NS-poster og delegering forklart
NS-poster peker til de autoritative navnetjenerne for et domene. Her er hva de gjør, hva delegering betyr i praksis, og hva Norid krever for .no.
Bak hvert domenenavn finnes et sett med servere som vet hva alle DNS-postene for det domenet er. Disse serverne kalles autoritative navnetjenere, og det er NS-postene som peker til dem. Uten NS-poster vet ikke resten av internett hvilke servere som er ansvarlige for domenet ditt – og oppslag vil mislykkes.
NS-poster er kanskje den mest fundamentale DNS-posten etter SOA, men de er også den posten de fleste domeneiere tenker minst på. Her er hva du bør vite.
Hva er en NS-post?
En NS-post (Name Server record) inneholder vertsnavnet til en navnetjener som er autoritativ for domenet. Et domene har alltid minst to NS-poster – én primær og én eller flere sekundære – for redundans.
Et eksempel:
eksempel.no NS ns1.vymo.no
eksempel.no NS ns2.vymo.no
Dette betyr: spørsmål om eksempel.no og alle underdomener under det skal rettes til ns1.vymo.no og ns2.vymo.no.
NS-postene er ikke bare lagret i sonen – de er også registrert hos Norid (for .no-domener) som en del av delegeringen. Begge steder må stemme overens.
Hva er delegering?
Delegering er prosessen der en overordnet navnetjener overlater ansvaret for en del av DNS-hierarkiet til en annen navnetjener.
Hierarkiet ser slik ut:
- Rotnivå (
.) – kjenner til alle TLD-navnetjenere - TLD-navnetjener (
.no) – drives av Norid, kjenner til alle .no-domener - Domenet ditt (
eksempel.no) – dine navnetjenere er autoritative
Når du registrerer eksempel.no hos Vymo og setter navnetjenere, registrerer Vymo disse hos Norid. Norid legger da inn en delegering i .no-sonen: «Spørsmål om eksempel.no skal rettes til disse navnetjenerne.»
Dette er selve kjernen i DNS – et distribuert system der ansvar delegeres nedover i hierarkiet.
Hva krever Norid for .no-domener?
Norid stiller tekniske krav til navnetjenere som skal håndtere .no-domener. De viktigste:
- Minimum to navnetjenere – for redundans
- Navnetjenerne må svare autoritativt – de må faktisk ha sonedataene, ikke bare videresende
- Tilgjengelighet – navnetjenerne skal svare på DNS-forespørsler (UDP og TCP, port 53) fra internett
Navnetjenerne som Vymo tilbyr oppfyller alle disse kravene automatisk. Bruker du tredjeparts navnetjenere (f.eks. Cloudflare eller egne servere), er det ditt ansvar at de møter Norids krav.
NS-poster vs. navnetjener-innstillingen hos registraren
Det er to steder navnetjenere er konfigurert, og de må henge sammen:
| Sted | Hva det er |
|---|---|
| Hos registraren (Vymo/Norid) | Hvilke navnetjenere Norid delegerer til – dette styres via registrarkontoen din |
| I sonen (NS-poster i DNS) | NS-postene som de autoritative navnetjenerne selv svarer med |
Disse to må matche. Hvis registraren delegerer til ns1.vymo.no, men NS-postene i sonen sier ns1.annen.no, vil oppslag oppføre seg uforutsigbart.
Når endrer du navnetjenere?
Du endrer navnetjener-innstillingen (og dermed NS-delegeringen) når du:
- Bytter DNS-leverandør (f.eks. fra Vymo DNS til Cloudflare)
- Setter opp egne autoritative navnetjenere
- Overfører domenet til en ny registrar
Les mer om prosessen i Slik endrer du navnetjenere for .no-domenet ditt .
NS-poster for subdomener (subdelegering)
Det er også mulig å delegere subdomener til egne navnetjenere. For eksempel kan app.eksempel.no delegeres til et eget sett med navnetjenere som er uavhengige av resten av eksempel.no. Dette kalles subdelegering og er nyttig for store organisasjoner med separate IT-ansvarlige for ulike deler av infrastrukturen.
Subdelegering settes opp ved å legge NS-poster for subdomenet i foreldresonen:
app.eksempel.no NS ns1.intern-dns.no
app.eksempel.no NS ns2.intern-dns.no
Glue-poster: når navnetjeneren er i sitt eget domene
En spesialsituasjon oppstår dersom navnetjeneren din er et subdomene av domenet du delegerer. For eksempel:
eksempel.no NS ns1.eksempel.no
Her er ns1.eksempel.no et subdomene av eksempel.no – men for å finne ns1.eksempel.no trenger man å spørre navnetjeneren for eksempel.no. En sirkulær avhengighet!
Løsningen er glue-poster: A-poster for navnetjeneren legges inn direkte i den overordnede sonen (.no-sonen hos Norid), slik at resolvere kan finne IP-adressen uten å gå i sirkel. Vymo håndterer dette automatisk ved behov.
Sjekke NS-poster
Du kan verifisere NS-postene for et domene med kommandolinjeverktøyet dig:
dig NS eksempel.no
Svaret viser hvilke navnetjenere Norid delegerer til. Stemmer det med hva du har satt opp i kontrollpanelet ditt ? Da er alt i orden. Er det avvik, er det på tide å undersøke – se DNS-feilsøking for hjelp.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.