O que é DNS primário?

O sistema DNS conecta nomes de domínio legíveis para humanos com endereços IP legíveis por computadores, permitindo que os usuários acessem o site que desejam.

Quando o usuário digita um nome de domínio no navegador, o computador se comunica com um resolvedor DNS, que navega pelo sistema DNS até alcançar um servidor de nomes autoritativo (geralmente o servidor primário, mas às vezes o secundário, se o primário estiver inativo ou sobrecarregado) com o endereço IP do site solicitado. Esse endereço IP correspondente é enviado de volta ao usuário, que é conectado ao site.

O administrador configura as zonas e os registros DNS de um domínio no servidor DNS primário. Os servidores secundários são configurados para adicionar resiliência ao sistema. Esses servidores armazenam cópias completas dos registros configurados na zona do servidor primário e são usados para resolver consultas quando o servidor primário está indisponível.

As empresas podem configurar dezenas de servidores, e a zona (junto com os registros) do servidor de nomes primário é copiada para todos os servidores secundários.

Os servidores DNS primários também armazenam os registros de início de autoridade (SOA) de um domínio, que funcionam como um sistema de controle de versão, notificando os servidores secundários sobre atualizações no arquivo da zona primária e rastreando o processo de replicação com servidores de backup.

A distinção entre servidores DNS primários e secundários não é visível para os usuários na Internet. Esses servidores têm as mesmas informações e a distinção só tem significado para o administrador. O primário é onde as alterações são feitas e os servidores secundários são os que recebem cópias do primário.

Esse sistema desempenha um papel fundamental no roteamento de tráfego de DNS e na resiliência da rede.

O Sistema de Nomes de Domínio (DNS) é o componente do protocolo padrão da internet responsável por converter nomes de domínio legíveis para humanos em endereços de internet protocol (IP) que os computadores usam para se identificar na rede.

Frequentemente chamado de "lista telefônica da internet", uma analogia mais moderna é que o DNS gerencia nomes de domínio de maneira muito semelhante a como smartphones gerenciam contatos. Os smartphones eliminam a necessidade de os usuários memorizarem números de telefone individuais, armazenando-os em listas de contatos pesquisáveis com facilidade.

Da mesma forma, o DNS permite que os usuários acessem sites usando nomes de domínio da internet em vez de endereços IP. Em vez de precisar memorizar que o servidor está em “93.184.216.34”, por exemplo, os usuários podem acessar a página “www.example.com” para receber os resultados desejados.

O servidor DNS primário armazena registros de servidor de nomes (NS), registros A, registros MX e registros CNAME (entre outros tipos), que direcionam os dados e informações apropriados de volta ao usuário.

É importante destacar que o servidor primário também armazena o registro SOA de um domínio. Os registros SOA fornecem informações autoritativas sobre um domínio, incluindo o servidor de nomes primário, o e-mail do administrador, os intervalos de atualização (que determinam a frequência das atualizações de zona) e o número de série do domínio.

Ao registrar um domínio, os registros de servidor de nomes (NS) são criados e armazenados em um servidor DNS primário, geralmente fornecido por uma empresa de hospedagem ou por um provedor de serviço DNS. E, quando um administrador deseja modificar ou atualizar registros DNS, ele deve fazer isso no servidor DNS primário. As alterações são então propagadas para todos os servidores secundários.

Os administradores de servidor podem designar qualquer servidor DNS como primário ou secundário. Na verdade, os servidores podem ter uma designação primária em uma zona e uma designação secundária em outra. Cada zona DNS, no entanto, pode ter apenas um único servidor primário.

Quando um usuário digita um nome de domínio em um navegador ou aplicativo, a solicitação é enviada a um resolvedor recursivo. Normalmente, o dispositivo do usuário possui configurações DNS predefinidas, fornecidas pelo provedor de internet (ISP), que determinam qual resolvedor será utilizado.

O resolvedor verifica seu cache DNS (o armazenamento temporário dentro de um navegador ou sistema operacional como Windows ou Linux) em busca do endereço IP correspondente ao domínio. Se os dados da consulta DNS não estiverem em cache, o resolvedor os obtém do servidor DNS autoritativo, que localiza o arquivo de zona DNS, armazena o registro DNS, por um tempo definido pelo campo time-to-live (TTL) e retorna o endereço IP apropriado ao dispositivo do usuário.

Em seguida, o navegador ou aplicativo pode lidar com uma conexão com o servidor host nesse endereço IP e acessar o site ou serviço solicitado.

Os servidores DNS são classificados como “primário” e “secundário” conforme sua função. Enquanto o servidor DNS primário é a fonte autoritativa dos registros DNS de um domínio e contém a versão original do arquivo de zona com permissão de leitura e escrita, os servidores DNS secundários mantêm cópias somente leitura desse arquivo para balanceamento de carga e gerenciamento de redundância. Se o servidor primário estiver fora do ar, as consultas são redirecionadas automaticamente para um servidor secundário, que atende à solicitação.

Os servidores DNS secundários não são essenciais; os sistemas DNS podem funcionar quando apenas um servidor primário está disponível. Mas é padrão e muitas vezes exigido pelos registradores de domínio, manter pelo menos um servidor secundário para facilitar o DNS round-robin (que distribui o tráfego uniformemente em cada servidor), evitar denial-of-service e geralmente criar resiliência em um sistema. Se um servidor ou vários servidores falharem, há um backup que pode conectar o usuário ao site que ele está procurando.

Servidores primários e secundários ajudam a manter a eficiência dos sistemas DNS; ao usá-los em conjunto, qualquer servidor disponível pode responder às consultas dos usuários, independentemente de ser primário ou secundário. No entanto, vamos elaborar as distinções entre servidores DNS primários e secundários.

Além de armazenar o arquivo de zona primária, o servidor DNS primário responde às solicitações de atualização do administrador do domínio e processa atualizações dinâmicas. Os servidores de zona secundária são servidores de backup que tratam de solicitações DNS durante o downtime do servidor primário ou quando o servidor primário está sobrecarregado.

O arquivo da zona primária no servidor de nomes primário contém todos os registros A (endereços para IPv4); registros AAAA (endereços para IPv6); registros MX (que direcionam para servidores de e-mail); registros CNAME (que mapeiam apelidos para seus nomes de domínio reais ou “canônicos”); registros SOA (que reúnem todas as informações administrativas do domínio); e registros TXT (que indicam a política de envio de e-mails para fins de autenticação) de um determinado domínio. O administrador gerencia diretamente este arquivo e qualquer atualização ou alteração aos registros DNS é feita aqui em primeiro lugar.

Os servidores DNS secundários são réplicas do arquivo de zona, transferidos do servidor primário. Eles não podem acomodar revisões ou edições diretas no arquivo de zona; Em vez disso, eles verificam periodicamente com o servidor primário se há atualizações em um processo chamado transferência de zona.

A configuração de um servidor DNS primário envolve a definição do arquivo de zona, dos registros de recursos e dos controles de acesso, e pode incluir a organização de transferências de zona autoritativas e incrementais (AXFRs e IXFRs) para os servidores secundários designados.

As configurações do DNS secundário exigem que os administradores configurem os protocolos de comunicação entre os servidores primário e secundário para a transferência de dados da zona e definam a frequência de verificação com o servidor primário para atualizações.

Embora o servidor DNS primário seja essencial, ele também representa um ponto único de falha. Se ele falhar e não houver servidores secundários designados para assumir a carga de trabalho, todo o processo de resolução de DNS pode sofrer. Os servidores secundários não podem existir sem um servidor DNS primário, mas, se o servidor primário estiver fora do ar, os servidores secundários poderão manter o DNS operacional até que o servidor primário seja restaurado.

Os administradores contam com servidores DNS secundários para dar suporte ao servidor primário e maximizar a resiliência do sistema.

Como os servidores secundários possuem cópias completas de todos os registros do servidor de nomes autoritativo, eles podem substituí-lo caso ele falhe ou fique indisponível. No entanto, se o administrador do sistema tivesse que criar e gerenciar as cópias manualmente, isso geraria um atraso entre os servidores primário e secundário. Em vez disso, o DNS primário e o secundário automatizam o processo de cópia.

Quando um administrador faz uma alteração no servidor primário, o número de série do domínio contido nos registros SOA é incrementado para o próximo número na sequência (se o número de série era SOA 1, por exemplo, ele se torna SOA 2).

Em uma configuração DNS tradicional, o servidor secundário verifica o servidor primário em intervalos predefinidos para obter o número de série SOA atual. Se o servidor primário sinalizar uma mudança, o servidor secundário faz uma solicitação AXFR ou IXFR para iniciar a cópia. Em seguida, o servidor primário envia as atualizações de volta ao servidor secundário, junto com o número de série SOA atualizado.

Essa configuração DNS obriga os servidores secundários a iniciar solicitações XFR para saber se houve alteração no servidor primário, o que adiciona uma etapa extra que desacelera o DNS.

No entanto, configurações mais modernas usam o protocolo ‘NOTIFY’, que permite ao servidor de nomes primário enviar uma mensagem de protocolo de datagrama do usuário (UDP) ao servidor de backup sempre que um administrador faz uma alteração. Os servidores secundários então verificam o número de série SOA para confirmar a alteração e iniciar a solicitação de atualização.

Adotar essa abordagem com DNS primário e secundário ajuda os administradores de sistema a maximizar a confiabilidade e a resiliência do sistema. Isso também mantém os servidores sincronizados e garante que os usuários possam acessar qualquer servidor com as informações mais recentes.

Embora usar DNS primário e secundário seja a forma mais comum de alcançar confiabilidade por meio de redundância na internet, essa prática não está isenta de desafios. A abordagem primário-secundário frequentemente não comporta funcionalidades avançadas, como balanceamento de carga global de servidor (GSLB).

Ferramentas de direcionamento de tráfego como o GSLB encaminham o tráfego dos usuários para servidores DNS com base na proximidade geográfica. Os roteadores DNS enviam automaticamente as solicitações para o servidor disponível mais próximo para acelerar o processo de resolução.

No entanto, essa funcionalidade costuma ser proprietária e não pode ser transferida por meio do XFR. Um administrador de domínio pode configurar o GSLB no servidor de nomes primário, mas não consegue transferir a configuração para os servidores secundários.

Para lidar com esse problema, as empresas podem escolher fornecedores com um sistema proprietário capaz de dar suporte a vários servidores ao redor do mundo. O Anycast DNS, por exemplo, permite que os administradores atribuam um endereço IP ou um conjunto de endereços IP a vários servidores distribuídos geograficamente.


Em vez da dinâmica de comunicação um-para-um associada ao DNS convencional, o Anycast viabiliza a comunicação um-para-muitos. Assim, quando um usuário envia uma solicitação, ela é encaminhada para uma rede de resolvedores (em vez de apenas um) e para o servidor disponível mais próximo para resolução.

Ou, ao usar vários fornecedores, as organizações podem configurar diversos servidores de nomes primários e posicionar o usuário entre eles. Em vez de depender do DNS secundário e de transferências XFR, o administrador configuraria todos os servidores diretamente usando uma API.

Tanto o DNS primário quanto o secundário são importantes para o roteamento de consultas, por isso manter e otimizar os servidores DNS primários pode acelerar todo o sistema DNS. As empresas podem aproveitar ao máximo seu DNS incorporando as seguintes práticas.

Selecionar um provedor de DNS com alto tempo de atividade, protocolos de redundância abrangentes e atendimento ao cliente acessível pode ajudar a garantir que as consultas DNS sejam respondidas com rapidez e confiabilidade.

Os provedores de DNS primário oferecem uma variedade de opções, desde serviços públicos de DNS até DNS gerenciado com servidores. A escolha da melhor solução para uma organização depende das suas necessidades¹, orçamentos e complexidade. Embora o DNS público ofereça aos clientes acesso aberto e sem custo, a migração para o DNS premium pode proporcionar um controle mais refinado.

Acompanhar as vulnerabilidades e ameaças mais recentes ao DNS (como tunelamento DNS, ataques DDoS e falsificação de cache) e utilizar firewalls, extensões de segurança do sistema de nomes de domínio (DNSSEC) e outras medidas de segurança pode ajudar a proteger os servidores DNS² e reduzir os riscos.

A atualização rápida e frequente dos registros DNS para refletir as alterações nos endereços IP, na infraestrutura e nos serviços facilita a resolução consistente e precisa do domínio. 

A arquitetura convencional de DNS primário/secundário está se tornando obsoleta entre os provedores de DNS gerenciados modernos. Atualmente, a maioria dos provedores oferece IPs de servidores de nome para uso, e atrás de cada um desses IPs há um conjunto de servidores DNS que encaminham as solicitações usando anycast (um protocolo de transporte de um para muitos). Essa abordagem tende a oferecer melhor redundância e maior disponibilidade do que o modelo clássico.

No entanto, mesmo em implementações avançadas de DNS, os serviços de DNS secundário podem ajudar as empresas:

O DNS secundário permite que as equipes acessem ferramentas, códigos e sistemas legados que apontam para um servidor DNS antigo hospedado em sua organização. Durante a migração da arquitetura, os servidores secundários permitem que os administradores definam o provedor de DNS secundário sem quebrar as dependências. Isso mantém todos os processos existentes sincronizados, mas permite que o novo servidor DNS responda se os servidores internos ficarem lentos ou falharem.

Para muitas organizações com sites de alto tráfego e aplicativos web de missão crítica, as interrupções não podem ser toleradas. O uso de servidores de nomes secundários ajuda os administradores a evitar qualquer ponto único de falha caso os servidores DNS primários encontrem latência ou outros problemas.

Os serviços gerenciados configuram uma implantação de DNS dedicada, que é executada em uma rede e servidores separados do serviço de DNS gerenciado regular, para sua Organização. Essa abordagem facilita a redundância e permite que as empresas mantenham os serviços com um único provedor. Além disso, a implementação dedicada não é compartilhada com outras organizações, portanto, está isolada de ataques direcionados a outros clientes no serviço.