Jak skonfigurować wtórny serwer DNS
Czym jest wtórny serwer DNS?

Wtórny serwer DNS (nazywany też serwerem slave) przechowuje kopię danych Twojej strefy DNS tylko do odczytu. Otrzymuje aktualizacje z serwera podstawowego (master) poprzez transfer strefy — pełny AXFR lub przyrostowy IXFR.
Gdy resolver odpytuje Twoją domenę, na żądanie może odpowiedzieć serwer podstawowy albo dowolny wtórny wskazany w Twoich rekordach NS. Daje to redundancję: jeśli serwer podstawowy przestanie działać, serwery wtórne nadal udostępniają ostatnie poprawne rekordy, a Twoja domena pozostaje rozwiązywalna. Role serwera podstawowego i wtórnego są zdefiniowane w RFC 1034.
Rekordy edytujesz w jednym miejscu — na serwerze głównym — a każdy serwer wtórny automatycznie odzwierciedla te zmiany poprzez transfer strefy. Po skonfigurowaniu nie ma nic do utrzymywania na co dzień, co czyni serwer wtórny najprostszym i akceptowanym przez rejestratorów sposobem na zwiększenie odporności Twojego DNS.
Dlaczego potrzebujesz wtórnego serwera DNS
Większość rejestratorów domen wymaga co najmniej dwóch serwerów nazw, zanim zdeleguje strefę. Jednak poza tym minimum wtórny serwer DNS daje Ci:
– Odporność na awarie i okna serwisowe serwera podstawowego – Mniejsze opóźnienia odpowiedzi dzięki rozmieszczeniu serwerów nazw w różnych regionach geograficznych i sieciach – Ochronę przed atakami DDoS wymierzonymi w jeden serwer lub jedną sieć – Zgodność z RFC 2182, który zaleca co najmniej trzy serwery nazw w osobnych sieciach dla każdej strefy
Jeśli chcesz poznać pełne uzasadnienie utrzymywania wielu serwerów nazw, zajrzyj do naszego przewodnika o redundancji i failover DNS.
Automatyczna synchronizacja stref DNS
Synchronizacją sterują rekord SOA strefy oraz komunikaty NOTIFY:
– Po pierwszym AXFR serwer wtórny ponownie sprawdza strefę w każdym interwale refresh (drugim liczniku w rekordzie SOA). – Jeśli serwer podstawowy wysyła NOTIFY (RFC 1996) przy każdej zmianie, serwery wtórne pobierają aktualizację w ciągu kilku sekund, bez czekania na licznik refresh. – Zwiększony numer seryjny SOA to sygnał, który informuje serwer wtórny, że dostępne są nowe dane — zawsze zwiększaj go po edycji strefy, w przeciwnym razie serwer wtórny nigdy nie zobaczy Twoich zmian.
Mechanikę AXFR, IXFR, liczniki SOA oraz podpisywanie TSIG szczegółowo opisano w przewodniku Jak działają transfery stref AXFR.
Wymagania konfiguracji wtórnego DNS
Zanim zaczniesz, upewnij się, że masz:
1. Serwer podstawowy DNS z BIND, PowerDNS, Knot, NSD lub innym oprogramowaniem obsługującym AXFR 2. Publiczny adres IP tego serwera podstawowego 3. Zezwolenie na AXFR (transfer strefy) na serwerze podstawowym dla adresu IP serwera wtórnego 4. Dostęp do rejestratora domeny, aby edytować rekordy NS
Port TCP 53 musi być osiągalny na serwerze podstawowym — AXFR działa po TCP, a nie po UDP. Zapora, która przepuszcza tylko UDP/53, odpowie na zwykłe zapytania, ale po cichu zepsuje transfery stref.
Zezwól na transfery stref na podstawowym DNS
Na serwerze podstawowym zezwól na AXFR dla adresu IP serwera wtórnego.
W BIND dodaj to do definicji strefy (lub do opcji globalnych):
zone "example.com" {
type primary;
file "/etc/bind/zones/example.com.zone";
allow-transfer { 192.0.2.1; };
also-notify { 192.0.2.1; };
};W PowerDNS zezwól na AXFR i włącz NOTIFY w pdns.conf:
allow-axfr-ips=192.0.2.1/32
also-notify=192.0.2.1W Knot DNS lub NSD zezwól na serwer wtórny w ustawieniach transferu i notify strefy — Knot używa reguł acl (action: transfer i notify), a NSD używa provide-xfr oraz notify. Dokładną składnię znajdziesz w dokumentacji Knot DNS i NSD.
Zastąp 192.0.2.1 rzeczywistym adresem IP swojej usługi wtórnego DNS. W strefach produkcyjnych dodatkowo ogranicz transfery kluczem TSIG — opisano to w sekcji bezpieczeństwa przewodnika o AXFR.
Dodaj domenę do wtórnego DNS
Jeśli korzystasz z zarządzanej usługi wtórnego DNS, dodaj swoją domenę przez panel lub API. Podaj nazwę strefy i adres IP serwera podstawowego — resztą zajmie się serwer wtórny.
Serwer wtórny natychmiast próbuje wykonać AXFR, aby pobrać pełną strefę. Po tym pierwszym transferze utrzymuje synchronizację za pomocą interwału refresh z SOA lub natychmiast przez NOTIFY, jeśli serwer podstawowy jest tak skonfigurowany. Jeśli Twój serwer wtórny nie figuruje w rekordach NS strefy (konfiguracja stealth lub ukryta), dodaj jego IP do also-notify, aby nadal otrzymywał powiadomienia o zmianach.
Dzięki SecondDNS możesz dodać pierwszą strefę w bezpłatnym 3-miesięcznym okresie próbnym — bez karty kredytowej — i sprawdzić, czy transfery działają, zanim skierujesz na niego jakiekolwiek rekordy NS. Załóż konto, aby otrzymać adres IP serwera wtórnego, który trzeba dopuścić w Zezwól na transfery stref na podstawowym DNS.
Zaktualizuj rekordy NS u rejestratora
Gdy serwer wtórny zacznie się synchronizować, dodaj go jako serwer nazw u swojego rejestratora domeny.
Jeśli Twój serwer podstawowy to ns1.example.com, a wtórny to ns1.seconddns.com, delegacja powinna wymieniać oba:
example.com. NS ns1.example.com.
example.com. NS ns1.seconddns.com.Pozostaw rekord NS serwera podstawowego na miejscu — oba serwery odpowiadają na zapytania. Jeśli nazwa hosta serwera wtórnego znajduje się w Twojej własnej domenie (na przykład ns2.example.com), musisz dodatkowo zarejestrować rekordy glue u rejestratora, aby resolvery mogły odnaleźć jego adres IP. Użycie nazwy hosta dostawcy, takiej jak ns1.seconddns.com, całkowicie eliminuje krok z rekordami glue; jeśli chcesz mieć własne (vanity) nazwy NS w swojej domenie, zobacz personalizowane serwery nazw.
Sprawdź działanie wtórnego DNS
Sprawdź, czy oba serwery nazw odpowiadają tymi samymi danymi:
dig @ns1.example.com example.com SOA
dig @ns1.seconddns.com example.com SOAOba powinny zwrócić ten sam numer seryjny SOA. Jeśli numer seryjny na serwerze wtórnym jest niższy, transfer strefy jeszcze się nie zakończył — sprawdź reguły zapory i konfigurację allow-transfer z Zezwól na transfery stref na podstawowym DNS.
Potwierdź, że delegacja wymienia oba serwery:
dig example.com NSNastępnie poproś serwer wtórny o pełną strefę, aby upewnić się, że AXFR jest dla niego dozwolony. Powinno to zadziałać z Twojego autoryzowanego adresu IP i zostać odrzucone z każdego innego miejsca:
dig @ns1.seconddns.com example.com AXFRIle trwa propagacja?
Zmiany rekordów NS są regulowane przez TTL delegacji w strefie nadrzędnej, a nie przez TTL wewnątrz Twojej własnej strefy. W praktyce załóż 24–48 godzin, zanim nowy serwer nazw stanie się widoczny dla każdego resolvera na świecie, choć większość resolverów wychwyci go znacznie wcześniej.
W tym okresie propagacji ważne są zarówno stara, jak i nowa delegacja, więc nie ma przestoju, dopóki każdy serwer wymieniony w Twoich rekordach NS odpowiada poprawnie. Właśnie dlatego weryfikujesz serwer wtórny w Sprawdź działanie wtórnego DNS przed zmianą delegacji u rejestratora.
Rozwiązywanie problemów z konfiguracją wtórnego DNS
Typowe problemy i sposoby ich rozwiązania:
Transfer strefy odrzucony — serwer podstawowy nie zezwala na AXFR z adresu IP serwera wtórnego. Sprawdź allow-transfer (BIND) lub allow-axfr-ips (PowerDNS) oraz wszelkie reguły zapory na porcie TCP 53.
Nieaktualne rekordy na serwerze wtórnym — NOTIFY nie dociera do serwera wtórnego albo interwał refresh w SOA jest zbyt długi. Włącz also-notify na serwerze podstawowym lub zmniejsz licznik refresh.
Numer seryjny nie rośnie — jeśli edytujesz strefę ręcznie, ale zapomnisz zwiększyć numer seryjny SOA, serwer wtórny nigdy nie pobierze zmiany. Zawsze zwiększaj numer seryjny; wielu administratorów stosuje format YYYYMMDDnn.
Serwer wtórny nie jest wymieniony w DNS — zmiany rekordów NS mogą propagować się 24–48 godzin. Sprawdzaj za pomocą dig na konkretnych resolverach (na przykład dig @8.8.8.8 example.com NS).
Przekroczenie limitu czasu połączenia — port TCP 53 jest zablokowany między serwerem podstawowym a wtórnym. AXFR używa TCP; zapora, która zezwala tylko na UDP/53, przepuści zapytania, ale zepsuje transfery.
Konfigurujesz to w panelu hostingowym? Skorzystaj z przewodników krok po kroku dla cPanel/WHM, Plesk, DirectAdmin lub CyberPanel.
Powiązane przewodniki
– Jak działają transfery stref AXFR – Redundancja DNS: dlaczego ma znaczenie i jak ją osiągnąć – Personalizowane serwery nazw: konfiguracja, rekordy glue i pułapki – Jak dodać wtórny DNS do panelu hostingowego cPanel/WHM – Jak dodać wtórny DNS do panelu hostingowego Plesk – Jak dodać wtórny DNS do panelu hostingowego DirectAdmin – Jak dodać wtórny DNS do panelu hostingowego CyberPanel