Эта ситуация встречается чаще, чем ожидают многие владельцы доменов: "Мои имена серверов настроены правильно, но сайт все равно не работает."

Когда это происходит, пользователи часто считают, что проблема связана с регистратором или что изменение имен серверов не было применено должным образом. На самом деле, правильные имена серверов лишь определяют, где размещены DNS-записи, но не гарантируют, что эти записи правильные или полные.

Это руководство объясняет, почему DNS может не работать даже при правильных именах серверов, что проверить дальше и как определить настоящую причину проблемы.

Что на самом деле делают имена серверов

Имена серверов говорят глобальной DNS-системе какие серверы являются авторитетными для DNS-записей домена.

Иными словами, они отвечают на вопрос: "Где DNS должен искать записи для этого домена?"

Что имена серверов не делают:

• Они не создают DNS-записи

• Они не проверяют значения записей

• Они не гарантируют работу сайта или почтового сервиса

Правильные имена серверов — это необходимый первый шаг, но не конечный этап.

Почему DNS может не работать, даже если имена серверов правильные

1. Отсутствуют необходимые DNS-записи

Это самая распространённая причина.

Домен может указывать на правильные имена серверов, в то время как сама DNS-зона содержит:

• Отсутствует запись A

• Отсутствует запись AAAA

• Отсутствует запись CNAME

В этом случае запросы DNS успешно достигают авторитетного сервера, но нечего разрешать.

DNS может корректно разрешить на неправильное место назначения.

Типичные примеры:

• Запись A, указывающая на IP старого сервера

• Запись CNAME, указывающая на хост, который больше не существует

• Опечатка, которая не вызывает явной ошибки

С точки зрения DNS-системы запрос успешен, но служба за записью не отвечает ожидаемо.

3. Конфликтующие записи CNAME и A

Стандарты DNS не разрешают coexistence записи CNAME с другими типами записей (например, A или AAAA) для одного и того же имени хоста.

Распространённая ошибка:

?Созданы запись A и запись CNAME для одного и того же имени

Это может вызвать непредсказуемое поведение разрешения и всегда должно быть исправлено.

4. Неправильная активация DNSSEC

DNSSEC добавляет криптографическую проверку к ответам DNS, но частичная или несоответствующая конфигурация может полностью блокировать разрешение.

Типичные сценарии отказа:

• DNSSEC включён на уровне регистратора, но зона DNS не подписана должным образом

• Зона DNS подписана, но записи DS у регистратора отсутствуют или устарели

При сбое проверки резолверы могут полностью отклонять ответы, хотя имена серверов правильные.

Даже при правильной настройке:

• Старые записи или информация об именах серверов могут всё еще находиться в кэше

• Значения TTL определяют, как долго кэш остаётся действительным

Это может временно создавать видимость сломанного DNS, когда он просто ещё не полностью обновлён.

Распространённые заблуждения, вызывающие путаницу

• "Если имена серверов правильные, DNS должен работать."
  Не обязательно. Имена серверов определяют только авторитетность.

• "Ошибка DNS означает, что регистратор не применил моё изменение."
  В большинстве случаев проблема в самой DNS-зоне.

• "Повторное изменение имен серверов исправит это."
  Повторные изменения часто задерживают разрешение, а не помогают.

Краткий список проверок для устранения проблем с DNS

Если имена серверов правильные, но DNS не работает, проверьте следующее по порядку:

1. Указывают ли имена серверов на предполагаемого DNS-провайдера?

2. Содержит ли DNS-зона необходимые записи A, AAAA или CNAME?

3. Правильны ли значения записей и доступны ли они?

4. Есть ли конфликты между записями CNAME и A?

5. Включён ли DNSSEC последовательно как у регистратора, так и у DNS-провайдера?

6. Достаточно ли времени прошло для истечения времени кэширования на основе TTL?

Большинство проблем с DNS можно выявить с помощью этого списка, не прибегая к методам проб и ошибок.

Чёткие границы помогают быстрее решать проблемы:

• Регистратор: публикует делегирование имен серверов и управляет статусом домена

• Имена серверов: предоставляют авторитетные DNS-ответы

• DNS-зона: определяет, какие записи существуют и куда они указывают

• DNSSEC: определяет, можно ли доверять ответам DNS

Если имена серверов правильные, регистратор уже выполнил свою роль. Следующий шаг почти всегда внутри DNS-зоны или конфигурации DNSSEC.