Nameserver Yönetimi: Özel NS Sunucusu ve Profesyonel DNS Altyapısı

Nameserver Yönetimi: Özel NS Sunucusu ve Profesyonel DNS Altyapısı

Bir domain'in internette doğru çalışması için kayıt otoritesinin "yetkili DNS sunucun kim?" sorusunu yanıtlayabilmesi gerekir. Bu yanıtı veren kayıt NS (nameserver) kaydıdır. Paylaşımlı hosting kullanan çoğu kullanıcı için sağlayıcının varsayılan nameserver'ı yeterli olsa da reseller hosting yapanlar, kurumsal markasını DNS'e yansıtmak isteyenler ve VDS üzerinde tam kontrol arayanlar için özel NS altyapısı kritik bir konuya dönüşüyor. Bu yazıda nameserver hiyerarşisinin nasıl çalıştığını, özel NS kurmanın ne zaman anlamlı olduğunu, glue record problemini, white-label nameserver mantığını ve WHM/Plesk üzerinde pratik yapılandırmayı ele alacağız.

Nameserver Nedir ve DNS Hiyerarşisi Nasıl İşler?

DNS (Domain Name System) düz bir liste değil, kademeli bir yetki sistemidir. Bir tarayıcı example.com'u çözümlemek istediğinde şu yol izlenir:

1. Root sunucular — dünyanın 13 root sunucu kümesi (A–M) harflendirilmiş, anycast ile dağıtılmış. "Ben .com için nereye gideyim?" sorusu burada yanıtlanır.
2. TLD sunucuları — Verisign'ın .com sunucuları veya .tr için Türksat altyapısı. Bu katman "hangi registrar/registry example.com'u tutuyor?" bilgisini verir.
3. Registry / Registrar — Domain'in kayıtlı olduğu şirket. Burada NS kayıtları tutulur: example.com için yetkili DNS ns1.acme.com'dur diye bir bildirim.
4. Yetkili NS sunucusu — Sorguyu nihai olarak yanıtlayan sunucu. Bu ns1.acme.com olabilir (registrar'ın kendi sunucusu), Buyukweb'in ns1.buyukweb.com'u olabilir veya sizin VDS'inizde çalışan özel bir BIND/PowerDNS instance olabilir.

NS kaydı, bir zone'un yetkili sunucusunu gösterir; başka bir deyişle "bu domain'in kayıtlarına kim cevap verir?" sorusuna registrar seviyesinde verilen yanıttır. Bir domain için en az iki farklı NS tanımlanması RFC 2182 gereğidir — biri devre dışı kalsa diğeri yanıt vermeye devam etmeli.

Varsayılan NS mi, Özel NS mi?

Registrar'ınızın size atadığı varsayılan nameserver'lar (ns1.registrar.com, ns2.registrar.com veya Buyukweb müşterisi iseniz ns1.buyukweb.com, ns2.buyukweb.com) günlük kullanım için tamamen yeterlidir. Kayıtlarınızı cPanel veya Plesk üzerinden yönetiyorsanız, DNS için ayrıca bir şey yapmanıza gerek yoktur.

Özel NS (ns1.sizinmarka.com, ns2.sizinmarka.com) kullanmak şu durumlarda anlamlı hale gelir:

• Reseller hosting / bayilik: Müşterileriniz nameserver olarak ns1.resellermarka.com görüyor; alt hosting sağlayıcısı gizli kalıyor. Müşterilere kurumsal güven vermenin en kolay yolu.
• Marka kontrolü: Kurumsal bir şirkette "DNS altyapınız kim yönetiyor?" sorusunun yanıtı kendi markanız olsun.
• Yazılım seçimi: Resolverlara yanıt veren DNS yazılımını kendiniz seçmek istiyorsunuz — özel TTL politikaları, rate limiting, özel log formatı.
• Split DNS: İç ağdan gelen sorgulara farklı, dışarıdan gelenlere farklı yanıt vermek (iç IP yönlendirme, kurumsal intranet).
• VDS tam kontrol: Buyukweb VDS paketi alan müşteriler root erişimi ile kendi BIND veya PowerDNS instance'larını kurabiliyorlar.

Öte yandan özel NS kurmak ek sorumluluk da doğurur: sunucu bakımı, zone güncelleme süreci, güvenlik yamaları sizde. Tek-kişilik bir hobi sitesi veya küçük bir işletme için bu yük çoğunlukla gereksizdir.

White-label Nameserver: Reseller Hosting'de Marka Gizleme

Reseller hosting'in temel değer önerisi şudur: bir üst sağlayıcıdan (Buyukweb gibi) hosting kaynağı alıyorsunuz, bunu kendi markanızla müşterilerinize sunuyorsunuz. Ama müşteriniz ns1.buyukweb.com'u görürse üst sağlayıcıyı fark ediyor ve doğrudan alım düşünebilir.

White-label (beyaz etiket) nameserver bu sorunu çözer: müşteri nameserver olarak ns1.sizinmarka.com'u görür, arka planda kimin altyapısı çalışıyor görünmez.

WHM ile White-label NS Yapılandırması

WHM (Web Host Manager) üzerinde bu yapılandırma iki adımda gerçekleşir:

Adım 1 — Nameserver IP tanımı:

WHM → Service Configuration → Nameserver Selection bölümünde kullandığınız DNS yazılımını seçin (BIND veya PowerDNS). Ardından WHM → Basic WebHost Manager Setup → "Nameservers" bölümünde:

Nameserver 1: ns1.sizinmarka.com
Nameserver 2: ns2.sizinmarka.com

alanlarını doldurun ve karşılık gelen IP adreslerini kaydedin.

Adım 2 — Registrar'da glue record:

ns1.sizinmarka.com ve ns2.sizinmarka.com hostnamelerini registrar'ınızın panelinde IP adresleriyle eşleştirin (bu işlemin detayı bir sonraki bölümde). Glue record olmadan nameserver isimleri çözümlenemez.

Sonuç: Yeni bir müşteri domain'ini WHM'e eklediğinizde o domain'in NS'i otomatik olarak ns1.sizinmarka.com ve ns2.sizinmarka.com olarak atanır. Buyukweb reseller hosting paketlerimizde bu yapılandırma desteklenmektedir; kurulum aşamasında teknik destek ekibimizden yardım alabilirsiniz.

Glue Record: Kısır Döngü Sorunu ve Çözümü

Özel nameserver kurmanın en kritik ve en çok atlanan adımı glue record'dur.

Şöyle düşünün: example.com'un yetkili nameserver'ı ns1.example.com'dur. Bir resolver example.com'u sorgulamak istediğinde önce ns1.example.com'un IP adresini öğrenmesi gerekir. Ama ns1.example.com, example.com altında bir hostname — dolayısıyla onu çözümlemek için example.com'un NS'ine gitmek gerekiyor. Tam bir kısır döngü (chicken-and-egg problemi).

Glue record bu döngüyü keser: registrar aracılığıyla registry'ye "ns1.example.com'un IP'si şudur" bilgisi doğrudan yazılır. Bu kayıt normal zone dosyasında değil, registry seviyesinde tutulur.

Glue Record Tanımlama (Genel Registrar Süreci)

Registrar panellerinde bu bölüm farklı isimler taşır: "Child Nameservers", "Register Nameservers", "Glue Records" veya "Host Records" gibi. Genel süreç:

1. Domain yönetim panelinizde ilgili domain'i seçin.
2. "Nameserver Hosts" veya "Child Nameservers" bölümüne gidin.
3. ns1.sizinmarka.com için IP adresini girin (ör. 185.x.x.10).
4. ns2.sizinmarka.com için ikinci IP adresini girin (ör. 185.x.x.11).
5. Kaydedin.

Ardından domain'in NS kayıtlarını ns1.sizinmarka.com ve ns2.sizinmarka.com olarak güncelleyin. Registry propagasyonu genellikle birkaç dakika ile birkaç saat arasında tamamlanır.

.tr Domainleri için TRABIS

.com.tr veya .net.tr gibi uzantılar için glue record işlemi TRABIS (Türkiye Ulusal İnternet Değişim Noktası tarafından işletilen TLD sistemi) arayüzünden yapılır. İşlemi doğrudan akredite bir registrar üzerinden gerçekleştirebilirsiniz; akredite registrar TRABIS ile API bağlantısı kurarak glue tanımını iletir. Detaylar registrar'ınıza göre değiştiğinden kendi panelinizin belgelerine başvurmanız en sağlıklı yol.

Yetkili DNS Sunucu Yazılımları

Kendi NS altyapısını kurmak isteyenlerin karşısına birkaç açık kaynak seçenek çıkar:

BIND (Berkeley Internet Name Domain) — 1980'lerin ortasından bu yana DNS dünyasının fiili standardı. Neredeyse her Linux dağıtımında paket deposunda bulunur, belgeleri son derece kapsamlıdır. Zone dosyaları text tabanlıdır, öğrenme eğrisi vardır ama esneklik yüksektir. Ağır kurumsal ve ISP altyapılarında yaygın kullanım.

PowerDNS — Modern bir yaklaşım: zone verilerini MySQL, PostgreSQL, SQLite gibi ilişkisel bir veritabanında tutar. REST API yerleşik olarak gelir, web arayüzü ile (PowerDNS Admin) yönetimi kolaylaşır. WHM'in resmi PowerDNS entegrasyonu da bu yazılım üzerine kurulu. API-driven, otomasyona yatkın altyapılar için tercih.

Knot DNS — Yüksek sorgu hızı ve düşük kaynak tüketimine odaklanmış, Çek Ulusal Ağı (CZ.NIC) tarafından geliştirilen bir yazılım. DNSSEC imzalamada performansı dikkat çekicidir.

djbdns (tinydns) — 2000'lerin başında güvenlik odağıyla Dan Bernstein tarafından yazılmıştır. Minimal kod tabanı, sıfır tarihsel CVE reputasyonu ile tanınır; ancak modernleştirilmemiş, topluluk desteği kısıtlı.

Yadifa — AFNIC (Fransa TLD operatörü) tarafından geliştirilen, yüksek performanslı bir yetkili DNS sunucu. DNSSEC ve NSEC3 desteği yerleşik.

Buyukweb VDS paketlerinde root erişimi ile bu yazılımların tamamını kurabilirsiniz. Çoğu senaryo için BIND veya PowerDNS ikisinden biri yeterli olacaktır.

Hidden Master / Public Slave Mimarisi

İki NS tanımlamak RFC'nin minimum gereksinimidir ama bu iki sunucunun da aynı role sahip olması gerekmez. Profesyonel DNS altyapılarında yaygın bir desen olan hidden master / public slave mimarisi şöyle çalışır:

• Master (hidden): Zone verilerinin yazıldığı, güncellemenin yapıldığı sunucu. Bu sunucu firewall arkasında, internete doğrudan açık değil. NS kayıtlarında görünmez.
• Slave sunucuları (public NS): Registry'ye bildirilen NS1, NS2, NS3 gibi nameserver'lar. Zone verilerini master'dan AXFR (tam aktarım) veya IXFR (artımlı aktarım) ile çekerler. Sorgulara yanıt veren taraf bunlar.

Neden bu ayrım? Master sunucu doğrudan saldırılara maruz kalmaz. Bir DDoS veya zone keşfi saldırısı slave'lere gelir; master'ın IP adresi üçüncü taraflara bilinmez. Master devre dışı kalsa bile mevcut zone verisi slave'lerde yaşamaya devam eder (SOA Expire süresine kadar).

BIND'de hidden master yapılandırması için named.conf'ta allow-transfer { slave-ip; }; ve notify yes; direktifleri yeterli; slave'de ise type slave; masters { master-ip; }; bloğu. PowerDNS'de aynı işlev "Slave" modu ve superslave ayarları ile karşılanır.

Zone Transfer ve Güvenlik

AXFR, bir zone'daki tüm kayıtların bir slave'e aktarılmasını sağlar. Bu aktarım kimlik doğrulamasız yapılırsa herhangi bir kaynak zone verinizin tamamını çekebilir — tüm iç hostname'leriniz, sunucu IP'leriniz açığa çıkar.

Zone transfer güvenliği için iki temel yöntem:

ACL ile kısıtlama: BIND'de allow-transfer { trusted-slave-ip; }; ile yalnızca bilinen slave IP'lerinden transfer izni. Temel ama etkili.

TSIG (Transaction Signature): Paylaşılan bir gizli anahtar ile zone transferini imzalama. Hem master hem slave aynı TSIG anahtarını biliyor; aktarılan veri bu anahtarla doğrulanıyor. IP spoofing senaryolarına karşı ACL'den daha güvenli.

DNSSEC ise zone transferinden ayrı bir konu — zone içindeki kayıtların bütünlüğünü ve kökenini imzalamak için kullanılır. DNSSEC konusunu daha ayrıntılı ele aldığımız blog yazımıza başvurabilirsiniz.

NS Sayısı ve Redundancy Planlaması

RFC 2182, bir domain için en az iki bağımsız nameserver tanımlanmasını zorunlu tutar. Ama "bağımsız" kelimesi kritik: aynı sunucunun iki farklı hostname ile iki NS gibi gösterilmesi teknik olarak RFC uyumlu değil, pratik olarak da işe yaramaz — sunucu düşerse her ikisi birden cevap veremez.

Profesyonel altyapı için önerilen:

• Minimum 2 NS, farklı fiziksel sunucularda.
• İdeal 3–4 NS, tercihen farklı ağ (AS) ve coğrafi konumda.
• Her NS için farklı ISP veya farklı uplink sağlayıcı — tek bir hat kesintisinin tüm DNS'i susturmaması için.
• NS sunucularının SLA hedefi tipik olarak %99,9 üzeri; bu ayda maksimum ~44 dakika kesinti anlamına gelir.

Anycast DNS, bu redundancy'nin bir üst seviyesidir: tek bir IP adresi BGP ile dünya genelinde birden fazla coğrafi konumdan duyurulur, sorgu en yakın konuma yönlendirilir. Büyük yönetilen DNS sağlayıcıları ve TLD operatörleri bu yöntemi kullanır. Kavramsal olarak kendiniz de anycast DNS kurabilirsiniz ama bu BGP AS numarası, PI adresi ve her lokasyonda yönetilen router gerektirdiğinden küçük-orta ölçekli yapılar için nadiren pratik olur.

cPanel WHM ile Nameserver Yapılandırması

cPanel/WHM tabanlı hosting altyapılarında DNS yönetimi iki katmanda gerçekleşir: WHM'in kullandığı DNS yazılımını seçmek ve nameserver hostname'lerini tanımlamak.

DNS Yazılımı Seçimi:

WHM → Service Configuration → Nameserver Selection adımında üç seçenek çıkar: BIND, PowerDNS ve "Disabled" (DNS'i devre dışı bırak, harici sağlayıcı kullan). BIND daha olgun ve yaygın; PowerDNS API entegrasyonu ve veritabanı backend istiyorsanız tercih edilir.

Nameserver Hostname Tanımlama:

WHM → Basic WebHost Manager Setup → Nameservers bölümünde:

Nameserver 1: ns1.sizinmarka.com  →  IP: sunucu-ip-1
Nameserver 2: ns2.sizinmarka.com  →  IP: sunucu-ip-2

Bu ayar yapıldıktan sonra yeni eklenen her domain otomatik olarak bu nameserver'lara atanır. Eski domain'lerin NS güncellemesi registrar panelinden yapılmalı; ardından glue record tanımını da registrar'da güncelleyin.

Cluster DNS (çoklu sunucu):

WHM → Clusters → DNS Cluster ile birden fazla WHM sunucusu arasında zone verilerini otomatik eşitleme yapılabilir. Bu özellikle birden fazla veri merkezinde cPanel altyapısı çalıştıranlara, aktif-aktif redundancy sağlar.

Plesk DNS Yönetimi

Plesk, DNS'i kendi yerleşik DNS sunucusu (BIND tabanlı) üzerinden yönetir. Yeni bir domain eklendiğinde Plesk DNS Template'i uygular: otomatik A, MX, SPF, DKIM, NS kayıtları oluşturulur.

DNS Template özelleştirme: Plesk → Tools & Settings → DNS Template yolundan tüm domain'lere uygulanacak varsayılan kayıt yapısını değiştirebilirsiniz. Belirli bir TXT kaydını ya da özel bir NS değerini tüm yeni domain'lere otomatik eklemek için burası doğru yer.

Slave DNS Manager: Plesk'in "Slave DNS Manager" eklentisi harici slave nameserver eklemeyi destekler. Master olarak Plesk çalışır, zone transferleri TSIG ile güvenli hale getirilir, slave'ler ayrı sunucularda çalışabilir. Bu yapı özellikle birden fazla coğrafi konumda Plesk çalıştıran bayilerin işine yarar.

Harici NS kullanımı: Plesk'te "DNS Disabled" seçeneği ile Plesk'in DNS sunucusu devre dışı bırakılır ve DNS yönetimi tamamen harici bir sağlayıcıya bırakılır. Domain'in NS kayıtları harici sağlayıcıya çevrilince Plesk DNS şablonu işlevini yitirir; tüm kayıt güncellemeleri o platformdan yapılır.

Harici DNS Sağlayıcı mı, Self-host mı?

Kendi NS altyapısını kurmak yerine zone yönetimini bir harici DNS platformuna devretmek de yaygın bir tercih. Cloudflare bu kategoride en sık kullanılan serbest araçtır: ücretsiz planı bile anycast ağı, DDoS koruması ve hızlı global propagasyon sunar; ücretli planlar DNSSEC, Load Balancing ve Firewall Rules ekler.

Harici DNS sağlayıcı kullanmanın pratik anlamı: cPanel veya Plesk'teki DNS sunucusunu "Disabled" yapıyorsunuz, domain'in NS'ini Cloudflare'in nameserver'larına (veya tercih ettiğiniz sağlayıcıya) çeviriyorsunuz, zone kayıtlarını o platformdan yönetiyorsunuz. cPanel hosting üzerindeki A/MX/TXT gibi kayıtlar artık Buyukweb panelinden değil, seçtiğiniz DNS platformundan yönetilir.

Hangi durumda harici DNS önerilir:

• DDoS koruması yüksek öncelikliyse (özellikle anycast CDN etkisiyle).
• Birden fazla hosting sağlayıcısına dağıtılmış altyapınız varsa (tek bir DNS panelinden yönetmek için).
• Cloudflare'in Page Rules, Workers, Load Balancing gibi katma değer özelliklerini kullanmak istiyorsanız.

Hangi durumda self-host önerilir:

• Reseller olarak white-label NS şarttır.
• KVKK veya kurumsal güvenlik politikası zone verilerini üçüncü tarafla paylaşmayı kısıtlıyorsa.
• Özel DNS davranışı gerekiyorsa (split DNS, özel rate limiting, özel loglama).

Buyukweb Altyapısında Nameserver Seçenekleri

cPanel Hosting kullanıyorsanız: Varsayılan olarak ns1.buyukweb.com ve ns2.buyukweb.com nameserver'ları atanır, zone kayıtlarınız cPanel → Zone Editor'dan yönetilir. Bu, çoğu müşteri için en hızlı ve en zahmetsiz seçenektir. Dilerseniz cPanel DNS'i Disabled moduna alarak Cloudflare veya başka bir harici DNS sağlayıcıya geçiş yapabilirsiniz.

Reseller Hosting kullanıyorsanız: WHM üzerinden kendi markanıza ait nameserver hostname'lerini (ns1.sizinmarka.com gibi) tanımlayabilirsiniz. Registrar'da glue record oluşturulması gerekiyor; bu adımda teknik destek ekibimiz yönlendirme yapabilir. White-label NS yapılandırması Buyukweb reseller hosting paketlerimizde desteklenmektedir.

VDS kullanıyorsanız: Root erişimi ile BIND veya PowerDNS kurabilir, kendi yetkili DNS altyapınızı tam bağımsız biçimde işletebilirsiniz. Hidden master + public slave mimarisi, TSIG zone transfer güvenliği ve dilediğiniz DNS özelliğini uygulayabilirsiniz.

Yapılandırma sürecinde yardım almak için 0850 302 60 70 numaralı destek hattımıza ulaşabilirsiniz.

Sıkça Sorulan Sorular

Özel nameserver kurmak zorunlu mu?

Hayır. Buyukweb'in varsayılan nameserver'ları (ns1.buyukweb.com, ns2.buyukweb.com) teknik olarak eksiksiz çalışır. Özel NS; reseller/bayi olmak, kendi markanızı DNS'e yansıtmak veya tam DNS kontrolü istemek için anlamlı olur.

Glue record nedir ve neden gerekli?

Nameserver hostname'iniz kendi domain'iniz altında ise (örneğin ns1.example.com, example.com altında) resolver döngüye düşer: NS'i bulmak için NS'e sormak gerekir. Glue record bu döngüyü kırar; registrar aracılığıyla registry'ye NS hostname → IP eşlemesi doğrudan yazılır. ns1.example.com farklı bir domain altında ise (örneğin ns1.buyukweb.com) glue record gerekmez.

Reseller hosting'de white-label nameserver nasıl kurulur?

WHM → Basic WebHost Manager Setup → Nameservers bölümünde ns1.markaniz.com ve ns2.markaniz.com'u IP'leriyle tanımlayın. Ardından bu domain'in registrar panelinde glue record oluşturun. Yeni domain eklediğinizde WHM otomatik olarak bu nameserver'ları atar.

Buyukweb anycast DNS sunuyor mu?

Buyukweb'in altyapısı anycast DNS olarak konumlandırılmamıştır. Anycast DNS'in avantajlarından yararlanmak istiyorsanız, harici DNS platformlarının ücretsiz planları ile bu imkânı edinebilirsiniz. Buyukweb hosting paketleri harici DNS sağlayıcısıyla birlikte sorunsuz çalışır.

Cloudflare'e geçersem cPanel'den mi yönetirim?

Cloudflare nameserver'larına geçtikten sonra DNS kayıtlarınızı Cloudflare panelinden yönetirsiniz. cPanel → Zone Editor işlevsiz hale gelir (Buyukweb sunucusundaki DNS zone'u artık kullanılmaz). Hosting içerikleri (dosyalar, veritabanları, e-posta) cPanel üzerinden yönetilmeye devam eder, sadece DNS katmanı değişir.

BIND mi tercih etmeli, PowerDNS mi?

BIND olgunluğu, kapsamlı belgeleri ve yaygın topluluk desteği ile en güvenli başlangıç noktasıdır. PowerDNS API, veritabanı backend ve web UI ile otomasyon gereksinimleri olan altyapılar için daha uygundur. WHM'in PowerDNS entegrasyonu kullanıma hazır gelir; BIND ise özelleştirilmiş zone yönetimi için daha fazla esneklik sunar.

Kaç nameserver olmalı?

RFC 2182 minimum 2 farklı NS zorunlu kılar. Pratik önerimiz: 3–4 NS, farklı fiziksel lokasyon ve farklı ağ (AS) üzerinde. Tüm NS'lerin aynı sunucu bloğunda olması "bağımsız" sayılmaz; tek bir fiber kesintisinde tüm DNS erişilebilirliği durur.

---

İlgili Büyükweb Hizmetleri

Nameserver yönetimi ve DNS altyapısı için hosting ve sunucu paketlerimiz:

• cPanel Web Hosting
• Reseller Hosting (White-label NS dahil)
• VDS Sunucu (BIND/PowerDNS self-host)
• Plesk Web Hosting
• WHMCS Hosting

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.