O que é uma zona DNS?

As zonas DNS dividem a autoridade sobre diferentes segmentos do namespace DNS (por exemplo, um domínio e um subdomínio), o que dá aos administradores um controle mais preciso sobre os registros DNS, servidores de nomes DNS e outros componentes. Essa partição pode ajudar a simplificar o gerenciamento e a orquestração do DNS e distribuir cargas de trabalho entre os servidores de nomes.

Por exemplo, o domínio "exemplo.com" pode existir na mesma zona que os subdomínios "blog.exemplo.com". e "comunidade.exemplo.com". Se os administradores precisarem de um controle mais detalhado, talvez devido ao número de dispositivos conectados ao site da comunidade e ao volume de registros DNS associados, eles poderão particionar o subdomínio "comunidade.exemplo.com" em sua própria zona com seu próprio servidor de nomes autoritativo.

Uma zona DNS especifica que um domínio, ou parte dele, é gerenciado por um administrador específico; no entanto, uma zona pode abranger múltiplos subdomínios e várias zonas podem coexistir no mesmo domínio.

Servidor DNS. As zonas DNS não implicam separação física, mas são usadas para controle sobre diferentes partes do namespace.

As zonas podem ajudar a aliviar a carga administrativa associada a um domínio, distribuir a carga de consultas DNS e aprimorar a eficiência e escalabilidade gerais dos serviços DNS. O gerenciamento eficaz de zonas que utiliza recursos de segurança como DNSSEC e atualizações dinâmicas pode fortalecer a segurança do DNS e reduzir ameaças como falsificação e sequestro de DNS.

Algum conhecimento básico sobre o sistema de nomes de domínio e como ele opera é importante para entender as zonas DNS.

O DNS é um componente hierárquico e descentralizado do protocolo padrão da internet, responsável por converter nomes de domínio amigáveis ao usuário em endereços do protocolo de internet (IP) que os computadores usam para identificar uns aos outros na rede¹.

Frequentemente chamado de "lista telefônica da internet", uma analogia mais moderna é que o DNS gerencia nomes de domínio de maneira muito semelhante a como smartphones gerenciam contatos. Os telefones guardam números de contato em listas pesquisáveis, evitando que os usuários precisem memorizar cada número de telefone. Da mesma forma, o DNS permite que os usuários se conectem a sites usando nomes de domínio em vez de endereços IP complexos.

Quando um usuário insere um nome de domínio em um navegador, a consulta (frequentemente chamada de solicitação DNS ou pesquisa DNS) começa. Um resolvedor recursivo (o intermediário entre o dispositivo cliente e os servidores autoritativos), então consulta uma série de servidores para encontrar as informações necessárias para conectar o usuário ao site desejado. Cada um desses servidores é responsável por um segmento do namespace do domínio.

O processo de consulta começa com o servidores raiz de nomes. Os servidores raiz de nomes estão no topo da hierarquia DNS e são responsáveis por gerenciar a zona raiz. Esses servidores respondem a consultas para registros armazenados na zona raiz e encaminham solicitações para o servidor de nomes de domínio de nível superior (TLD) apropriado.

Os servidores de nomes TLD direcionam consultas aos servidores de nomes autoritativos para os domínios específicos dentro de seu TLD. Por exemplo, o servidor de nomes TLD para ".com" direciona domínios que terminam em ".com", o servidor de nomes TLD para ".gov" direciona domínios que terminam em ".gov", e assim por diante.

O servidor de nomes de domínio (às vezes referido como servidor de nomes de domínio de segundo nível) mantém o arquivo de zona com o endereço IP para o nome de domínio completo, como "ibm.com". Este arquivo de zona também pode conter informações para um subdomínio (como "blog.ibm.com/br-pt") ou essas informações podem ser particionadas em sua própria zona.

Cada um desses servidores armazena registros DNS com informações sobre o domínio que o resolvedor recursivo precisa para continuar e, em última instância, resolver sua consulta.

Um arquivo de zona DNS é um arquivo de texto simples armazenado em servidores DNS que contém todos os registros para os domínios dentro dessa zona.

Cada linha de um arquivo de zona especifica um registro de recurso (uma informação única sobre a natureza do dado, normalmente organizada por tipo de dado).Os registros de recurso garantem que, ao iniciar uma consulta, o DNS direcione rapidamente os usuários ao servidor correto.

Arquivos de zona DNS começam com dois registros obrigatórios: o início de autoridade (registro SOA), que especifica o servidor de nomes autoritativo primário para a zona DNS, e o tempo de vida global (TTL), que indica como os registros devem ser armazenados no cache DNS local.

Um arquivo de zona pode conter vários outros tipos de registros, incluindo:

• Os registros A, que estão vinculados aos endereços IPv4, e os registros AAAA, que estão vinculados aos endereços IPv6.
  
  
• Registros de troca de mensagens (registros MX), que especificam um servidor de e-mail SMTP para um domínio.
  
  
• Registros de nome canônico (registros CNAME), que redirecionam nomes de host de um alias para outro domínio (o “domínio canônico”).
  
  
• Registros de servidor de nomes (registros NS), que indicam que um servidor DNS está ligado a um servidor de nomes autoritativo específico.
  
  
• Registros de apontador (registros PTR), que especificam uma pesquisa DNS reversa.
  
  
• Registros de texto (registros TXT), que indicam o registro de framework de política do remetente para autenticação de e-mail.

A zona DNS primária armazena o arquivo de zona primário com todos os registros DNS para essa zona. É uma cópia de leitura/escrita, e as atualizações de zona são feitas na zona primária e então copiadas para zonas secundárias. Só pode haver uma zona primária em um servidor DNS por vez.

Uma zona secundária é uma cópia somente leitura da zona primária, usada para criar redundância e implementar balanceamento de carga para consultas DNS.

As solicitações DNS são tipicamente distribuídas entre os servidores primários e secundários. Se o servidor primário estiver indisponível, os servidores secundários podem assumir toda ou parte da carga usando transferências de zona, uma transação que permite que servidores primários e secundários troquem zonas. Zonas secundárias também verificam com os servidores primários para garantir que as réplicas estejam atualizadas.

A zona de pesquisa direta traduz nomes de domínio em endereços IP. Quando um resolvedor DNS recebe uma consulta para um nome de domínio legível por humanos, ele consulta os registros de mapeamento A ou AAAA na zona de pesquisa direta para encontrar o endereço IP correspondente.

Como contraponto às zonas de consulta direta, as zonas de consulta reversa mapeiam endereços IP de volta para nomes de domínio usando registros PTR (registros de ponteiro).

Este processo pode ser útil para implementar serviços que exigem verificação de domínio ou para fins de registro quando as equipes precisam entender o domínio associado a um endereço IP (como em solução de problemas e filtragem de spam). Consultas em zonas de pesquisa DNS reversa usam os domínios in-addr.arpa ou ip6.arpa.

As zonas de stub contêm apenas os registros que o sistema precisa para identificar os servidores de nomes autoritativos para uma zona. Elas servem como um apontador, reduzindo a dependência de servidores recursivos para consultar zonas de nível superior e localizar o servidor autoritativo. A proximidade das zonas de stub com os servidores autoritativos ajuda a reduzir o tráfego de consultas de DNS e a reduzir os tempos de resolução.

As transferências de zona DNS mantêm a funcionalidade ideal do sistema, especialmente em ambientes onde redundância e alta disponibilidade são prioridades.

Uma transferência completa de zona copia todo o conteúdo de um arquivo de zona do servidor DNS primário para os servidores secundários, criando uma réplica exata da zona. As transferências completas de zona são geralmente usadas durante a configuração inicial dos servidores secundários ou quando os servidores secundários precisam ser resincronizados após um longo período de downtime. 

Transferências incrementais de zona incluem apenas as mudanças na zona desde a última transferência. Como requerem menos largura de banda e poder de processamento para manter os processos de sincronização, as transferências incrementais podem ser úteis em zonas dinâmicas que sofrem alterações frequentes.