Migración fluida de DNS: una guía práctica

Una de las primeras cosas que se hace cuando uno se muda a una casa nueva es actualizar la dirección postal en el servicio de correos. Esta actualización no es necesariamente complicada, pero es esencial: de lo contrario, es posible que se envíe correo importante a su dirección anterior y ni usted ni el remitente sabrían que el correo no se entregó.

La migración de DNS es similar. Si no se hace correctamente, su sitio web podría volverse inaccesible para los usuarios, el correo electrónico podría fallar y causar problemas de comunicación con los clientes, las integraciones podrían romperse y mucho más. Esencialmente, es posible que los clientes no puedan comunicarse con su empresa en la dirección correcta, lo que puede conducir a una serie de resultados negativos.

El sistema de nombres de dominio (DNS) es como una guía telefónica o un directorio de internet. Permite a un usuario navegar a un sitio web utilizando un nombre de dominio fácil de recordar, como IBM.com, en lugar de una cadena de números (en este caso, 184.85.75.7).

Pero el DNS implica mucho más que una simple traducción, y la calidad del servicio de un proveedor de DNS gestionado puede afectar al rendimiento, la fiabilidad, la latencia, la seguridad, la privacidad y mucho más. Cuando el servicio de DNS de un proveedor no cumple con las expectativas o necesidades, las empresas pueden buscar un nuevo proveedor. Cuando lo hagan, tendrán que planificar una migración de DNS.

La migración de DNS, en la que una organización transfiere la configuración y los registros DNS de un dominio de un proveedor a otro, no tiene por qué ser la ardua tarea que a menudo se considera. Sin embargo, tiene sus riesgos y posibles dolores de cabeza si no se ejecuta correctamente. Los errores en la migración de DNS pueden resultar en tiempo de inactividad del servidor, vulnerabilidades dela red y mucho más. He aquí cómo asegurarse de que eso no ocurra.

Puede leer más sobre el proceso de búsqueda de DNS aquí.

La respuesta sencilla es que no todos los proveedores de DNS ofrecen los mismos servicios, o la misma calidad de servicios. El rendimiento es una característica clave, pero no es la única preocupación.

Por ejemplo, un proveedor de DNS también puede proporcionar características de seguridad para evitar la suplantación de DNS y bloquear el acceso a dominios maliciosos conocidos o sospechosos. Las capacidades de monitorización y registro de información también varían de un proveedor a otro. Algunos proveedores de DNS ofrecen equilibrio de carga para la conmutación por error, en el que varios servidores web redundantes gestionan las consultas DNS para evitar sobrecargar cualquier servidor, o una red global de entrega de contenido (CDN) que ayuda a almacenar el contenido en caché más cerca de los usuarios. Por supuesto, el coste también puede ser un factor en la decisión de cambiar de proveedor de DNS.

Los líderes empresariales deben elegir el servicio que mejor se adapte a sus necesidades empresariales. Esas necesidades suelen evolucionar, y los requisitos de DNS pueden evolucionar al mismo tiempo. Cuando los servicios de un proveedor de DNS actual ya no satisfacen las necesidades de una empresa, los líderes empresariales podrían considerar migrar sus registros y gestión de DNS a un nuevo proveedor.

En términos generales, hay una razón importante por la que muchas empresas postergan hacerlo: la sensación de que la migración es demasiado desalentadora y de que cualquier cambio provocará un tiempo de inactividad. Es una preocupación legítima, pero que puede mitigarse mediante una planificación y ejecución cuidadosas.

El primer paso en una migración de DNS es especificar el motivo (o motivos) de la migración. ¿Qué beneficios busca la empresa que no tenga actualmente? ¿Qué problemas necesita resolver la empresa? Por ejemplo, si una empresa utiliza el DNS de un pequeño proveedor de servicios de internet (ISP), es posible que los tiempos de resolución alcancen los milisegundos de tres dígitos. En ese caso, mejorar la velocidad podría ser una prioridad.

Una vez que la empresa ha identificado los motivos de la migración, los equipos de TI pueden comparar diferentes servicios para encontrar la combinación adecuada de características, servicio y coste. Los diferentes proveedores ofrecen diferentes especificaciones para incorporar una migración, pero hay algunas pautas generales a seguir.

Una vez que el equipo de migración haya seleccionado un proveedor, tendrá que recopilar todos los registros e información relacionada del proveedor de DNS anterior. Estos registros pueden incluir lo siguiente:

Estos registros proporcionan una traducción directa del nombre de dominio a la dirección IP. Los registros A son para direcciones IPv4, y los registros AAAA son para direcciones IPv6. IPv6 es cada vez más común; ofrece un número mucho mayor de direcciones IP únicas e incluye algunas características de seguridad y aumento de velocidad.

Los registros de nombres canónicos, o registros CNAME, dirigen un dominio de alias a un dominio canónico. Esto significa que este tipo de registro se utiliza para vincular subdominios a registros de dominio A o AAAA.

Los registros de nombres de delegación, o registros DNAME, se utilizan para redirigir varios subdominios con un registro y apuntarlos a otro dominio.

Los registros de autorización de autoridad de certificación, o registros CAA, permiten a los propietarios de dominios especificar qué autoridades de certificación (CA) pueden emitir certificados para su dominio. Una CA es una organización que valida la identidad de los sitios web y los conecta a claves criptográficas mediante la emisión de certificados digitales.

Los registros de texto, o TXT, almacenan información textual relacionada con dominios y subdominios. Los registros de texto permiten el almacenamiento de registros del marco de políticas del remitente (SPF) y registros de verificación de correo electrónico. Los registros DKIM y DMARC, que se almacenan en los registros TXT, ayudan a los servidores de correo electrónico a confirmar que un mensaje proviene de una fuente fiable.

Los registros de inicio de autoridad, o registros SOA, almacenan información administrativa importante sobre un dominio. Esta información puede incluir la dirección de correo electrónico del administrador del dominio, información sobre las actualizaciones del dominio y cuándo un servidor debe actualizar su información.

El servidor de nombres, o registros NS, muestra qué servidor DNS actúa como servidor de nombres autoritativo para un dominio. Los servidores de nombres autorizados contienen la información final sobre un dominio específico y su dirección IP correspondiente. Un registro NS apunta a todos los diferentes registros que contiene su dominio. Sin registros NS, los usuarios no podrán acceder a su sitio web.

Las zonas DNS son divisiones dentro de un espacio de nombres DNS. IBM.com, por ejemplo, tiene una zona DNS separada en research.ibm.com. Estos subdominios son lo suficientemente grandes como para tener un beneficio de la gestión y la monitorización individuales. Los archivos de zona DNS incluyen la mayoría de los tipos de archivos antes mencionados: registros SOA, registros A y AAAA, y más.

También existen otros tipos de registros DNS: lea esta guía para obtener más información.

Algunos proveedores ofrecen características de automatización que recopilan, exportan e importan registros DNS por usted, pero a menudo es aconsejable realizar también una copia de seguridad manual: los registros que faltan pueden provocar Resultados graves. También querrá almacenar una copia de estos archivos en un lugar seguro.

Un posible obstáculo en este proceso podría ser DNSSEC, o extensiones de seguridad del sistema de nombres de dominio. DNSSEC ofrece un valioso conjunto de protecciones de seguridad, utilizando la verificación de firmas para ayudar a garantizar la precisión y evitar la suplantación de DNS y otros ataques.

Pero el proceso de migración del DNS puede introducir algoritmos de firma diferentes, rompiendo la cadena y provocando interrupciones. Existen diferentes soluciones para este problema: algunos proveedores ofrecerán una herramienta de migración específica para DNSSEC, que mantiene esa seguridad. Para otros, podría ser necesario desactivar DNSSEC antes de migrar y volver a activarlo una vez finalizada la migración.

Otra práctica recomendada es reducir los valores de tiempo de vida (TTL). Se trata del tiempo que los resolvers recursivos (o servidores recursivos, la primera parada en una consulta de DNS) almacenan las direcciones IP de los sitios web visitados recientemente en caché. El almacenamiento en caché elimina la necesidad de buscar la dirección IP nuevamente y ayuda a proporcionar conexiones más rápidas.

Si un TTL está configurado en, digamos, 24 horas, cuando un usuario intenta visitar un sitio que ha migrado su servidor DNS dentro de ese periodo de tiempo, su navegador intentará ir a la dirección IP anterior, lo que probablemente resulte en un error. Establecer el TTL en un valor muy bajo, tal vez solo unos minutos, puede ayudar a evitar este problema.

Es una buena idea realizar la migración en etapas, en lugar de todo a la vez. La preparación permite a un equipo de migración comprobar cada característica individualmente en busca de errores, en lugar de luchar para averiguar qué salió mal durante toda la operación.

Una vez que el equipo haya exportado la documentación de DNS existente y la haya importado con el servicio del nuevo proveedor de DNS, deben verificar y comprobar los documentos para asegurarse de que no se haya perdido nada en el camino. Una herramienta como [dig] puede ayudar con la verificación. [Dig], o domain information groper, es una herramienta de línea de comandos que permite a los usuarios verificar documentos DNS, desde la dirección IP básica hasta TXT, SOA y más. Nslookup es otra herramienta de línea de comandos, aunque más simple que [dig], que devuelve resultados menos detallados.

A continuación, el equipo puede comenzar a transferir por etapas: alojamiento web, servicios de correo electrónico, luego API y otros servicios de terceros. Es una buena idea que alguien del equipo revise y solucione problemas en cada uno de ellos a medida que avanza la migración. Configure cualquier configuración avanzada, como habilitar DNSSEC. Una vez que todo esto esté probado en un servidor de prueba, el equipo puede proceder a actualizar la información con el registrador.

Si la empresa tiene un registrador de dominios y un proveedor de DNS independientes (quizás utilizando IBM® NS1 Connect para DNS y GoDaddy para el registro de dominios), el equipo debe iniciar sesión en el servicio de registro de dominios y actualizar los registros del servidor de nombres. Si la empresa utiliza el mismo proveedor para DNS y registro, a menudo esto se puede hacer automáticamente. No necesita cambiar nada en su propio proveedor de alojamiento web si no está cambiando también su proveedor de alojamiento. 

Un factor importante: no elimine el DNS antiguo todavía. Esto se debe a la propagación de DNS. Los registros DNS no cambian instantáneamente en internet; los servidores de dominio dispersos tardan en buscar y actualizar sus registros. El equipo puede comprobar el estado de los registros periódicamente con herramientas en línea como WhatsMyDNS.net. Por lo general, tarda uno o dos días como máximo, pero durante ese tiempo, querrá que tanto sus servicios DNS como los servicios DNS estén funcionando mientras esos servidores de dominio actualizan sus registros. Esto garantiza que los usuarios no tengan experiencias de interrupciones.

Una vez completada la propagación, la migración está esencialmente realizada. Solo queda un ligero trabajo de acabado. Esto incluye:

Restaurar TTL a la normalidad: aumente el TTL hasta 24 horas o lo que sea antes para habilitar el almacenamiento en caché para los usuarios.

Actualice la documentación interna: asegúrese de que la información DNS (número de cuenta, ciclos de facturación, ese tipo de cosas) esté actualizada en los registros de la organización para evitar confusiones.

Monitorice: revise el rendimiento y otras métricas después de la migración. Los equipos de TI pueden revisar los registros de DNS en busca de errores o tiempos de espera, realizar un seguimiento de los nuevos tiempos de respuesta, configurar alertas para cualquier tiempo de inactividad y comprobar periódicamente la propagación. Muchos proveedores de DNS disponen de herramientas de monitorización internas. También hay disponibles herramientas de terceros.

Obtenga más información sobre los servicios DNS gestionados aquí.