什么是从 DNS？

快问快答：如果一架飞机配装了一个发动机，另一架飞机配装了两个发动机，您更愿意乘坐哪一个？大多数乘客可能会本能地选择配装多个发动机的飞机。

这就是配置辅助 DNS 的意义所在。如果主服务器不可用或遭受其他威胁，企业可能会出现什么情况？相关公司（或任何公司）能否承受业务在停机时间内逐渐停止的代价？这会向服务用户传递什么负面信息？从经济角度来看，无法使用组织的主服务器可能与航空发动机出现故障一样会造成灾难性后果。

这还未考虑采用辅助 DNS 的另一大优势，即其在主 DNS 服务器内实现负载均衡的强大能力。

在进入下一部分之前，我们需要先定义一个更基本的问题：什么是 DNS？域名系统如同转换器，可将复杂的 IP 地址转换成更容易理解的域名。

假设您对 International Business Machines (IBM) 的某款产品很感兴趣，但不确定其具体名称。通过在服务提供商的 Web 浏览器中输入 “IBM”，您就能访问该公司的主页。有了 DNS，您不必再输入 IBM 的完整 IP 地址。DNS 会根据您输入的搜索词预判您想要访问的内容。

DNS 常被喻为互联网“电话簿”——虽然其所用的功能更近似于传统电话总机系统。在过去几十年中，本地电话运营商就像人工 DNS，将您请求的号码转接至您需要的电话交换机。现在，DNS 可以自动完成整个转换流程。

域名系统依赖于由根服务器管理的既定层次结构。根服务器的下级是顶级域名 (TLD)，例如以 “.com” 和 “.org” 结尾的地址。层次结构的其余部分则由各个域名服务器组成。

DNS 系统被视为分布式数据库系统，每个节点代表一个“域名服务器”——作为系统的一部分，为特定域名执行必要的转换。该系统中的所有域都包含一个或多个“权威域名服务器”，之所以称为“权威域名服务器”，是因为该服务器会发布有关该域的信息，以及其中包含的任何下属域的主域名服务器的信息。

DNS 的运行方式如下：

1. 您在互联网服务提供商 (ISP) 提供的 Web 浏览器中输入域名。
2. 用户使用的计算机设备会向 DNS 服务器发送搜索查询。
3. DNS 服务器会扫描其大量资源，以寻找与网络搜索中域名相匹配的 IP 地址。
4. DNS 服务器将定位的 IP 地址发送回您正在使用的设备。
5. 您的设备会调用您正在查找的具体 IP 地址。

现在，如果主 DNS 服务器出现问题（例如技术上不可用或当前过载），则辅助 DNS 服务器将开始运行，执行所需的搜索并执行必要的 IP 地址转换。由于辅助 DNS 通过故障转移过程立即运行，因此，用户能够访问网站而不会察觉到任何明显的功能下降。

同样，辅助 DNS 可接管主 DNS 服务器中邮件服务器的职责（包括电子邮件路由和邮件交换 (MX) 记录处理），因此辅助 DNS 可确保电子邮件的流量起伏不会受阻。这样，网站就不会因为中断而停机，而这正是弹性的切实衡量标准——即在恶劣条件下仍能维持正常运行。

如果辅助 DNS 服务器被调用，它将从主 DNS 服务器获取信息，这一过程称为“区域传输”。通过区域传输与辅助 DNS 服务器共享的区域文件副本是只读文件，不能以任何方式更改。

区域传输在很大程度上依赖于应用程序编程接口 (API) 的使用，它使主 DNS 服务器能够自动将 DNS 区域数据传输到辅助服务器。这样，两个 DNS 服务器就能保留相同的信息。API 为主服务器提供了联系辅助服务器的途径，因此可以确保其使用相同的 DNS 记录和已记录区域传输同步运行。

区域传输流程以创建域名服务器 (NS) 记录为前提。NS 记录有助于确定哪些服务器被指定为该域的权威服务器，以便定义该域的优先级。只要辅助 DNS 服务器的 IP 地址包含在 NS 记录中，即使主服务器因故宕机，网站仍能正常运作。

区域传输由发布授权开始 (SOA) 记录启动，该记录为辅助 DNS 服务器提供辅助服务器同步 DNS 区域数据所需的数据，并以版本控制的方式工作，根据 SOA 记录的序列号触发更新。

这就是它注册新版本的方式。通过使用 SOA 记录中的新数据更新 DNS 服务，如果主服务器发生故障，该域仍可继续运行——防止服务器宕机以致影响正常运行。

权威区域传输 (AXFR) 是另一种允许 DNS 服务器交换区域文件的协议。AXFR 会在所有相连的服务器之间同步该数据，使其能够利用可获得的最新信息运行。

使用辅助 DNS 服务器具有许多优势，主要包括以下几点。

配置辅助 DNS 服务器的主要优势，与购买保险、在恶劣天气前储备应急物资同理，都是未雨绸缪之策。部署 DNS 服务器，意味着我们承认了一个无奈却又不可避免的事实：机器和系统总有出现故障的时候。

辅助 DNS 服务器利用权宜方案来解决这一问题，从而在主 DNS 服务器因故宕机时提供所需的冗余。拥有备份解决方案，组织就有了心理保障，知晓其 DNS 服务仍可被用户访问。

使用 DNS 系统的另一大有力优势在于如何实现负载分配。它可通过为单一域名提供多个 IP 地址来实现这一点。反之，DNS 服务器可根据各种算法的使用情况，将其传入流量分散到不同的服务器。

例如，如果 DNS 服务器遵从循环算法配置，则 DNS 服务器将运行其整个 IP 地址列表，并在多个设备之间平均分配负载。

DNS 系统还可用于增强整体安全性。通过在系统中安装防火墙，可以允许传入流量保持原样、根据需要进行过滤或完全禁止传入流量。此外，可以建立防火墙，只允许授权的 DNS 请求到达辅助 DNS 服务器。

DNS 支持安全运行的另一种方式是通过开发“隐藏主服务器”，即公共互联网无法发现的主 DNS 服务器。其 IP 地址未输入该系统的资源记录中。辅助域名服务器可代替主服务器处理查询响应。其目的是通过尽可能隐藏主服务器的存在，更好地保护它免受网络攻击。

通过使用域名系统安全扩展 (DNSSEC)，可以进一步提高安全性并有助于筛选和验证 DNS 请求。这些扩展有助于确认域名查询的真实性。它们还有助于预防网络攻击，例如 DNS 欺骗，在这种攻击中，站点充斥着大量伪造的 DNS 请求，导致系统不堪重负而无法正常运行。

辅助 DNS 还能提高性能，因为它可以更快地解决域名问题，从而加速传递信息。因此，部署辅助 DNS 可以减少延迟问题。

尽管使用辅助 DNS 的好处远远超过其不足，但辅助 DNS 也会引发一些问题。它们本质上是次要的。

辅助服务器的更新可能会受到轻微影响。此外，即便辅助服务器设计为按需启动，其初始运行时仍可能出现轻微卡顿。

系统必须同步以帮助确保最佳运行状态。辅助服务器始终需要最新的 DNS 记录，这可能会出现问题，具体取决于更改的频率。

使用辅助 DNS 可能会增加复杂性，并且可能需要专职员工来管理 DNS 服务器。然而，成功管理多个 DNS 服务器是维护域整体健康状况的关键。

虽然 DNS 服务提供商为数众多，但以下几家尤为出色：

• Google Public DNS：Google Public DNS 具有快速查找功能，可用于解决 DNS 查询。此外，该服务配置简便，即便新手也能快速上手，且配备全套现成安全协议。除此之外，Google Public DNS 还能从 Google 广泛的全球数据中心网络中获益。

• Cloudflare：Cloudflare 的 DNS 服务依赖于其 Anycast 网络路由 DNS 配置，其中一个 IP 地址可以将流量发送到不同地区的多个数据中心。用户连接到离他们最近的服务器，从而提高了访问速度，并能够防止分布式拒绝服务 (DDoS) 攻击。Cloudflare 的 1.1.1.1.公共 DNS 解析器据称是目前最快的 DNS 解析器。

• Quad9：Quad9 以提供更多安全功能而闻名，例如过滤恶意软件和阻止网络钓鱼活动的能力。该公司是一个非营利组织，非常注重用户隐私，因此拒绝保留浏览数据或用户信息。