你輸入一個(gè)網(wǎng)址����。毫秒后���,一個(gè)網(wǎng)站出現(xiàn)了�。這就是DNS在幕后運(yùn)作����,將 bestsiteever.com 轉(zhuǎn)換為計(jì)算機(jī)實(shí)際用來(lái)查找服務(wù)器的數(shù)字IP地址66.249.70.11。
沒有DNS��,你得為每個(gè)訪問(wèn)的網(wǎng)站記住一串串?dāng)?shù)字���。更糟的是��,當(dāng)DNS失敗時(shí)�,網(wǎng)站無(wú)法加載�,郵件退信�����,應(yīng)用也無(wú)法連接到服務(wù)器��。
以下是DNS的實(shí)際功能���,以及它對(duì)任何運(yùn)營(yíng)網(wǎng)站或排查連接問(wèn)題的人來(lái)說(shuō)的重要性。
DNS查詢:DNS解析的工作原理
每次訪問(wèn)網(wǎng)站時(shí)都會(huì)進(jìn)行DNS查詢�。你的瀏覽器需要一個(gè)IP地址。它會(huì)在詢問(wèn)互聯(lián)網(wǎng)前查三處����。
第一站:你的主機(jī)文件�。這個(gè)純文本文件可以直接將域名映射到作系統(tǒng)上的IP地址??梢园阉醋饕槐靖采w一切的個(gè)人電話簿。
第二站:你的藏寶點(diǎn)��。瀏覽器和互聯(lián)網(wǎng)服務(wù)提供商會(huì)臨時(shí)存儲(chǔ)DNS記錄�����。如果你最近訪問(wèn)過(guò)某個(gè)網(wǎng)站��,IP地址很可能就在那兒。不需要再繼續(xù)尋找���。
當(dāng)本地來(lái)源一無(wú)所獲時(shí)�����,DNS解析就會(huì)加速��。你的電腦通過(guò)專門設(shè)計(jì)的服務(wù)器網(wǎng)絡(luò)發(fā)送DNS查詢����。
整個(gè)過(guò)程只需毫秒��。除非有東西壞了��,否則你不會(huì)注意到它發(fā)生����。然后你只能盯著超時(shí)錯(cuò)誤,瀏覽器還在搜索一個(gè)永遠(yuǎn)找不到的IP地址��。
DNS服務(wù)器類型:遞歸與權(quán)威
當(dāng)你訪問(wèn)一個(gè)網(wǎng)站時(shí)�����,四個(gè)DNS服務(wù)器協(xié)同工作。每個(gè)人都有特定的職責(zé)�。
DNS解析器充當(dāng)你的中間人。它會(huì)接收你的請(qǐng)求�����,然后搜索其他所有地方�。大多數(shù)人在使用ISP的解析器時(shí)并不知情。有些人為了速度轉(zhuǎn)用谷歌或Cloudflare���。
根名稱服務(wù)器位于DNS層級(jí)的頂端�����。它們不存儲(chǔ)IP地址���。相反���,他們會(huì)根據(jù)你尋找的是.com����、.org還是.net地址��,指向正確的頂層域名服務(wù)器。
頂級(jí)域名服務(wù)器管理其擴(kuò)展內(nèi)的所有域名�����。.com服務(wù)器知道每個(gè).com域名的權(quán)威名稱服務(wù)器在哪里�����。.org�����、.net 以及其他所有擴(kuò)展也是如此�。
權(quán)威的名稱服務(wù)器保存著實(shí)際答案。它會(huì)存儲(chǔ)你要找的具體域名的IP地址����。一旦解析器找到該服務(wù)器,它會(huì)獲取IP地址并發(fā)送回你的瀏覽器�。
遞歸DNS服務(wù)器負(fù)責(zé)搜索。權(quán)威的DNS服務(wù)器能給出最終答案��。第一種類型會(huì)提問(wèn)��。第二種類型會(huì)回答這些問(wèn)題���。
遞歸解析器在找到一次IP地址后�,會(huì)將其緩存。下次有人問(wèn)同一個(gè)域時(shí)����,解析器會(huì)直接跳到答案。這種DNS緩存將查詢時(shí)間從數(shù)百毫秒縮短到幾乎瞬間��。
什么是名稱服務(wù)器及其工作原理
域名服務(wù)器存儲(chǔ)特定域名的所有DNS記錄�����。當(dāng)有人訪問(wèn)你的網(wǎng)站時(shí)����,這些服務(wù)器會(huì)響應(yīng)連接瀏覽器到托管服務(wù)器所需的信息。
每個(gè)域名至少需要兩個(gè)名稱服務(wù)器以實(shí)現(xiàn)冗余��。它們看起來(lái)就像域名本身:
ns1.example-dnsprovider.com
ns2.example-dnsprovider.com
當(dāng)你從同一家公司購(gòu)買主機(jī)和域名時(shí)��,名稱服務(wù)器會(huì)自動(dòng)設(shè)置�。要單獨(dú)買嗎����?你需要手動(dòng)更新名稱服務(wù)器�����,讓域名指向你的主機(jī)���。
名稱服務(wù)器查詢工具顯示當(dāng)前控制你域名的名稱服務(wù)器。這些工具查詢?nèi)?/span>DNS系統(tǒng)并反饋發(fā)現(xiàn)情況�。用它們來(lái)驗(yàn)證更改或排查問(wèn)題。
不同運(yùn)營(yíng)商使用不同的名稱服務(wù)器地址�。你的注冊(cè)商會(huì)提供一套。你的網(wǎng)絡(luò)主機(jī)也提供另一種服務(wù)�����。內(nèi)容分發(fā)網(wǎng)絡(luò)提供了第三種����。每套裝備都具備不同的功能和特色。
如何更改DNS名稱服務(wù)器
你只能更改域名注冊(cè)地的名稱服務(wù)器��。登錄你的域名注冊(cè)商控制面板�,找到DNS或名稱服務(wù)器的設(shè)置。
大多數(shù)注冊(cè)商會(huì)將這些內(nèi)容歸入域管理或域設(shè)置��。可以找“名稱服務(wù)器”�、“DNS設(shè)置”或“名稱服務(wù)器管理”等選項(xiàng)。
你會(huì)看到兩個(gè)選項(xiàng):使用默認(rèn)名稱服務(wù)器或輸入自定義名稱服務(wù)器�。默認(rèn)的名稱服務(wù)器屬于你的注冊(cè)商。自定義名稱服務(wù)器來(lái)自你的托管服務(wù)提供商或CDN��。
你的托管服務(wù)提供商在你注冊(cè)時(shí)會(huì)給你名稱服務(wù)器地址�。它們看起來(lái)像 ns1.yourhost.com 和 ns2.yourhost.com。完全復(fù)制這些�。一個(gè)打錯(cuò)字就毀了一切。
保存更改后���,DNS 傳播開始��。您的新名稱服務(wù)器信息會(huì)在全球范圍內(nèi)傳播到DNS服務(wù)器����。這需要幾分鐘到24小時(shí)不等��。
一旦名稱服務(wù)器指向你的主機(jī)提供商����,你就可以通過(guò)主機(jī)控制面板管理所有DNS設(shè)置,而不是注冊(cè)商�����。這包括A唱片����、MX唱片以及其他所有品牌。
DNS區(qū)域管理與DNS記錄
DNS區(qū)域是由特定組織或管理員管理的域名空間的一部分��。你域名的區(qū)域包含所有控制流量如何到達(dá)服務(wù)器的DNS記錄���。
DNS設(shè)置是實(shí)時(shí)存在的區(qū)域文件中�。這些文件包含記錄�,告訴互聯(lián)網(wǎng)應(yīng)將不同類型的流量發(fā)送到哪里。郵件會(huì)發(fā)送到郵件服務(wù)器�。網(wǎng)頁(yè)流量流向的是網(wǎng)頁(yè)服務(wù)器。每種記錄類型都有特定的用途����。
大多數(shù)主機(jī)提供商都會(huì)給你一個(gè)DNS區(qū)域編輯器。該工具允許你添加�、修改或刪除DNS記錄,而無(wú)需觸及原始區(qū)域文件�。你可以選擇創(chuàng)建A記錄、CNAME記錄���、MX記錄等�。
DNS記錄的類型決定了每個(gè)條目的作用:
記錄指向域名的IPv4地址
CNAME記錄在域之間創(chuàng)建別名
MX 記錄將郵件路由到郵件服務(wù)器
TXT記錄存儲(chǔ)文本信息,如SPF數(shù)據(jù)
SRV 記錄將服務(wù)連接到特定端口
DNS區(qū)域的變更觸發(fā)傳播����。新記錄在全球DNS服務(wù)器上分散數(shù)小時(shí)。在此期間���,一些游客會(huì)看到舊記錄�,而另一些則會(huì)看到新的記錄���。
DNS A 記錄配置
A 記錄將域名映射到 IPv4 地址���。當(dāng)有人輸入你的域名時(shí)����,這個(gè)記錄會(huì)告訴他們的電腦該聯(lián)系哪個(gè)服務(wù)器����。
格式很簡(jiǎn)單��。主機(jī)名或@符號(hào)(代表你的根域名)指向一個(gè)IP地址�,比如104.19.187.120�。就是這樣����。
大多數(shù)域名至少有兩個(gè)A記錄。一個(gè)用于根域(example.com)�����,一個(gè)用于 www(www.examplex.com)����。兩者通常指向同一個(gè)IP地址�����。
你可以添加多個(gè)A記錄用于負(fù)載均衡或備份���。如果一臺(tái)服務(wù)器故障����,DNS會(huì)自動(dòng)將流量路由到另一臺(tái)��。這需要特殊配置�,但提供了冗余�����。
AAAA記錄的工作原理和A記錄完全一樣�,但使用IPv6地址而不是IPv4�����。隨著互聯(lián)網(wǎng)向IPv6過(guò)渡���,越來(lái)越多的站點(diǎn)在A記錄之外添加AAAA記錄����。
TTL(存活時(shí)間)控制DNS服務(wù)器緩存你A條記錄的時(shí)間長(zhǎng)短����。設(shè)置3600為一小時(shí),14400為四小時(shí)��,或86400為一天�����。值越低��,換服務(wù)器時(shí)傳播越快。更高的值可以減少DNS查詢負(fù)載�����。
CNAME記錄設(shè)置與使用
CNAME記錄會(huì)創(chuàng)建一個(gè)別名�����。它會(huì)將一個(gè)域名指向另一個(gè)域名�,而不是直接指向IP地址����。
比如你想 blog.yourdomain.com,shop.yourdomain.com 指向 main.yoursuperdomain.com��。為每個(gè)指向主域名的子域創(chuàng)建一個(gè)CNAME��。當(dāng)主IP地址變更時(shí)���,兩個(gè)別名都會(huì)自動(dòng)更新����。不需要編輯多個(gè)A記錄����。
DNS CNAME記錄不能存在于你的根域中�。你只能用它們來(lái)管理子域名����。這是DNS協(xié)議的限制。對(duì)于你的根域名���,建議使用A記錄��。
當(dāng)有人訪問(wèn)CNAME別名時(shí)�����,DNS解析器會(huì)遵循鏈條���。他們看到CNAME記錄,查找目標(biāo)域名�����,然后找到該域名的A記錄�����,獲取最終IP地址。這增加了一次查詢���,但管理變得簡(jiǎn)單��。
內(nèi)容分發(fā)網(wǎng)絡(luò)非常喜歡CNAME記錄���。他們會(huì)給你一個(gè)指向他們網(wǎng)絡(luò)的CNAME。當(dāng)你需要更新服務(wù)器或更換基礎(chǔ)設(shè)施時(shí)��,他們會(huì)處理���。你的CNAME永遠(yuǎn)不會(huì)改變。
郵件路由的MX記錄
MX記錄告訴互聯(lián)網(wǎng)該把你的域名郵件發(fā)送到哪里��。沒有這些���,發(fā)給 you@yoursuperdomain.com 的消息會(huì)退回給發(fā)件人�。
每個(gè) MX 記錄包含兩部分:郵件服務(wù)器地址和優(yōu)先級(jí)編號(hào)�����。優(yōu)先級(jí)決定了哪個(gè)服務(wù)器先收到郵件�����。數(shù)字較低者獲勝。
把主郵件服務(wù)器設(shè)置為優(yōu)先級(jí)10��。把備份服務(wù)器設(shè)置為20臺(tái)�、30臺(tái),依此類推��。如果優(yōu)先級(jí)10的服務(wù)器故障����,發(fā)送方嘗試優(yōu)先級(jí)20。如果失敗�����,他們會(huì)嘗試優(yōu)先級(jí)30��。
使用像Google Workspace這樣的第三方郵箱�����?他們提供特定的MX記錄供你添加��。你會(huì)刪除主機(jī)提供商默認(rèn)的MX記錄,并用谷歌的替換��。通??偣参鍙垖]嫞繌埗加胁煌膬?yōu)先級(jí)�。
MX記錄查詢工具可以驗(yàn)證你的配置。他們會(huì)查詢DNS服務(wù)器���,并顯示你的域名設(shè)置了哪些郵件服務(wù)器��。利用這些工具排查郵件發(fā)送問(wèn)題����。
錯(cuò)誤的MX記錄會(huì)導(dǎo)致郵件混亂�。消息會(huì)丟失、退回�,或者進(jìn)入垃圾郵件箱。輸入郵件服務(wù)器地址時(shí)��,請(qǐng)仔細(xì)核對(duì)每個(gè)字符���。
TXT 記錄與 SPF 配置
TXT記錄存儲(chǔ)關(guān)于你域名的文本信息。它們不會(huì)影響路由或連接�����。相反,他們向電子郵件系統(tǒng)��、驗(yàn)證服務(wù)和安全工具提供數(shù)據(jù)�����。
SPF錄音在TXT唱片中實(shí)時(shí)播放����。SPF代表發(fā)送方政策框架。它列出了哪些服務(wù)器可以代表你的域名發(fā)送電子郵件��。
一個(gè)基本的SPF記錄如下:
v=spf1 include:_spf.mail.myprovider.com ~all
這會(huì)告訴接收服務(wù)器檢查來(lái)電郵件是否與你的授權(quán)發(fā)件人匹配�。末尾的 ~all 指定了對(duì)未通過(guò)檢驗(yàn)的消息處理方式。 意味著軟失?��。?biāo)記為可疑)���。-全是表示硬失敗(完全拒絕)�。~all
域名驗(yàn)證也需要TXT記錄。當(dāng)你將域名連接到第三方服務(wù)時(shí)���,他們會(huì)給你一個(gè)特定的TXT值來(lái)添加�����。這證明你控制了這個(gè)領(lǐng)域���。
DNS TXT 查詢工具會(huì)檢查你域名存在哪些文本記錄�。用它們來(lái)驗(yàn)證SPF記錄�����、DKIM簽名或驗(yàn)證碼��。
你可以擁有多個(gè)TXT記錄����。添加一個(gè)用于SPF,一個(gè)用于域名驗(yàn)證��,一個(gè)用于DMARC策略��。每個(gè)記錄都有不同的用途����,且不會(huì)沖突。
SRV 記錄設(shè)置
SRV記錄將特定服務(wù)連接到服務(wù)器和端口����。與僅指向IP地址的A記錄不同,SRV記錄包含協(xié)議信息和端口號(hào)�����。
格式技術(shù)性很快����。即時(shí)通訊的典型SRV記錄如下:
_xmpp-client._tcp.example.com
下劃線前綴表示服務(wù)(xmpp-client)和協(xié)議(tcp)。記錄隨后指定優(yōu)先級(jí)��、權(quán)重���、端口和目標(biāo)服務(wù)器��。
優(yōu)先權(quán)的運(yùn)作方式類似于MX唱片�。較低的數(shù)字會(huì)先試����。重量有助于平衡優(yōu)先級(jí)相同的服務(wù)器之間的負(fù)載。
大多數(shù)網(wǎng)站不需要SRV記錄�。它們常見于VoIP服務(wù)�、即時(shí)通訊服務(wù)器和特定應(yīng)用協(xié)議�����。你的主機(jī)提供商默認(rèn)不會(huì)創(chuàng)建這些�����。
在設(shè)置需要SRV記錄的服務(wù)時(shí)���,服務(wù)提供商會(huì)給出你輸入的精確數(shù)值�。仔細(xì)復(fù)制�����。一個(gè)錯(cuò)誤的字符會(huì)斷開連接��。
DNS傳播與檢查工具
DNS傳播是指DNS變更在全球所有服務(wù)器上傳播所需的時(shí)間�。更改A記錄或切換名稱服務(wù)器,你就在等待傳播完成����。
標(biāo)準(zhǔn)線說(shuō)是24到48小時(shí)。現(xiàn)實(shí)�����?大多數(shù)變化在幾小時(shí)內(nèi)傳播��。有些幾分鐘內(nèi)就完成了�。這取決于TTL設(shè)置以及你檢查的DNS服務(wù)器。
在傳播過(guò)程中�,不同的人會(huì)看到不同版本的DNS記錄。紐約的人可能會(huì)看到你的新IP地址�,而東京的人仍然能看到舊的。這會(huì)造成暫時(shí)的不一致����,但無(wú)法避免。
DNS傳播檢查工具��,查詢?nèi)蚍?wù)器���,并顯示哪些服務(wù)器更新了�����。輸入你的域名�,工具會(huì)反饋來(lái)自數(shù)十個(gè)地點(diǎn)的結(jié)果�����。
你的網(wǎng)站在傳播過(guò)程中保持可訪問(wèn)性。有些訪客會(huì)訪問(wèn)你的舊服務(wù)器���。其他人會(huì)抵達(dá)你的新家��。只要內(nèi)容同時(shí)存在于兩個(gè)地方�,就沒人會(huì)看到停機(jī)時(shí)間����。
在更改前先降低TTL值。切換服務(wù)器前每天將TTL設(shè)置為300(5分鐘)����。這縮短了服務(wù)器緩存舊記錄的時(shí)間。傳播完成后��,將TTL恢復(fù)正常��。
用多種工具檢查DNS傳播�����。使用WhatsMyDNS、DNS檢查器或類似服務(wù)�。他們會(huì)實(shí)時(shí)更新你的變更在全球范圍內(nèi)傳播。
DNSSEC:DNS 安全擴(kuò)展解析
DNSSEC為DNS記錄添加加密簽名����。這些簽名驗(yàn)證了DNS響應(yīng)來(lái)自合法服務(wù)器,且傳輸過(guò)程中未被篡改��。
標(biāo)準(zhǔn)DNS沒有認(rèn)證功能���。攻擊者可以攔截查詢并發(fā)送假回復(fù),引導(dǎo)你訪問(wèn)惡意網(wǎng)站�。DNSSEC通過(guò)要求每個(gè)響應(yīng)都必須有有效簽名來(lái)防止這種情況。
啟用DNSSEC后�,每個(gè)區(qū)域都有加密密鑰。公鑰會(huì)被發(fā)布在DNS記錄中�。私鑰在名稱服務(wù)器上保持安全。名稱服務(wù)器用私鑰簽署響應(yīng)���。解析器使用公鑰驗(yàn)證簽名�。
并非所有注冊(cè)商或 DNS 提供商都支持 DNSSEC���。在確定是否可用之前�,先咨詢你的服務(wù)提供者。有些公司提供免費(fèi)服務(wù)���。還有些會(huì)額外收費(fèi)��。有些甚至完全不提供���。
啟用DNSSEC需要你的注冊(cè)商和DNS提供商之間的協(xié)調(diào)。你需要生成密鑰���,將記錄添加到你的區(qū)域���,并在注冊(cè)商那里注冊(cè)數(shù)據(jù)存儲(chǔ)記錄。只要一步錯(cuò)�,DNS就會(huì)完全失效。
DNSSEC 檢查工具驗(yàn)證你的配置�����。他們測(cè)試簽名是否正確驗(yàn)證�,以及信任鏈?zhǔn)欠裱由斓礁鶇^(qū)。
DNS安全隨著DNSSEC的提升�����,但采用率仍然有限。很多主流網(wǎng)站還沒用到����。這項(xiàng)技術(shù)是有效的,但實(shí)施復(fù)雜性減緩了廣泛部署��。
為什么DNS對(duì)你的網(wǎng)站很重要
DNS性能會(huì)影響你網(wǎng)站的速度�。慢速的DNS查詢會(huì)在訪客連接服務(wù)器前延遲數(shù)百毫秒。對(duì)不同資源進(jìn)行多次查詢會(huì)增加延遲����。
郵件投遞取決于正確的DNS配置�����。錯(cuò)誤的MX記錄意味著退信���。缺少防曬記錄會(huì)讓你的郵件進(jìn)入垃圾郵件�。DMARC策略保護(hù)你的域名免受冒充�,但需要正確的DNS設(shè)置。
一旦DNS崩潰���,一切都會(huì)停止�。網(wǎng)站無(wú)法加載。郵件失敗���。應(yīng)用無(wú)法連接API�。用戶看到“DNS 服務(wù)器無(wú)響應(yīng)”錯(cuò)誤���,就會(huì)把責(zé)任推給你的網(wǎng)站��,而不是他們的解析器��。
DNS服務(wù)器中斷是有發(fā)生的�。服務(wù)提供者會(huì)有停機(jī)時(shí)間����。DDoS攻擊針對(duì)DNS基礎(chǔ)設(shè)施。擁有多個(gè)名稱服務(wù)器會(huì)分散風(fēng)險(xiǎn)�。如果一個(gè)網(wǎng)站宕機(jī),其他網(wǎng)站則保持可訪問(wèn)�����。
DNS配置錯(cuò)誤導(dǎo)致性能變慢�����,而非完全失敗。頁(yè)面加載�����,但時(shí)間非常長(zhǎng)�����。出現(xiàn)間歇性連接問(wèn)題�。這些問(wèn)題讓用戶感到沮喪,卻沒有明顯的錯(cuò)誤信息����。
業(yè)務(wù)連續(xù)性需要DNS冗余。如果需要正常運(yùn)行時(shí)間���,請(qǐng)使用高級(jí)DNS服務(wù)。他們提供多重全球接入點(diǎn)�����、DDoS防護(hù)�,以及比普通服務(wù)提供商更快的解決方案。
如何檢查DNS設(shè)置和記錄
你的電腦會(huì)在本地緩存DNS記錄��。打開命令提示符或終端查看存儲(chǔ)內(nèi)容。
在Windows上����,輸入ipconfig /displaydns并按回車。輸出顯示你系統(tǒng)中當(dāng)前緩存的所有DNS記錄����。
在Mac或Linux上,DNS緩存的位置因系統(tǒng)和版本而異����。有些存儲(chǔ)在mDNSResponder中。還有些根本不維護(hù)持久緩存���。
刷新DNS緩存會(huì)清除舊記錄�,并強(qiáng)制電腦重新查詢DNS服務(wù)器��。這修復(fù)了因緩存數(shù)據(jù)過(guò)時(shí)引起的問(wèn)題�。
Windows:ipconfig /flushdns
麥克:sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Linux:sudo systemd-resolve --flush-caches
在線DNS檢查工具提供更詳細(xì)的信息。它們直接查詢權(quán)威名稱服務(wù)器�,顯示全球存在的記錄,而不僅僅是本地緩存的內(nèi)容�����。
在 DNSChecker.org 或MXToolbox等網(wǎng)站上檢查你域名的DNS記錄。輸入您的域名并選擇記錄類型�。這些工具查詢?nèi)蚍?wù)器并即時(shí)顯示結(jié)果。
排查DNS問(wèn)題通常意味著對(duì)比你配置的內(nèi)容和實(shí)際發(fā)布的內(nèi)容����。使用檢查工具驗(yàn)證更改是否正確傳播。如果記錄與預(yù)期不符���,問(wèn)題出在你的DNS區(qū)域配置或名稱服務(wù)器設(shè)置上����。
