Migração perfeita de DNS: seu guia de instruções

Uma das primeiras coisas que você faz quando você migrar para uma nova casa é lidar com seu endereço de correspondência com o serviço postal. Essa atualização não é necessariamente complicada, mas é essencial: caso contrário, e-mails importantes podem ser enviados para lidar com antigo e nem você nem o remetente saberão que o e-mail não foi entregue.

A migração de DNS é semelhante. Se não for feito corretamente, seu site pode ficar inacessível aos usuários, o e-mail pode falhar e causar problemas de comunicação com os clientes, as integrações podem falhar e outros problemas. Essencialmente, os clientes podem não conseguir lidar com sua empresa no lugar correto, o que pode levar a uma série de resultados negativos.

O sistema de nomes de domínio (DNS) é como uma lista telefônica ou um catálogo da internet. Permite que o usuário navegue até um site usando um nome de domínio fácil de lembrar, como IBM.com, em vez de uma sequência de números (nesse caso, 184.85.75.7).

Mas o DNS envolve muito mais do que uma simples tradução e a qualidade do serviço de um provedor de DNS gerenciado pode afetar o desempenho, a confiabilidade, a latência, a segurança, a privacidade e outros. Quando o serviço de DNS de um provedor não atende às expectativas ou necessidades, as empresas podem procurar outro provedor. Quando o fizerem, terão que planejar uma migração de DNS.

A migração de DNS, na qual uma organização transfere os registros de DNS e as configurações de DNS de um domínio de um provedor para outro, não precisa ser o esforço árduo que muitas vezes aparenta. No entanto, tem seus riscos e possíveis dores de cabeça se não for executada corretamente. Erros na migração de DNS podem resultar em downtime do servidor, vulnerabilidades de rede e outros problemas. Veja como ajudar a garantir que isso não aconteça.

Leia mais sobre o processo de pesquisa de DNS aqui.

A resposta simples é que nem todos os provedores de DNS oferecem os mesmos serviços ou qualidade de serviços. Desempenho é uma característica principal, mas não é a única preocupação.

Por exemplo, um provedor de DNS também pode apresentar funcionalidades de segurança para evitar falsificação de DNS e bloquear o acesso a domínios maliciosos conhecidos ou suspeitos. Os recursos de monitoramento e registro também variam de provedor para provedor. Alguns provedores de DNS oferecem balanceamento de carga para failover, no qual vários servidores web redundantes lidam com consultas DNS para evitar sobrecarregar qualquer servidor, ou uma rede de entrega de conteúdo (CDN) global que ajuda o conteúdo em cache mais próximo dos usuários. É claro que o custo também pode ser um fator na decisão de mudar de provedor de DNS.

Os líderes de negócios devem escolher o serviço que melhor atender às suas necessidades de negócios. Essas necessidades geralmente evoluem e os requisitos de DNS podem evoluir da mesma forma. Quando os serviços de um provedor de DNS atual não satisfazem mais as necessidades de uma empresa, os líderes de negócios podem considerar a migração de seus registros e gerenciamento de DNS para outro provedor.

De um modo geral, há um dos principais motivos pelos quais muitas empresas procrastinam ao fazer isso: a sensação de que a migração é muito assustadora e de que qualquer mudança resultará em downtime. É uma preocupação legítima, mas que pode ser mitigada por meio de planejamento e execução cuidadosos.

A primeira etapa em uma migração de DNS é especificar o motivo (ou motivos) da migração. Quais são os benefícios que a empresa está buscando e que não possui atualmente? Quais problemas a empresa precisa resolver? Por exemplo, se uma empresa usa o DNS de um pequeno provedor de serviços de Internet (ISP), pode descobrir que os tempos de resolução estão chegando a milissegundos de três dígitos. Nesse caso, melhorar a velocidade pode ser uma prioridade.

Depois que a empresa identificar os motivos da migração, as equipes de TI podem comparar diferentes serviços para encontrar a combinação certa de funcionalidades, serviço e custo. Diferentes provedores oferecem especificações diferentes para integrar uma migração, mas há algumas diretrizes gerais a serem seguidas.

Depois que a equipe de migração seleciona um provedor, tem que coletar todos os registros e informações relacionadas do provedor DNS anterior. Esses registros podem incluir o seguinte:

Esses registros apresentam uma tradução direta do nome de domínio para lidar com IP. Os registros A estão vinculados aos endereços IPv4 e os registros AAAA estão vinculados aos endereços IPv6. IPv6 está se tornando mais comum; ele oferece um número muito maior de endereços IP exclusivos e inclui algumas funcionalidades de segurança e aumento de velocidade.

Registros de nome canônico, ou registros CNAME, direcionam um domínio alternativo a um domínio canônico. Isso significa que esse tipo de registro é usado para vincular subdomínios a registros de domínio A ou AAAA.

Os registros de nomes de delegação, ou registros DNAME, são usados para redirecionar vários subdomínios com um registro e direcioná-los para outro domínio.

Os registros de autorização da autoridade de certificação, ou registros CAA, permitem que os proprietários do domínio especifiquem quais autoridades de certificação (CAs) podem emitir certificados para seu domínio. Uma autoridade de certificação é uma organização que valida a identidade de sites e os conecta a chaves criptográficas emitindo certificados digitais.

Os registros de texto, ou TXT, armazenam informações textuais relacionadas a domínios e subdomínios. Os registros de texto permitem o armazenamento de registros da estrutura de política do remetente (SPF) e registros de verificação de e-mail. Os registros DKIM e DMARC armazenados em registros TXT ajudam os servidores de e-mail a confirmar se uma mensagem vem de uma fonte confiável.

Início de autoridade, ou registros SOA, armazenam informações administrativas importantes sobre um domínio. Essas informações podem incluir o endereço de e-mail do administrador do domínio, informações sobre atualizações do domínio e quando um servidor deve atualizar suas informações.

O servidor de nomes, ou registros NS, mostra qual servidor DNS está atuando como o servidor de nomes autoritativo para seu domínio. Os servidores de nomes autoritativos contêm as informações finais sobre um domínio específico e seu endereço IP correspondente. Um registro NS aponta para todos os diversos registros que seu domínio mantém. Sem registros NS, os usuários não poderão acessar seu site.

As zonas de DNS são divisões dentro de um namespace de DNS. IBM.com, por exemplo, tem uma zona DNS separada em research.ibm.com. Esses subdomínios são grandes o suficiente para terem um benefício do gerenciamento e do monitoramento individuais. Os arquivos de zona DNS incluem a maioria dos tipos de arquivos mencionados acima: registros SOA, registros A e AAAA e outros.

Também há outros tipos de registro DNS — leia este guia para obter mais informações.

Alguns provedores oferecem funcionalidades de automação que coletam, exportam e importam registros de DNS para você, mas geralmente é aconselhável fazer também um backup manual: a falta de registros pode resultar em problemas sérios. Também é bom armazenar uma cópia desses arquivos em um lugar seguro.

Um possível contratempo nesse processo poderia ser o DNSSEC, ou extensões de segurança do sistema de nomes de domínio. O DNSSEC oferece um valioso pacote de proteções de segurança, usando a verificação de assinatura para ajudar a garantir a precisão e evitar falsificação de DNS e outros ataques.

Mas o processo de migração de DNS pode introduzir diferentes algoritmos de assinatura, quebrando a cadeia e causando interrupções. Há diversas soluções para esse problema: alguns provedores oferecem uma ferramenta de migração específica do DNSSEC, que mantém essa segurança. Para outros, pode ser necessário desabilitar o DNSSEC antes de migrar e habilitá-lo novamente quando a migração for concluída.

Outra prática recomendada é reduzir os valores de tempo de vida (TTL). Esse é o período de tempo em que os resolvedores recursivos, ou servidores recursivos, a primeira parada em uma consulta de DNS, armazenam os endereços IP de sites visitados recentemente em cache. O cache elimina a necessidade de lidar com o IP novamente e ajuda a apresentar conexões mais rápidas.

Se um TTL for definido para, digamos, 24 horas, quando um usuário tenta visitar um site que migrou seu servidor DNS dentro desse período de tempo, seu navegador tentará lidar com o IP antigo, provavelmente resultando em um erro. A definição do TTL para algo muito baixo, talvez apenas alguns minutos, pode ajudar a evitar esse problema.

É uma boa ideia fazer a migração em etapas, em vez de todas de uma vez. A preparação permite que uma equipe de migração verifique cada funcionalidade individualmente em busca de erros, em vez de se esforçar para descobrir o que deu errado durante toda a operação.

Depois que a equipe tiver exportado a documentação DNS existente e importado com o serviço do novo provedor de DNS, deverá verificar os documentos para garantir que nada tenha sido perdido ao longo do caminho. Uma ferramenta como o [dig] pode ajudar na verificação. [Dig], ou monitor de informações de domínio, é uma ferramenta de linha de comando que permite aos usuários verificar documentos DNS, desde endereços IP básicos até TXT, SOA e outros. O Nslookup é outra ferramenta de linha de comando, embora mais simples que o [dig], que retorna resultados menos detalhados.

Em seguida, a equipe pode iniciar a transferência por etapas: hospedagem na web, serviços de e-mail, APIs e outros serviços de terceiros. É uma boa ideia para alguém da equipe verificar e solucionar problemas de cada um à medida que a migração avança. Defina as configurações avançadas como a ativação do DNSSEC. Quando tudo isso for testado em um servidor de teste, a equipe poderá prosseguir com a atualização das informações com o registrador.

Se a empresa tiver um registrador de domínio e um provedor de DNS separados, talvez usando o IBM NS1 Connect para DNS e o GoDaddy para registro de domínio, a equipe deverá fazer login no serviço de registro de domínio e atualizar os registros do servidor de nomes. Se a empresa usar o mesmo provedor para DNS e registro, isso geralmente poderá ser feito automaticamente. Você não precisa alterar nada em seu host da web em si se não estiver mudando também seu provedor de hospedagem. 

Um fator importante: não exclua o DNS antigo ainda. Isso ocorre devido à propagação do DNS. Os registros de DNS não mudam instantaneamente na Internet; leva tempo para que os servidores de domínio dispersos pesquisem e atualizem seus registros. A equipe pode verificar o status do registro periodicamente com ferramentas online como WhatsMyDNS.net. Geralmente leva um ou dois dias, no máximo, mas durante esse tempo será melhor que os serviços de DNS novos e antigos estejam em execução enquanto esses servidores de domínio atualizam seus registros. Isso garante que os usuários não enfrentem interrupções.

Uma vez concluída a propagação, a migração estará essencialmente concluída. Restam apenas alguns acabamentos leves. Isso inclui:

Restaurar o TTL ao normal: Aumente o TTL novamente para 24 horas ou o anterior para habilitar o cache para os usuários.

Atualize a documentação interna: Certifique-se de que as informações do DNS, como número da conta, ciclos de faturamento e detalhes semelhantes estejam atualizadas nos registros organizacionais para evitar confusão.

Monitor: Avaliações do desempenho e outras métricas após a migração. As equipes de TI podem revisar os logs de DNS em busca de erros ou tempos limite, rastrear novos tempos de resposta, configurar alertas para qualquer downtime e verificar periodicamente a propagação. Muitos provedores de DNS têm ferramentas de monitoramento internos. Também há ferramentas de terceiros disponíveis.

Saiba mais sobre os serviços de DNS gerenciados aqui.