Appendix A - Typfall för en ompekning av ett domännamn

Här förklaras hur en ”ompekning” av ett domännamn under .se ska göras för att minimera nödvändig nedtid för både DNS-tjänsten och kringtjänster som webb och e-post. Ompekning är detsamma som att byta auktoritativ namnserver för domännamnet. Det sker till exempel när domäninnehavaren byter registrar. Men det händer också att en innehavare bara byter namnserveroperatör och leverantör av kringtjänster, utan att för den skull byta registrar.

Det finns en inneboende tröghet i DNS-tjänsten på grund av att de rekursiva resolvrarna mellanlagrar DNS-svar enligt det TTL-värde som den zonansvariga har satt. Därför är det viktigt att göra flytten i två steg för att webb-och e-posttjänster ska hållas i drift under hela processen. När man byter från tjänsteleverantör 1 (TL1) till tjänsteleverantör 2 (TL2) ska man:

  1. Flytta DNS-tjänsten från TL1 till TL2.
  2. När ompekningen slagit igenom på internet (det vill säga när 2. TTL har gått ut – vilket är 24 timmar för domäner under .se) flytta alla eventuella övriga tjänster (som webb och e-post) från TL1 till TL2.

Flödet nedan minimerar nedtiden för webb-och e-posttjänster till någon minut. (För tydlighetens skull antas det här att det bara finns en auktoritativ namnserver för domännamnet, fast det i verkligheten nästan alltid finns fler än en. Vid varje steg där namnserver anges, ska samtliga namnservrar anges.)

Typfall 1 – Domännamn utan DNSSEC-signering

Figur 10. DNS-uppslagning under ompekning. Resolvrar med mellanlagrade DNS-svar (Fall A) ställer frågan till den auktoritativa namnservern hos TL1. Andra resolvrar (Fall B) frågar IIS namnserver och hänvisas då till TL2. För minimal nedtid ska både TL1 och TL2 svara med IP-adresser hos TL1 under övergången.
Figur 10. DNS-uppslagning under ompekning. Resolvrar med mellanlagrade DNS-svar (Fall A) ställer frågan till den auktoritativa namnservern hos TL1. Andra resolvrar (Fall B) frågar IIS namnserver och hänvisas då till TL2. För minimal nedtid ska både TL1 och TL2 svara med IP-adresser hos TL1 under övergången.
  1. TTL minskas
    Om tjänsteleverantören tillåter det, ska TTL för tjänsterna hos TL1 minskas till en väldigt kort period, 1–5 minuter. På detta vis kommer flytten av webb-och e-posttjänster att gå snabbt när den genomförs. Det ska göras först av allt för att förändringen ska hinna slå igenom innan flytten sker. Om befintlig TTL hos TL1 bedöms som tillräckligt kort kan detta steg hoppas över.
  2. Den nya DNS-tjänsten konfigureras med bibehållna tjänster
    All DNS-data för domännamnet begärs ut från TL1. Går det inte att få ut uppgifterna från TL1 kan man också få fram dem med hjälp av verktyget dig. Sedan konfigureras DNS-tjänsten hos TL2 med samma uppgifter, förutom vad gäller den auktoritativa namnservern (NS-posten) som ska vara TL2:s. Denna namnserver kommer då under övergången att peka till IP-adresserna för webb-och e-postservrarna hos TL1. På så vis kommer tjänsterna att fungera även under den tid det tar för alla rekursiva resolvrar att få de nya DNS-uppgifterna, vilket är beroende av de TTL-värden som IIS och TL1 har satt för sina respektive zoner.
  3. Test av den nya DNS-tjänsten
    Ett så kallat ”odelegerat domäntest” med IIS tjänst DNSCheck (som finns på http://dnscheck.iis.se) säkerställer att den auktoritativa namnservern hos TL2 är redo att svara på DNS-frågor om domännamnet.
  4. Registrering av ny auktoritativ namnserver hos IIS
    Ska man byta registrar för domännamnet görs detta genom att en särskild kod begärs ut från TL1 (ifall detta är den gamla registraren) och ges till TL2 (den nya registraren). TL2 ser då till att registrera den nya auktoritativa namnservern för domännamnet hos IIS, alternativt ger instruktioner kring hur detta ska göras. När det har genomförts inleds övergången till den nya auktoritativa namnservern. Om man inte ska byta registrar, utan har .SE Direkt som registrar och endast vill byta namnserveroperatör, så används i stället .SE Direkts domänhanterare för att ange ny namnserver.
  5. Test av att .SE har rätt information
    Efter tre timmar har .se-zonen uppdateras. Då kan man med hjälp av IIS tjänst DNSCheck (som finns på http://dnscheck. iis.se) kontrollera att DNS-svaren innehåller rätt information. Förutom vad gäller NS-posten ska den auktoritativa namnservern hos TL2 tills vidare tillhandahålla exakt samma uppgifter som namnservern hos TL1. Om så ej är fallet, ska TL2 rätta till felaktigheterna.
  6. TTL ska ta slut
    Under övergången kommer den auktoritativa namnservern hos TL1 att fortsätta svara på DNS-uppslagningar från rekursiva resolvrar som har lagrat tidigare DNS-svar i sitt cacheminne. Allt eftersom tiden går kommer dock de mellanlagrade uppgifternas TTL att ta slut. Då begär den rekursiva resolvern ett nytt svar om domännamnet från en av IIS auktoritativa namn-servrar som hänvisar frågan till namnservern hos TL2. TTL för .se-zonen är 24 timmar och om TL1 inte har längre TTL än så (vilket är föga troligt) så kommer samtliga rekursiva resolvrar att hänvisa till TL2 efter 24 timmar.
  7. Webb- och e-posttjänster flyttas till TL2
    Nu kan DNS-tjänsten hos TL2 konfigureras om så att den pekar ut IP-adresser för webb-och e-postservrar hos TL2 i stället för TL1. Den enda nedtid som då krävs för webbplats och e-post är den TTL som ställdes in innan ompekningen startades, det vill säga 1–5 minuter.
  8. Samtliga tjänster hos TL1 stängs ned
    När TTL har tagit slut hamnar alla DNS-förfrågningar hos TL2 och därför kan nu alla tjänster hos TL1 avslutas.
  9. TTL återställs
    När flytten är klar återställs TTL för tjänsterna hos TL2 till det tidigare värdet. Nu har ompekningen genomförts med minimal nedtid.
Figur 11. DNS-uppslagning när ompekningen är slutförd. Både resolvrar med mellanlagrade DNS-svar (Fall A) och andra resolvrar (Fall B) hänvisas till den auktoritativa namnservern hos TL2 som svarar med de nya IP-adresserna hos TL2.
Figur 11. DNS-uppslagning när ompekningen är slutförd. Både resolvrar med mellanlagrade DNS-svar (Fall A) och andra resolvrar (Fall B) hänvisas till den auktoritativa namnservern hos TL2 som svarar med de nya IP-adresserna hos TL2.

Typfall 2 – Domännamn med DNSSEC-signering

  1. TTL minskas
    Om tjänsteleverantören tillåter det, ska TTL för tjänsterna hos TL1 minskas till en väldigt kort period, 1–5 minuter. På detta vis kommer flytten av webb-och e-posttjänster att gå snabbt när den genomförs. Det ska göras först av allt för att förändringen ska hinna slå igenom innan flytten sker. Om befintlig TTL hos TL1 bedöms som tillräckligt kort kan detta steg hoppas över.
  2. DS-nycklar tas bort
    Registraren för domännamnet (TL1 eller .SE Direkt) ska ta bort den DS-nyckel som är producerad hos IIS. Om detta inte görs kommer ompekningen att få till följd att DNSSEC-svaren från TL2 går sönder. Signeringen av zonen behöver däremot inte stängas av. Zonen blir dock oskyddad under själva ompekningen. Utvecklingsarbete pågår för att detta ska kunna undvikas i framtiden.
  3. Den nya DNS-tjänsten konfigureras med bibehållna tjänster
    All DNS-data för domännamnet begärs ut från TL1. Går det inte att få ut uppgifterna från TL1 kan man också få fram dem med hjälp av verktyget dig. Sedan konfigureras DNS-tjänsten hos TL2 med samma uppgifter, förutom vad gäller den auktoritativa namnservern (NS-posten) som ska vara TL2:s. Denna namnserver kommer då under övergången att peka till IP-adresserna för webb-och e-postservrarna hos TL1. På så vis kommer tjänsterna att fungera även under den tid det tar för alla rekursiva resolvrar att få de nya DNS-uppgifterna, vilket är beroende av de TTL-värden som IIS och TL1 har satt för sina respektive zoner.
  4. Zonen signeras hos TL2
    När DNS-tjänsten etableras hos TL2 ska zonen signeras med DNSSEC även här.
  5. Test av den nya DNS-tjänsten
    Ett så kallat ”odelegerat domäntest” med IIS tjänst DNSCheck (som finns på http://dnscheck.iis.se) säkerställer att den auktoritativa namnservern hos TL2 är redo att svara på DNS-frågor om domännamnet.
  6. Registrering av ny auktoritativ namnserver hos .SE
    Ska man byta registrar för domännamnet görs detta genom att en särskild kod begärs ut från TL1 (ifall detta är den gamla registraren) och ges till TL2 (den nya registraren). TL2 ser då till att registrera den nya auktoritativa namnservern för domännamnet hos .SE, alternativt ger instruktioner kring hur detta ska göras. När det har genomförts inleds övergången till den nya auktoritativa namnservern. Om man inte ska byta registrar, utan har .SE Direkt som registrar och endast vill byta namnserveroperatör, så används i stället .SE Direkts domänhanterare för att ange ny namnserver.
  7. Test av att .SE har rätt information
    Efter tre timmar har .se-zonen uppdateras. Då kan man med hjälp av IIS tjänst DNSCheck (som finns på http://dnscheck.iis.se) kontrollera att DNS-svaren innehåller rätt information. Förutom vad gäller NS-posten ska den auktoritativa namnservern hos TL2 tills vidare tillhandahålla exakt samma uppgifter som namnservern hos TL1. Om så ej är fallet, ska TL2 rätta till felaktigheterna.
  8. TTL ska ta slut
    Under övergången kommer den auktoritativa namnservern hos TL1 att fortsätta svara på DNS-uppslagningar från rekursiva resolvrar som har lagrat tidigare DNS-svar i sitt cacheminne. Allt eftersom tiden går kommer dock de mellanlagrade uppgifternas TTL att ta slut. Då begär den rekursiva resolvern ett nytt svar om domännamnet från en av IIS auktoritativa namnservrar som hänvisar frågan till namnservern hos TL2. TTL för .se-zonen är 24 timmar och om TL1 inte har längre TTL än så (vilket är föga troligt) så kommer samtliga rekursiva resolvrar att hänvisa till TL2 efter 24 timmar.
  9. Webb- och e-posttjänster flyttas till TL2
    Nu kan DNS-tjänsten hos TL2 konfigureras om så att den pekar ut IP-adresser för webb-och e-postservrar hos TL2 i stället för TL1. Den enda nedtid som då krävs för webbplats och e-post är den TTL som ställdes in innan ompekningen startades, det vill säga 1–5 minuter.
  10. Samtliga tjänster hos TL1 stängs ned
    När TTL har tagit slut hamnar alla DNS-förfrågningar hos TL2 och därför kan nu alla tjänster hos TL1 avslutas.
  11. Den nya DS-posten skickas till .SE
    Den DS-post som skapats genom signeringen av zonen hos TL2 skickas till .SE. Då produceras en ny DS-nyckel hos .SE och zonen är återigen skyddad.
  12. TTL återställs
    När flytten är klar återställs TTL för tjänsterna hos TL2 till det tidigare värdet. Nu har ompekningen genomförts med minimal nedtid.
  13. Gör en sista kontroll
    Efter ett par timmar, när samtliga TTL:er hos TL2 har återgått till det normala och den nya DS-posten har publicerats, kan det vara lönt att en sista gång testa att allt står rätt till med hjälp av DNSCheck (http://dnscheck.iis.se).
Föregående kapitel
Nästa kapitel