全球 NS (Name Server) 查詢
NS (Name Server) 紀錄是將網域的管理控制權委派 (delegate) 給特定 DNS 代管供應商的關鍵基礎架構。它們構成了全球 DNS 階層的核心對應。當您向註冊商 (registrar) 購買網域時,相關的 NS 紀錄會發佈在頂級網域 (TLD) 註冊中心(例如 .com 或 .tw 根伺服器)。這些紀錄會準確地告訴遞迴解析器 (recursive resolvers) 哪些實體伺服器持有包含您的 A、MX 和 TXT 紀錄的權威區域檔 (authoritative zone file)。
委派與解析鏈
網域解析過程完全依賴於 NS 委派。當瀏覽器請求網站時,作業系統會向遞迴解析器發出查詢。解析器會檢查根提示 (root hints),然後查詢 TLD 伺服器。TLD 伺服器不會回傳 IP 位址,而是回傳指派給您網域的 NS 紀錄(例如 ns1.cloudflare.com)。接著解析器會遵循此委派,開啟與指定名稱伺服器的新連線以請求最終的 Payload。如果沒有有效且有回應的 NS 紀錄,該網域在數學上就會與網際網路斷開連結,導致永久的 SERVFAIL 錯誤。
黏立紀錄 (Glue Records) 與循環相依性
當網域使用「自訂名稱伺服器」(vanity nameservers) 時,會產生獨特的架構挑戰,這意味著 NS 紀錄是網域本身的子網域(例如,example.com 使用 ns1.example.com)。如果解析器需要 ns1.example.com 的 IP 來尋找 example.com,這會產生無限的循環相依性。為了解決這個迴圈,網路工程師利用「黏立紀錄」(Glue Records)。這些是直接提供給 TLD 註冊商並與 NS 紀錄並列的明確 IP 位址,允許解析器繞過這個悖論並直接連接到權威伺服器。
NS 移轉與 Split-Brain DNS
將 DNS 代管從一個供應商(如 AWS Route53)移轉到另一個(如 Cloudflare)涉及更新註冊商處的 NS 紀錄。由於 TLD 註冊中心會積極地快取 NS 委派——通常會強制執行 24 到 48 小時的 TTL——更改 NS 紀錄會立即在整個全球網際網路上觸發「split-brain」情境。在這個傳播視窗期間,一些地理區域的 ISP 會查詢舊的名稱伺服器,而其他的則會連接到新的名稱伺服器。這是一個絕對的要求:必須保持舊的 DNS 區域完全處於活動狀態,並且與新的區域相同,直到全球測試確認世界上 100% 的流量已經轉移到更新的 NS 目標。