💡 Полезные Советы

DNS (Domain Name System - Система доменных имён) - это фундаментальная система "поиска адресов" в Интернете. Можно представить, как гигантскую "телефонную книгу" Интернета - где имя(доменное имя сайта, например google.com), а телефон(ip-адрес).

DNSSEC (DNS Security Extensions - Расширения безопасности DNS) - это набор расширений, который делает этот поиск безопасным, защищая от подделки ответов и перенаправления на вредоносные сайты. DNSSEC не заменяет DNS, а защищает его данные. Можно представить, как "систему печатей и проверку их подлинности в телефонной книге", которая гарантирует , что злоумышленник не подменил номера телефонов на свои.

Google Public DNS

У Google Public DNS есть основной адрес 8.8.8.8 и резервный 8.8.4.4 - это бесплатные DNS-сервера, которыми может воспользоваться любой желающий в мире вместо DNS-серверов, предоставляемых по умолчанию его интернет-провайдером (ISP).

Плюсы:

1. Google Public DNS поддерживает современные стандарты (включая DNSSEC!) и может предоставлять более точные результаты в некоторых случаях.
2. Иногда провайдеры блокируют доступ к определенным сайтам на уровне своих DNS или их серверы работают медленно или ненадежно.
3. Серверы Google обычно очень быстрые и обладают высокой доступностью.

О времени NTP.

Настройка NTP-серверов (Network Time Protocol) критически важна для корректной работы компьютеров и сетевых устройств.

Цифровые подписи DNSSEC имеют срок действия (валидности), как и SSL-сертификаты. Они содержат поля: Inception Time (Время начала действия) и Expiration Time (Время окончания действия).

Что делает валидатор (на резолвере): Когда резолвер получает DNS-ответ и подписи DNSSEC, он обязан проверить текущее время (по своим часам) на соответствие этим временным меткам.

Если время отличается: Для пользователя будет указано, например : "Не удается получить доступ к сайту" А детальная информация: text ERR_NAME_NOT_RESOLVED или DNS_PROBE_FINISHED_BAD_CONFIG

MX (Mail Exchange) — указывает серверы для приёма электронной почты. Содержит приоритет (чем меньше число, тем выше приоритет). Пример: example.com. MX 10 mail.example.com example.com. MX 50 backup-mail.example.com

SOA (Start of Authority) - содержит серийный номер зоны, который увеличивается при любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день – например 20241005.

NS (Name Server) – содержит "официальные" серверы DNS текущей зоны. Пример: example.com. NS ns1.example.com.

RP (Responsible Person) – содержит e-mail лица, ответственного за внесение изменений в записи зоны. Желательно поддерживать этот адрес всегда в актуальном состоянии. Помните, что символ @ в нём заменяется точкой. Например, если admin@example.com, то admin.example.com

A (Host Address) – содержит информацию об имени системы и ее IP-адресе. Эта запись добавляется в DNS-сервер при регистрации узла.

PTR (Pointer, указатель) – запись обратной зоны. Обычно DNS-сервер автоматически создает или изменяет эту запись при создании или изменении записи А в прямой зоне.

CNAME (Canonical NAME) - создаёт псевдоним для другого доменного имени. Пример: www.example.com. CNAME example.com.

SRV (Service) — указывает серверы для определённых сервисов (например, SIP, LDAP). Пример: text _sip._tcp.example.com. SRV 10 60 5060 sipserver.example.com.

Для обновления записей DNS на клиентских компьютерах следует очистить кеш DNS-записей командой: ipconfig /flushdns

Для разрешения имен в DNS предусмотрено два типа запросов: итеративный и рекурсивный.

Итеративный запрос служит для получения от DNS-сервера, которому он направлен, наилучшего ответа, который может быть получен без обращения к другим DNS-серверам.

Рекурсивный запрос предполагает, что сервер DNS должен осуществить все операции для разрешения имени. Обычно для этой цели необходимо выполнить несколько запросов к различным DNS-серверам.

Ранее, когда не было службы DNS, IP-адреса в сети задавались вручную – с помощью файла host. В нём прописывались IP-адреса и символьные имена компьютеров. Затем этот файл тиражировался по всем компьютерам сети, чтобы все они могли разрешать доменные имя и IP-адреса друг друга.

Недостаток этого способа – необходимость вручную контролировать состав сети. В небольшой сети со статическими IP-адресами это сделать относительно просто, особенно если учесть, что состав таких сетей часто не меняется.

Но если в вашей сети используется DHCP-сервер (а где он сейчас не используется?), вряд ли вы будете вручную задавать имена узлов через файл hosts. Но если Windows не может динамически определить имена (IP-адреса) хостов, то система использует содержимое файлов hosts, networks, и lmhosts.

Все три файла находятся в папке %systemroot%\system32\drivers\etc.

Если ранее соединение работало стабильно, высока вероятность, что текущая проблема вызвана изменениями в настройках вашего интернет-провайдера. Основные возможные причины:

1 . Некорректное перенаправление трафика

• Внедрения собственных сертификатов для анализа HTTPS-трафика (что может нарушать цепочку доверия SSL). (например, по требованию регуляторов).

2 . Фильтрация или MITM-атаки

• В редких случаях провайдеры могут использовать методы типа Man-in-the-Middle (MITM) для анализа трафика, что приводит к ошибкам валидации сертификатов.

Решение:

Попробуйте изменить DNS вашего Интернет-подключения: установить серверы 8.8.8.8 и 8.8.4.4. Не забудьте сбросить кэш DNS после этого: запустите командную строку от имени администратора и используйте команду ipconfig /flushdns

Как изменить DNS-серверы:

1. Нажмите сочетание клавиш Win + R, введите control и нажмите ОК.
2. Перейдите в Центр управления сетями и общим доступом.
3. Выберите активное подключение (Ethernet или Wi-Fi) и откройте его Свойства.
4. В списке компонентов найдите IP версии 4 (TCP/IPv4) и нажмите Свойства.
5. Установите переключатель на Использовать следующие адреса DNS-серверов и введите: ```text Предпочитаемый DNS-сервер: 8.8.8.8

Альтернативный DNS-сервер: 8.8.4.4 ```

1. Сохраните изменения.