

每季度审查所有NS委派。删除已停用子域的委派,并验证活跃委派仍指向正确的、可运行的名称服务器。

排查常见域名委派问题

问题:委派更改后 DNS 无法解析

原因:旧的 TTL 值导致缓存响应持续存在。

解决方案:等待之前的 TTL 过期。今后在进行更改前降低 TTL 值。

问题:循环依赖 / 缺少胶水记录

原因:名称服务器是委派域的子域,但未添加胶水记录。

解决方案:联系您的注册商并请求为名称服务器 IP 地址添加胶水记录。

问题:部分解析(在某些位置有效,在其他位置无效)

原因:DNS 传播仍在进行中,或某些解析器正在缓存旧记录。

解决方案:等待完全传播(最多 48 小时)。使用 dnschecker.org 监控全球传播状态。

问题:委派后电子邮件停止工作

原因:MX 记录未在新区域中配置,或新名称服务器尚未获得权限。

解决方案:验证 MX 记录是否存在于子区域中。在停用旧 DNS 之前确认 NS 委派已完成。

问题:DNSSEC 验证失败

原因:父区域中的 DS 记录与子区域中的 DNSKEY 记录不匹配,或密钥已轮换但未更新父区域。

解决方案:在父区域中重新生成并重新发布 DS 记录。遵循适当的密钥轮换程序。

结论

域名委派是使互联网DNS系统具有可扩展性、分布式和可管理性的基础机制之一。通过了解权限如何从根服务器流向TLD注册表、注册商和托管提供商再到您的特定名称服务器,您将获得构建可靠、安全和高性能域名基础设施所需的知识。

无论您是将单个子域委派给SaaS平台、将整个域迁移到新的托管提供商,还是构建复杂的多提供商DNS架构,原则始终保持一致:正确配置NS记录、在需要时添加胶水记录、在上线前验证您的区域配置,并持续监控。

为了为您的在线业务奠定坚实基础,请探索AlexHost的共享虚拟主机用于直接的网站,VPS托管用于需要完全DNS控制的环境,或独立服务器用于企业级基础设施——所有这些都由您的DNS配置所依赖的网络可靠性支持。

*对为您的AlexHost托管域配置DNS委派有疑问?请联系我们的支持团队——我们在这里帮助您正确配置。*