В админской практике домен иногда ведёт себя странно: оплата прошла, NS прописаны, записи в зоне есть, а сайт и почта «как будто исчезли». В таких случаях часто всплывают EPP-статусы (EPP statuses) — флаги состояния домена в реестре, которые видны в WHOIS или RDAP и напрямую влияют на делегирование, перенос и операции с доменом.
Ниже разберём самые частые статусы и их комбинации: ok, clientHold, serverHold, а также близкий по смыслу clientTransferProhibited. Цель простая: быстро понять, кто поставил статус (регистратор или реестр), что именно он блокирует и какой маршрут устранения выбрать, чтобы домен снова начал резолвиться.
Что такое EPP-статусы и почему они важнее «настроек DNS»
EPP (Extensible Provisioning Protocol) — протокол, через который регистратор управляет объектами в реестре: доменами, контактами, NS и т.д. Реестр хранит набор статусных флагов. Часть флагов может выставлять регистратор (префикс client), часть — только реестр (префикс server). Эти флаги описывают состояние домена и ограничения на операции.
Практический смысл обычно такой:
- Статусы уровня hold (
clientHold/serverHold) чаще всего означают, что домен не делегируется и внешне выглядит как «DNS not resolving». - TransferProhibited (и аналоги) — домен может резолвиться нормально, но нельзя перенести к другому регистратору.
ok— это не «всё идеально», а «нет специальных запретов/состояний» по версии реестра.
Поэтому диагностику удобнее начинать не с DNS-сервера и не с веб-сервера, а со строки Domain Status в WHOIS/RDAP.
Где смотреть Domain Status: WHOIS/RDAP и какие строки искать
В WHOIS обычно есть секция Status или Domain Status, где перечислены статусы. В RDAP они часто лежат в поле status. Ищите ключевые слова: ok, clientHold, serverHold, clientTransferProhibited и т.п.
Нюансы, на которых чаще всего «спотыкаются» при разборе инцидента:
- Статусов может быть несколько одновременно — это нормально.
client*обычно снимается через панель регистратора или поддержку регистратора.server*выставлено на стороне реестра; регистратор помогает, но часто нужны дополнительные действия (верификация, разбор жалобы, документы, решение по спору).
Типичная картина для «внезапно пропал сайт»: NS видны, зона у вас настроена, но в статусаx присутствует clientHold или serverHold. В этом случае ваши записи могут быть идеальными, но делегирования в публичном DNS не будет.
Статус ok: что означает и чего не гарантирует
ok означает, что на домене нет специальных ограничений, которые реестр отмечает как значимые (нет hold-состояний и запретов вроде «нельзя обновлять/удалять/переносить»). На практике это базовое состояние «управление разрешено».
Важно: ok не гарантирует, что домен будет резолвиться. Причины «DNS not resolving» при ok обычно лежат в DNS-цепочке:
- NS не прописаны или прописаны неверно (опечатка в имени сервера, отсутствуют glue-записи для in-bailiwick).
- Зона на DNS-серверах не создана или не загружается.
- DNSSEC включён с неверными DS/ключами (будет SERVFAIL у валидирующих резолверов).
- Домен истёк или находится в переходном периоде, а конкретный WHOIS/RDAP-кэш показывает устаревшие данные.
Если вы регулярно работаете с переносами и жизненным циклом домена, полезно держать под рукой разбор периодов продления и восстановления: grace/redemption-периоды и что происходит с доменом после окончания.
clientHold: домен выключил регистратор (делегирование остановлено)
clientHold — один из самых «болезненных» статусов для владельца сайта. Его ставит регистратор, и чаще всего это означает, что домен временно снят с делегирования. Симптомы стандартные: сайт не открывается, почта не ходит, внешние проверки пишут «dns not resolving» или показывают NXDOMAIN.
Частые причины clientHold:
- Просрочка оплаты или неуспешное продление (до финального удаления домен обычно проходит несколько стадий).
- Не подтверждены контактные данные (в некоторых зонах верификация обязательна).
- Внутренние политики безопасности: подозрение на компрометацию аккаунта, заявка владельца на блокировку операций.
- Жалобы и разбирательства: временная мера до решения вопроса по правилам зоны и применимому законодательству.
Ключевой момент: раз это client*, то чаще всего достаточно действий «на стороне регистратора» — оплатить, пройти верификацию, восстановить доступ и запросить снятие hold.
Как быстро подтвердить, что проблема именно в hold, а не в DNS-зоне
- Проверьте WHOIS/RDAP и убедитесь, что среди статусов есть
clientHold. - Сопоставьте симптомы: домен не резолвится у рекурсивных резолверов, при этом ваша зона на авторитативных NS может быть в порядке.
- После снятия
clientHoldзакладывайте время на кэши и TTL: «сняли, но ещё не работает» в первые минуты или часы — частая ситуация.
Если параллельно планируется перенос домена, заранее проверьте блокировки и EPP-код: перенос домена: EPP-код, статусы и типовые ошибки.
serverHold: домен выключил реестр (обычно причина серьёзнее)
serverHold очень похож по симптомам на clientHold (домен не делегируется), но принципиально отличается источником: статус выставляет реестр. Это означает, что «одним кликом в панели» проблема обычно не решается, даже если у регистратора всё оплачено.
Частые причины serverHold (общая логика, детали зависят от доменной зоны):
- Решения реестра по соблюдению правил зоны (например, не пройдена обязательная верификация, выявлены нарушения регламентов).
- Юридические основания: спор о доменном имени, обеспечительные меры, требования уполномоченных органов в рамках закона.
- Технические/процедурные состояния реестра после инцидентов и проверок (встречается реже, но бывает).
Если вы видите
serverHold, планируйте решение по цепочке «владелец → регистратор → реестр». Чтобы ускориться, заранее соберите фактуру: подтверждение оплаты, письма о верификации, историю обращений, данные админ-контакта.
При serverHold «копать DNS» почти всегда бессмысленно до снятия статуса. Можно идеально настроить NS/зону/DNSSEC — делегирования всё равно не будет.
clientTransferProhibited: домен работает, но перенос заблокирован
clientTransferProhibited относится к «защитным» статусам. Он не про резолвинг, а про операции: домен нельзя перенести к другому регистратору, пока статус активен. Часто он включён по умолчанию как «Registrar Lock».
Когда это полезно:
- Защита от несанкционированного трансфера при компрометации почты или аккаунта.
- Защита в период изменений: смена NS, обновление контактов, миграции.
Когда мешает:
- Вы планируете перенос, получили EPP/Auth-code, но трансфер не стартует или отклоняется.
Решение обычно простое: в панели регистратора отключить «Lock» (снять запрет на перенос), дождаться применения изменений и повторить трансфер.
Почему при clientHold/serverHold вы видите «DNS not resolving»
Симптом «не резолвится домен» обычно воспринимается как проблема DNS-зоны. Но hold-статусы ломают цепочку раньше: на уровне делегирования в родительской зоне (TLD). Рекурсивный резолвер идёт вверх по дереву DNS, доходит до зоны TLD и не получает корректную делегацию, поэтому дальше ему некуда идти за ответом.
Отсюда типовые проявления:
- Сайт недоступен по домену, но по прямому IP может открываться.
- Почта не доставляется: MX «как бы есть», но домен не резолвится.
- Мониторинги показывают NXDOMAIN или ошибки резолвинга.
В этот момент важно не усугубить ситуацию хаотичными изменениями: не нужно «перепрописывать DNS заново», если в WHOIS уже видно hold.
Пошаговый чек-лист диагностики: от WHOIS до восстановления делегирования
Шаг 1. Снимок текущего состояния
Сохраните вывод WHOIS/RDAP (в тикет или заметки) и зафиксируйте:
- Список статусов домена (все строки Domain Status).
- Список NS, которые прописаны на уровне домена.
- Даты создания и окончания регистрации (если отображаются).
Это поможет, если состояние начнёт «прыгать», а вам нужно подтвердить, что именно было в момент инцидента.
Шаг 2. Классифицируйте статус по источнику
- Есть
clientHold— решаем через регистратора (оплата, верификация, безопасность аккаунта, запрос на снятие блокировки). - Есть
serverHold— эскалация через регистратора к реестру; готовим подтверждения и документы. - Только
clientTransferProhibited— резолвинг тут ни при чём; это запрет на перенос. - Только
ok— проверяем DNS-цепочку: делегация, доступность NS, зона, DNSSEC, кэши.
Шаг 3. Если hold снят — учитывайте задержки кэширования
После снятия hold делегирование может восстановиться быстро, но «по миру» всё упирается в кэши.
- Кэши рекурсивных резолверов живут по TTL и по собственным политикам.
- Негативное кэширование (например, ответ NXDOMAIN) тоже кэшируется и иногда заметно дольше ожидаемого.
Если статус уже снят, а часть клиентов всё ещё не видит домен, это может быть нормальным. Проверяйте с разных резолверов и не делайте лишних изменений каждые 5 минут.
Частые комбинации EPP-статусов и что они означают «вживую»
ok + clientTransferProhibited
Самая нормальная комбинация: домен работает и делегируется, но перенос защищён. Для повседневной эксплуатации это обычно хорошо.
clientHold + clientTransferProhibited
Домен «выключен» и одновременно «под замком от переноса». Часто это следствие политики регистратора: пока не закрыт финансовый/верификационный/безопасностный вопрос, домен не делегируется и его нельзя увести трансфером.
serverHold (с чем угодно)
С высокой вероятностью домен не будет нормально обслуживаться до решения вопроса на уровне реестра. Любые локальные правки DNS вторичны.
Как действовать владельцу/админу, чтобы быстрее вернуть сайт и почту
- Не меняйте DNS в панике, пока не понятно, что с делегированием на уровне реестра.
- Соберите факты: статусы, даты, уведомления, подтверждение оплаты, результаты проверок.
- Устраните первопричину (оплата, верификация, восстановление доступа), затем запросите снятие
clientHoldили эскалацию поserverHold. - Запланируйте окно восстановления: после снятия hold заложите время на распространение и кэши.
- Проверьте почту: после восстановления резолвинга письма могут прийти с задержкой из очередей у отправителей; при длительном hold часть отправителей могла уже сделать bounce.
Если сайт и почта хостятся у вас на сервере, а домен критичен к простоям, имеет смысл держать инфраструктуру под контролем (мониторинг DNS, резервные NS, быстрый доступ к логам). Под такие задачи обычно удобнее отдельный VDS, где можно централизованно управлять DNS/почтой/прокси и диагностикой.
Профилактика: как не попасть на hold в следующий раз
- Включите автопродление и следите за актуальностью платёжных данных.
- Держите почту администратора домена доступной: туда приходят письма о подтверждениях и изменениях.
- Используйте 2FA в панели регистратора и минимизируйте количество людей с правами на домен.
- Не отключайте без нужды
clientTransferProhibited; снимайте его только на время переноса и включайте обратно. - При включённом DNSSEC особенно аккуратно проводите миграции DNS, чтобы не ловить SERVFAIL и не усложнять диагностику.
Мини-справка по другим статусам, которые часто путают с hold
Чтобы не перепутать ограничения по смыслу:
clientUpdateProhibited/serverUpdateProhibited— запрет на изменение параметров домена (NS, контакты и т.п.).clientDeleteProhibited/serverDeleteProhibited— запрет на удаление домена.pendingTransfer— перенос запущен и ожидает завершения.
Эти статусы обычно не вызывают «dns not resolving» напрямую, в отличие от hold.
Короткий вывод
Если в WHOIS вы видите clientHold или serverHold, то проблема «домен не открывается» почти всегда находится не в вашей зоне и не в NS, а в статусе делегирования на уровне регистратора/реестра. ok означает отсутствие спецограничений, а clientTransferProhibited — нормальная защита от переноса, не влияющая на работу DNS. Начинайте диагностику с Domain Status, и вы сэкономите часы бессмысленных правок.
