DNS зоны cPanel: различия между версиями
Материал из wiki.p3.ru
TTK (обсуждение | вклад) Новая страница: «= DNS зоны в cPanel = DNS (Domain Name System) - это распределенная система преобразования доменных имен в IP-адреса и другую информацию. Zone Editor в cPanel позволяет управлять DNS записями ваших доменов. == Что такое DNS зона == '''DNS зона''' - это набор DNS записей для конкретного доме...» |
TTK (обсуждение | вклад) Нет описания правки |
||
| Строка 885: | Строка 885: | ||
== См. также == | == См. также == | ||
* [[ | * [[Домены и поддомены cPanel|Управление доменами]] | ||
* [[ | * [[DNS зоны cPanel#TXT (Text Record)|SPF, DKIM, DMARC настройка]] | ||
* [[SSL сертификаты cPanel|SSL и CAA записи]] | * [[SSL/TLS сертификаты в cPanel|SSL и CAA записи]] | ||
* [[Миграция DNS cPanel|Миграция DNS без простоя]] | * [[Миграция DNS cPanel|Миграция DNS без простоя]] | ||
Текущая версия от 16:27, 27 января 2026
DNS зоны в cPanel
DNS (Domain Name System) - это распределенная система преобразования доменных имен в IP-адреса и другую информацию. Zone Editor в cPanel позволяет управлять DNS записями ваших доменов.
Что такое DNS зона
DNS зона - это набор DNS записей для конкретного домена, который определяет:
- Где расположен веб-сайт (A, AAAA записи)
- Куда доставлять почту (MX записи)
- Дополнительные сервисы (SRV, TXT записи)
- Алиасы и перенаправления (CNAME записи)
Каждый домен имеет собственную DNS зону с уникальным набором записей.
Доступ к Zone Editor
Простой режим (Simple Zone Editor)
Для базовых операций:
- Войдите в cPanel
- В разделе DOMAINS выберите Zone Editor
- Отображается список доменов с быстрыми действиями
Доступные быстрые действия:
- +A Record - добавить A-запись
- +CNAME Record - добавить CNAME
- +MX Record - добавить почтовую запись
Расширенный режим (Advanced Zone Editor)
Для полного управления:
- В Zone Editor нажмите Manage напротив домена
- Откроется полный редактор зоны
- Доступны все типы записей и расширенные функции
Структура DNS зоны
Типичная DNS зона содержит:
example.com. 14400 IN SOA ns1.hosting.com. hostmaster.example.com. (
2024012701 ; Serial
3600 ; Refresh
1800 ; Retry
1209600 ; Expire
86400 ) ; Minimum TTL
example.com. 14400 IN NS ns1.hosting.com.
example.com. 14400 IN NS ns2.hosting.com.
example.com. 14400 IN A 192.0.2.1
www.example.com. 14400 IN A 192.0.2.1
example.com. 14400 IN MX 0 mail.example.com.
mail.example.com. 14400 IN A 192.0.2.2
ftp.example.com. 14400 IN CNAME example.com.
Типы DNS записей
SOA (Start of Authority)
Описание: Начальная запись зоны, содержит информацию об авторитетности.
Параметры SOA:
- Primary nameserver - основной DNS сервер
- Email - адрес администратора (точка заменяет @)
- Serial - версия зоны (формат: YYYYMMDDNN)
- Refresh - интервал обновления вторичных серверов
- Retry - интервал повтора при ошибке
- Expire - время жизни зоны
- Minimum TTL - минимальное время кэширования
NS (Name Server)
Описание: Указывает авторитетные DNS серверы для домена.
Пример:
example.com. IN NS ns1.hosting.com. example.com. IN NS ns2.hosting.com.
Где находятся NS записи:
- В зоне домена (authoritative)
- У регистратора домена (делегирование)
A (Address Record)
Описание: Связывает доменное имя с IPv4 адресом.
Создание A записи:
- В Zone Editor нажмите +A Record
- Или в Advanced Editor нажмите Add Record → A
- Заполните поля:
| Поле | Значение | Пример |
|---|---|---|
| Name | Имя хоста | example.com. или www
|
| TTL | Время жизни в секундах | 14400 (4 часа)
|
| Type | Тип записи | A
|
| Address | IPv4 адрес | 192.0.2.1
|
- Нажмите Add Record
Примеры использования:
Корень домена:
example.com. 14400 IN A 192.0.2.1
Поддомен:
blog.example.com. 14400 IN A 192.0.2.10
WWW:
www.example.com. 14400 IN A 192.0.2.1
Wildcard (все поддомены):
*.example.com. 14400 IN A 192.0.2.1
AAAA (IPv6 Address)
Описание: Связывает доменное имя с IPv6 адресом.
Создание: Аналогично A записи, но указывается IPv6 адрес.
Пример:
example.com. 14400 IN AAAA 2001:0db8:85a3:0000:0000:8a2e:0370:7334
Сокращенная форма:
example.com. 14400 IN AAAA 2001:db8:85a3::8a2e:370:7334
CNAME (Canonical Name)
Описание: Создает псевдоним (алиас) для другого доменного имени.
Правила CNAME:
- Не может использоваться для корня домена (@)
- Не может сосуществовать с другими записями для того же имени
- Указывает на доменное имя, не на IP адрес
- Может указывать на запись вне зоны
Создание:
- Нажмите +CNAME Record
- Заполните:
- Name: имя алиаса (например,
wwwилиftp) - Record: целевое доменное имя (например,
example.com.) - TTL: время жизни
- Name: имя алиаса (например,
Примеры:
WWW как алиас:
www.example.com. 14400 IN CNAME example.com.
FTP указывает на основной домен:
ftp.example.com. 14400 IN CNAME example.com.
Внешний сервис (CDN):
cdn.example.com. 14400 IN CNAME cdn-provider.net.
Поддомен на другой хостинг:
shop.example.com. 14400 IN CNAME myshop.shopify.com.
MX (Mail Exchanger)
Описание: Указывает почтовые серверы для приема email.
Параметры:
- Priority - приоритет (меньше = выше приоритет)
- Mail Server - FQDN почтового сервера
Создание MX записи:
- Нажмите +MX Record
- Заполните:
- Priority: 0 (основной), 10 (резервный), 20 (дополнительный)
- Destination: FQDN почтового сервера
Примеры конфигураций:
Один почтовый сервер:
example.com. 14400 IN MX 0 mail.example.com. mail.example.com. 14400 IN A 192.0.2.2
С резервным сервером:
example.com. 14400 IN MX 0 mail.example.com. example.com. 14400 IN MX 10 mail2.example.com. mail.example.com. 14400 IN A 192.0.2.2 mail2.example.com. 14400 IN A 192.0.2.3
Внешний почтовый сервис (Google Workspace):
example.com. 14400 IN MX 1 aspmx.l.google.com. example.com. 14400 IN MX 5 alt1.aspmx.l.google.com. example.com. 14400 IN MX 5 alt2.aspmx.l.google.com. example.com. 14400 IN MX 10 alt3.aspmx.l.google.com. example.com. 14400 IN MX 10 alt4.aspmx.l.google.com.
Microsoft 365:
example.com. 14400 IN MX 0 example-com.mail.protection.outlook.com.
TXT (Text Record)
Описание: Содержит произвольную текстовую информацию.
Использование:
- SPF (Sender Policy Framework) - защита от спуфинга
- DKIM (DomainKeys Identified Mail) - подпись email
- DMARC (Domain-based Message Authentication) - политика аутентификации
- Верификация домена (Google, Microsoft, и др.)
- Site verification
- Другая метаинформация
SPF (Sender Policy Framework)
Назначение: Указывает, какие серверы могут отправлять почту от вашего домена.
Синтаксис:
v=spf1 механизмы модификаторы
Механизмы:
- a - IP из A записи домена
- mx - IP из MX записей
- ip4:IP - конкретный IPv4 адрес
- ip6:IP - конкретный IPv6 адрес
- include:домен - включить SPF другого домена
- all - все остальные
Квалификаторы:
- + (pass) - разрешить
- - (fail) - запретить
- ~ (softfail) - мягкий отказ (обычно помечается как спам)
- ? (neutral) - нейтрально
Примеры SPF:
Базовая конфигурация:
example.com. IN TXT "v=spf1 a mx ~all"
Разрешает: серверы из A и MX записей, остальное - softfail.
С конкретными IP:
example.com. IN TXT "v=spf1 +a +mx +ip4:192.0.2.1 +ip4:203.0.113.0/24 ~all"
С внешними сервисами:
example.com. IN TXT "v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all"
Строгая политика:
example.com. IN TXT "v=spf1 +a +mx -all"
Только A и MX, остальное - жесткий отказ.
DKIM (DomainKeys Identified Mail)
Назначение: Цифровая подпись email для подтверждения подлинности.
Формат записи:
селектор._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=публичный_ключ"
Пример:
default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."
Параметры:
- v=DKIM1 - версия протокола
- k=rsa - тип ключа (RSA)
- p=ключ - публичный ключ в base64
- t=s - строгий режим (опционально)
- s=email - тип сервиса (опционально)
Генерация DKIM в cPanel:
- Перейдите в Email Deliverability
- Нажмите Manage напротив домена
- В разделе DKIM нажмите Install the DKIM Keys
- Ключи будут созданы и установлены автоматически
DMARC (Domain-based Message Authentication)
Назначение: Определяет политику обработки писем, не прошедших SPF/DKIM проверку.
Формат:
_dmarc.example.com. IN TXT "v=DMARC1; p=политика; параметры"
Политики:
- p=none - только мониторинг (рекомендуется для начала)
- p=quarantine - помещать в спам
- p=reject - отклонять письма
Примеры DMARC:
Базовый (мониторинг):
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
Карантин с отчетами:
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@example.com; ruf=mailto:forensics@example.com"
Строгая политика:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@example.com"
Параметры DMARC:
- rua - адрес для агрегированных отчетов
- ruf - адрес для форензик отчетов
- pct - процент писем для применения политики (0-100)
- adkim - режим выравнивания DKIM (r=relaxed, s=strict)
- aspf - режим выравнивания SPF (r=relaxed, s=strict)
- fo - опции генерации отчетов
Верификация домена
Google Search Console:
example.com. IN TXT "google-site-verification=код_верификации"
Microsoft (Bing Webmaster Tools):
example.com. IN TXT "ms=MS12345678"
Facebook Domain Verification:
example.com. IN TXT "facebook-domain-verification=код"
SRV (Service Record)
Описание: Определяет расположение служб (протокол, приоритет, порт).
Формат:
_сервис._протокол.домен. TTL IN SRV приоритет вес порт цель
Параметры:
- Service - имя сервиса (например, _sip, _xmpp)
- Protocol - протокол (_tcp или _udp)
- Priority - приоритет (меньше = выше)
- Weight - вес (для балансировки)
- Port - порт службы
- Target - FQDN сервера
Примеры SRV записей:
SIP (VoIP):
_sip._tcp.example.com. 14400 IN SRV 10 60 5060 sipserver.example.com. _sip._udp.example.com. 14400 IN SRV 10 60 5060 sipserver.example.com.
XMPP (Jabber):
_xmpp-client._tcp.example.com. 14400 IN SRV 5 0 5222 xmpp.example.com. _xmpp-server._tcp.example.com. 14400 IN SRV 5 0 5269 xmpp.example.com.
Minecraft сервер:
_minecraft._tcp.example.com. 14400 IN SRV 0 5 25565 mc.example.com.
Microsoft Teams:
_sip._tls.example.com. 14400 IN SRV 100 1 443 sipdir.online.lync.com. _sipfederationtls._tcp.example.com. 14400 IN SRV 100 1 5061 sipfed.online.lync.com.
CAA (Certification Authority Authorization)
Описание: Указывает, какие центры сертификации (CA) могут выдавать SSL сертификаты для домена.
Формат:
example.com. IN CAA флаги тег "значение"
Теги:
- issue - разрешить выдачу сертификатов
- issuewild - разрешить wildcard сертификаты
- iodef - URL для уведомлений о нарушениях
Флаги:
- 0 - не критичная запись
- 128 - критичная запись (CA должен понимать)
Примеры CAA:
Разрешить Let's Encrypt:
example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issuewild "letsencrypt.org"
Несколько CA:
example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issue "digicert.com" example.com. IN CAA 0 issuewild "letsencrypt.org"
Запретить выдачу:
example.com. IN CAA 0 issue ";"
С уведомлениями:
example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 iodef "mailto:security@example.com"
PTR (Pointer Record)
Описание: Обратная DNS запись, связывающая IP адрес с доменным именем.
Использование:
- Проверка обратного DNS для почтовых серверов
- Улучшение доставляемости email
- Идентификация хостов
Пример:
1.2.0.192.in-addr.arpa. IN PTR mail.example.com.
NAPTR (Naming Authority Pointer)
Описание: Сложные правила преобразования для телефонии и других служб.
Использование:
- ENUM (телефония)
- Динамическое делегирование
- Специализированные протоколы
TTL (Time To Live)
Что такое TTL: Время (в секундах), в течение которого DNS запись кэшируется.
Типичные значения:
| Время | Секунды | Когда использовать |
|---|---|---|
| 5 минут | 300 | Перед миграцией, тестирование |
| 30 минут | 1800 | Частые изменения |
| 1 час | 3600 | Обычные записи |
| 4 часа | 14400 | Рекомендуется по умолчанию |
| 1 день | 86400 | Стабильные записи |
| 1 неделя | 604800 | Очень стабильные (NS записи) |
Стратегия TTL:
- Перед миграцией: снизьте TTL до 300-600 секунд за 24-48 часов
- Во время миграции: измените записи
- После миграции: через 24-48 часов поднимите TTL обратно
Расширенное управление зоной
Экспорт DNS зоны
Для резервного копирования или переноса:
- Advanced Zone Editor
- Прокрутите вниз до Actions
- Нажмите DNSSEC или используйте кнопку экспорта (если доступна)
Альтернативно, через SSH:
# Экспорт зоны в BIND формате
named-checkzone example.com /var/named/example.com.db
Импорт DNS записей
Массовое добавление записей через API или WHM (требуется root доступ).
DNSSEC (DNS Security Extensions)
Описание: Криптографическая защита DNS от подделки.
Включение DNSSEC в cPanel:
- Advanced Zone Editor
- Раздел DNSSEC
- Нажмите Enable DNSSEC
- Скопируйте DS записи
- Добавьте DS записи у регистратора домена
DS записи пример:
example.com. 3600 IN DS 12345 13 2 ABC123...
Множественные IP адреса (Round-Robin DNS)
Для балансировки нагрузки добавьте несколько A записей:
example.com. 14400 IN A 192.0.2.1 example.com. 14400 IN A 192.0.2.2 example.com. 14400 IN A 192.0.2.3
DNS сервер будет возвращать IP в случайном порядке.
Проверка DNS записей
Инструменты проверки
Через cPanel (Track DNS)
- Перейдите в Track DNS
- Введите домен
- Просмотрите все DNS записи
- Проверьте, корректны ли записи
Онлайн инструменты
- WhatsMyDNS.net - глобальная проверка распространения
- MXToolbox - комплексная проверка DNS, MX, SPF
- DNS Checker - проверка всех типов записей
- Dig Web Interface - детальный анализ
Командная строка
nslookup:
# Основной запрос
nslookup example.com
# Конкретный тип записи
nslookup -type=mx example.com
nslookup -type=txt example.com
nslookup -type=ns example.com
# Использование конкретного DNS сервера
nslookup example.com 8.8.8.8
dig (рекомендуется):
# Все записи
dig example.com ANY
# Конкретный тип
dig example.com A
dig example.com MX
dig example.com TXT
dig example.com NS
# С трассировкой
dig example.com +trace
# Проверка DNSSEC
dig example.com +dnssec
# Короткий вывод
dig example.com +short
# Обратный DNS
dig -x 192.0.2.1
host:
# Простой запрос
host example.com
# Детальная информация
host -a example.com
# MX записи
host -t mx example.com
PowerShell (Windows)
# A запись
Resolve-DnsName example.com -Type A
# MX записи
Resolve-DnsName example.com -Type MX
# Все записи
Resolve-DnsName example.com -Type ALL
# Использование конкретного DNS
Resolve-DnsName example.com -Server 8.8.8.8
Время распространения DNS
Факторы, влияющие на распространение:
- TTL предыдущей записи
- Кэш DNS резолверов
- Кэш локального провайдера
- Географическое распределение
Типичные сроки:
- Локально: мгновенно (после очистки кэша)
- У провайдера: 1-4 часа
- Глобально: 24-48 часов
Ускорение распространения:
- Снизьте TTL до 300 секунд заранее
- Подождите старый TTL перед изменением
- Измените записи
- Проверьте через разные DNS (8.8.8.8, 1.1.1.1)
Решение проблем
Домен не резолвится
Проверьте:
- NS записи у регистратора совпадают с cPanel
- SOA запись существует и корректна
- A запись для домена существует
- DNS серверы хостинга доступны
# Проверка NS записей
dig example.com NS
# Проверка доступности DNS сервера
dig @ns1.hosting.com example.com
Почта не доставляется
Проверьте:
- MX записи настроены правильно
- MX указывает на A запись (не CNAME)
- SPF запись корректна
- DKIM установлен
- Обратный DNS (PTR) настроен
# Проверка MX
dig example.com MX
# Проверка SPF
dig example.com TXT | grep spf
# Полный тест почты
mxtoolbox.com/SuperTool.aspx
Изменения DNS не применяются
Причины:
- Старый TTL еще не истек
- Изменения в неправильной зоне
- DNS кэш не очищен
- Изменения у регистратора, а не в cPanel
Решение:
# Очистка DNS кэша
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache
sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Или перезапустите браузер
Ошибка "SERVFAIL"
Причины:
- DNSSEC неправильно настроен
- Отсутствуют NS записи
- DNS сервер недоступен
- Циклическая зависимость CNAME
Решение:
- Проверьте DNSSEC у регистратора
- Убедитесь в корректности NS записей
- Проверьте цепочку CNAME (max 10 уровней)
Wildcard SSL не работает с Wildcard A записью
Проблема:
*.example.com IN A 192.0.2.1
Wildcard A покрывает все поддомены, но для wildcard SSL нужны конкретные записи.
Решение: Создайте A записи для каждого поддомена, требующего SSL:
blog.example.com IN A 192.0.2.1 shop.example.com IN A 192.0.2.1
Безопасность DNS
Рекомендации
- Используйте CAA записи
- Ограничьте выдачу SSL сертификатов
- Настройте SPF, DKIM, DMARC
- Защита от спуфинга email
- Включите DNSSEC
- Защита от подделки DNS
- Ограничьте доступ к Zone Editor
- Используйте сложные пароли
- Включите 2FA для cPanel
- Мониторьте изменения
- Регулярно проверяйте DNS записи
- Настройте уведомления об изменениях
- Документируйте конфигурацию
- Ведите changelog изменений
- Делайте экспорт зон регулярно
DNS атаки
DNS Spoofing (подделка):
- Защита: DNSSEC
DNS Amplification (усиление DDoS):
- Защита: rate limiting на DNS серверах (настраивается хостером)
Cache Poisoning (отравление кэша):
- Защита: DNSSEC, обновление DNS сервера
Subdomain Takeover:
- Удаляйте CNAME записи на неиспользуемые сервисы
Лучшие практики
- Планирование изменений
- Снижайте TTL за 24-48 часов
- Делайте изменения в непиковое время
- Тестируйте на тестовом поддомене
- Резервное копирование
- Экспортируйте зону перед изменениями
- Сохраняйте историю изменений
- Документирование
- Записывайте назначение каждой записи
- Ведите changelog
- Тестирование
- Проверяйте изменения через dig/nslookup
- Используйте онлайн инструменты
- Тестируйте с разных локаций
- Мониторинг
- Настройте алерты на изменения
- Регулярно проверяйте конфигурацию
- Мониторьте доступность DNS
Шаблоны DNS конфигураций
Стандартный веб-сайт
example.com. 14400 IN A 192.0.2.1 www.example.com. 14400 IN A 192.0.2.1 example.com. 14400 IN MX 0 mail.example.com. mail.example.com. 14400 IN A 192.0.2.2 example.com. 14400 IN TXT "v=spf1 a mx ~all" default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=..." _dmarc.example.com. 14400 IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
С CDN (Cloudflare)
example.com. 300 IN A 104.17.x.x www.example.com. 300 IN A 104.17.x.x ftp.example.com. 14400 IN A 192.0.2.1 ; прямой доступ example.com. 14400 IN MX 0 mail.example.com. mail.example.com. 14400 IN A 192.0.2.2
Микросервисная архитектура
example.com. 14400 IN A 192.0.2.1 www.example.com. 14400 IN CNAME example.com. api.example.com. 14400 IN A 192.0.2.10 cdn.example.com. 14400 IN CNAME cdn-provider.net. app.example.com. 14400 IN A 192.0.2.11 admin.example.com. 14400 IN A 192.0.2.12
С внешними сервисами
example.com. 14400 IN A 192.0.2.1 www.example.com. 14400 IN A 192.0.2.1 shop.example.com. 14400 IN CNAME shops.myshopify.com. blog.example.com. 14400 IN CNAME domains.tumblr.com. example.com. 14400 IN MX 1 aspmx.l.google.com.
См. также
Внешние ссылки
- IANA Root Zone Database
- DNS Checker
- MXToolbox - DNS & Email Tools
- Cloudflare DNS Learning Center
- Wikipedia: DNS Record Types
---
Последнее обновление: 30 январь 2026
