Cloudflare DNS Not Propagating — как исправить, если DNS не обновляется

Cloudflare DNS Not Propagating означает, что вы уже изменили DNS-записи в Cloudflare, но сайт всё ещё открывается по старому IP, поддомен не работает, почта не приходит или часть пользователей видит старую версию домена. Это одна из самых частых проблем после переноса сайта, подключения Cloudflare или смены A, AAAA, CNAME, MX и NS записей.

Обычно причина не в «поломке Cloudflare», а в одной из четырёх вещей: неправильные nameservers, кэш DNS, неверный тип записи или ожидание propagation раньше, чем истёк TTL. Ниже — чёткий порядок, как это быстро проверить и исправить.

Быстрое решение

  • Проверьте, что у регистратора уже стоят именно nameservers Cloudflare.
  • Убедитесь, что зона в Cloudflare активна, а не в статусе pending или moved.
  • Проверьте, что нужная DNS-запись реально существует в Cloudflare DNS.
  • Сверьте тип записи: A, AAAA, CNAME, MX, TXT или NS.
  • Подождите истечения TTL и очистите локальный DNS-кэш.
  • Если это верификация домена через CNAME, поставьте запись в DNS only, а не Proxied.
  • Проверьте, не мешает ли старая AAAA-запись, NS-делегирование или DNSSEC.

Что означает Cloudflare DNS Not Propagating

Когда говорят, что DNS «не распространяется» через Cloudflare, обычно имеют в виду одну из ситуаций:

  • домен всё ещё указывает на старый сервер;
  • новый поддомен не резолвится;
  • часть пользователей уже видит новый IP, а часть — ещё старый;
  • почтовые записи не обновились;
  • сервис верификации не видит CNAME или TXT;
  • в браузере появляется DNS_PROBE_FINISHED_NXDOMAIN или похожая DNS-ошибка.

В большинстве случаев проблема связана либо с authoritative DNS, либо с кэшированием на разных уровнях.

Как работает propagation в Cloudflare

После того как Cloudflare становится authoritative DNS для зоны, именно её nameservers начинают отвечать на запросы к вашему домену. Но это срабатывает только после того, как вы поменяли nameservers у регистратора и они уже распространились по DNS-системе интернета. Cloudflare отдельно подчёркивает этот шаг в настройке Full setup. :contentReference[oaicite:1]{index=1}

Дальше вступает в силу TTL. Cloudflare указывает, что для proxied A/AAAA/CNAME записей Auto TTL составляет 300 секунд, а для DNS-only записей Auto — 5 минут. Но реальное обновление у конечных пользователей может занять больше времени из-за кэша у провайдера, локального DNS-резолвера, роутера или ОС. :contentReference[oaicite:2]{index=2}

Почему DNS в Cloudflare не обновляется

Самые частые причины:

  • у регистратора ещё не стоят nameservers Cloudflare;
  • зона в Cloudflare не активирована до конца;
  • в Cloudflare добавлена не та запись или не тот IP;
  • старая AAAA-запись продолжает ломать резолвинг;
  • DNS-кэш у провайдера или на устройстве ещё не истёк;
  • для проверки сервиса поставлен Proxied CNAME вместо DNS only;
  • другая NS-запись делегирует поддомен на другой DNS-провайдер;
  • после подключения Cloudflare не были перенесены все старые записи;
  • мешает DNSSEC после смены nameservers;
  • домен находится в статусе moved или pending.

Как исправить Cloudflare DNS Not Propagating: пошаговая инструкция

1. Проверьте, использует ли домен nameservers Cloudflare

Это первый и главный шаг. Пока домен не делегирован на Cloudflare nameservers, изменения в Cloudflare DNS вообще не будут authoritative для интернета. Cloudflare прямо указывает: добавьте зону, проверьте записи, затем смените nameservers у регистратора и дождитесь подтверждения. :contentReference[oaicite:3]{index=3}

Если nameservers ещё старые, Cloudflare-панель может уже показывать ваши записи, но внешний мир будет смотреть не туда.

2. Проверьте статус зоны в Cloudflare

Зона должна быть активной. Cloudflare в FAQ указывает, что если домен перестал использовать nameservers Cloudflare, его статус может перейти в Moved. Пока статус не нормальный, ожидать корректного propagation нельзя. :contentReference[oaicite:4]{index=4}

3. Убедитесь, что нужная запись реально создана

Очень частая ошибка — сменили не ту запись или забыли добавить apex/subdomain. Для newly activated domains Cloudflare отдельно советует при NXDOMAIN сначала проверить, есть ли нужная запись на корневом домене и поддоменах. :contentReference[oaicite:5]{index=5}

Проверьте:

  • для основного сайта — запись на apex домене;
  • для www — отдельную запись на www;
  • для поддоменов — их собственные A, AAAA или CNAME записи;
  • для почты — MX, SPF, DKIM, DMARC;
  • для верификаций — TXT или CNAME.

4. Проверьте, правильный ли тип записи

Иногда propagation «не идёт» только потому, что запись создана неверным типом:

  • A вместо CNAME;
  • CNAME вместо TXT;
  • AAAA указывает на старый IPv6;
  • MX не соответствует почтовому провайдеру;
  • NS делегирует поддомен другому DNS-провайдеру.

Для поддоменов с отдельным NS Cloudflare прямо предупреждает: NS-запись может сделать другой DNS authoritative для этого поддомена. :contentReference[oaicite:6]{index=6}

5. Подождите TTL и очистите локальный DNS-кэш

Даже если запись уже обновлена на стороне Cloudflare, устройство, роутер или провайдер могут ещё держать старый ответ в кэше. Cloudflare TTL для Auto обычно короткий, но локальный кэш всё равно может задерживать обновление. :contentReference[oaicite:7]{index=7}

После изменений:

  • подождите хотя бы один TTL;
  • перезапустите роутер при необходимости;
  • очистите DNS-кэш на устройстве;
  • проверьте домен через другую сеть или мобильный интернет.

6. Проверьте proxy status

В Cloudflare проксироваться могут только A, AAAA и CNAME записи. Это важно, потому что proxied запись ведёт себя не так, как DNS-only. Для обычного сайта это нормально, но для некоторых задач — нет. Например, для верификации домена через CNAME Cloudflare отдельно указывает, что запись должна быть DNS only, а не Proxied, иначе внешняя проверка может не сработать. :contentReference[oaicite:8]{index=8}

7. Проверьте AAAA-записи

Очень частая причина странного propagation — старая или неверная IPv6-запись. Пользователь может думать, что A-запись уже обновилась, но часть клиентов продолжает идти по старой AAAA-записи и попадает не на тот сервер. Если вы не используете IPv6 осознанно, лучше убрать ошибочную AAAA-запись.

8. Проверьте DNSSEC после смены nameservers

Cloudflare в настройке Full setup отдельно указывает: перед сменой nameservers у регистратора отключите DNSSEC, а после завершения настройки включите его заново. Если DNSSEC остался от старого провайдера, это может сломать резолвинг даже при правильных записях. :contentReference[oaicite:9]{index=9}

9. Проверьте делегирование поддоменов через NS

Если один конкретный поддомен не обновляется, а остальные работают, проверьте, нет ли у него собственной NS-записи. Cloudflare отдельно объясняет, что NS на поддомене может делать другую DNS-систему authoritative для него. Тогда изменения в обычной зоне Cloudflare на этот поддомен не подействуют. :contentReference[oaicite:10]{index=10}

10. После миграции проверьте, все ли старые записи перенесены

Cloudflare предупреждает, что quick scan не гарантирует обнаружение всех старых DNS-записей. После подключения зоны нужно вручную проверить apex, поддомены и особенно почтовые записи. Если часть записей не перенесена, домен будет выглядеть как «непропагировавшийся», хотя на деле записи просто отсутствуют. :contentReference[oaicite:11]{index=11}

Особые случаи

Cloudflare DNS не обновляется для сайта

Проверьте A/AAAA/CNAME, proxy status и correct origin IP. Убедитесь, что apex и www настроены отдельно, если вам нужны обе версии.

Cloudflare DNS не обновляется для почты

Проверьте MX, SPF, DKIM и DMARC. Почтовые записи не проксируются и должны быть точно такими, как требует ваш почтовый провайдер.

Cloudflare DNS не обновляется для CNAME верификации

Поставьте запись в DNS only, проверьте, нет ли NS-делегирования поддомена и не включено ли flattening там, где это мешает сервису верификации. :contentReference[oaicite:12]{index=12}

Advanced troubleshooting

  1. Сравните ответы DNS из разных сетей и резолверов.
  2. Проверьте отдельно apex, www и проблемные поддомены.
  3. Убедитесь, что нет конфликта между A и AAAA.
  4. Проверьте, не остался ли старый NS на поддомене.
  5. Если запись меняли пакетно, учитывайте, что распространение изменений в сети Cloudflare не атомарно для всех ключей сразу.
  6. Проверьте, не держит ли браузер HSTS и старый IP-кэш для сайта.
  7. После смены registrar NS перепроверьте DNSSEC ещё раз.

Как избежать проблем с DNS propagation в будущем

  • перед переносом зоны заранее соберите все текущие DNS-записи;
  • сначала проверьте записи в Cloudflare, потом меняйте nameservers;
  • не включайте ненужные AAAA-записи;
  • для верификаций используйте DNS only, если сервис этого требует;
  • после миграции отдельно проверяйте сайт, почту и поддомены;
  • не забывайте про DNSSEC при смене DNS-провайдера.

Когда обращаться в поддержку

  • если nameservers уже указывают на Cloudflare, а зона не становится active;
  • если запись видна в Cloudflare, но внешне не резолвится спустя разумное время;
  • если проблема касается только одного поддомена с NS-делегированием;
  • если после смены nameservers начались проблемы с DNSSEC;
  • если вы не можете понять, какой DNS сейчас authoritative для домена.

FAQ

Сколько обычно длится DNS propagation в Cloudflare?

Внутри Cloudflare изменения записей обычно отражаются быстро, а Auto TTL для proxied A/AAAA/CNAME составляет 300 секунд, для DNS-only Auto — 5 минут. Но на практике пользователи могут видеть старые данные дольше из-за кэша у резолверов и провайдеров. :contentReference[oaicite:13]{index=13}

Почему домен всё ещё идёт на старый сервер после смены записи?

Чаще всего либо не истёк TTL, либо устройство и провайдер ещё держат старый DNS-кэш, либо у домена вообще ещё не сменились authoritative nameservers.

Почему CNAME для верификации не виден?

Часто потому, что запись сделана Proxied вместо DNS only, или потому что поддомен делегирован через NS другой DNS-системе. :contentReference[oaicite:14]{index=14}

Может ли AAAA-запись ломать propagation?

Да. Если IPv6-запись указывает на старый или неверный адрес, часть клиентов будет продолжать идти туда, даже если A-запись уже исправлена.

Нужно ли отключать DNSSEC перед подключением Cloudflare?

Да, Cloudflare прямо рекомендует отключить DNSSEC у регистратора перед сменой nameservers и включить его снова после завершения настройки. :contentReference[oaicite:15]{index=15}

Вывод

Cloudflare DNS Not Propagating почти всегда сводится к одной из причин: nameservers ещё не переключились, нужная запись отсутствует, TTL и кэш ещё не истекли, неверно выбран proxy status, мешает AAAA-запись, NS-делегирование или DNSSEC. Это неприятная, но обычно быстрая в диагностике проблема.

Самый надёжный порядок проверки такой: сначала nameservers и статус зоны, потом сами записи, затем proxy status, TTL, кэш, AAAA и DNSSEC. Если идти именно так, причина обычно находится очень быстро.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *