¿Qué es una zona DNS?

Las zonas DNS dividen la autoridad en diferentes segmentos del espacio de nombres DNS (por ejemplo, un dominio y un subdominio), lo que proporciona a los administradores un control más preciso sobre los registros DNS, los servidores de nombres DNS y otros componentes. Esta partición puede ayudar a agilizar la gestión y orquestación de DNS y distribuir las cargas de trabajo entre los servidores de nombres.

Por ejemplo, el dominio "example.com" puede existir en la misma zona que los subdominios "blog.example.com" y "community.example.com". Si los administradores necesitan un control más granular, tal vez debido al número de dispositivos conectados al sitio de la comunidad y al volumen de registros DNS asociados, pueden particionar el subdominio "community.example.com" en su propia zona con su propio servidor de nombres autoritativo.

Una zona DNS especifica que un dominio, o parte de un dominio, está gestionado por un administrador específico. Sin embargo, una zona puede abarcar varios subdominios y pueden existir varias zonas en el mismo.

Servidor DNS. Las zonas DNS no implican una separación física, sino que se utilizan para el control de diferentes partes del espacio de nombres.

Las zonas pueden ayudar a aliviar la carga administrativa asociada a un dominio, distribuir la carga de consultas DNS y mejorar la eficiencia general y la escalabilidad de los servicios DNS. Una gestión de zonas eficaz que utilice características de seguridad como DNSSEC y actualizaciones dinámicas puede reforzar la seguridad de DNS y reducir amenazas de seguridad como los ataques de suplantación y secuestro de DNS.

Algunos conocimientos previos sobre el sistema de nombres de dominio y su funcionamiento son importantes para comprender las zonas DNS.

El DNS es un componente jerárquico y descentralizado del protocolo estándar de Internet responsable de convertir los nombres de dominio en direcciones IP (protocolo de Internet) que los ordenadores utilizan para identificarse en la red.¹

Aunque a menudo se le llama "la guía telefónica de Internet", una analogía más moderna es que el DNS gestiona los nombres de dominio de forma muy parecida a como los móviles gestionan los contactos. Los teléfonos guardan los números de contacto en listas en las que se pueden hacer búsquedas y eliminan la necesidad de que los usuarios memoricen números de teléfono individuales. Del mismo modo, el DNS permite a los usuarios conectarse a sitios web utilizando nombres de dominio en lugar de complejas direcciones IP.

Cuando un usuario introduce un nombre de dominio en un navegador, comienza la consulta (a menudo denominada solicitud de DNS o búsqueda de DNS). Un solucionador recursivo, el intermediario entre el dispositivo del cliente y los servidores autorizados, consulta entonces una serie de servidores para encontrar la información que necesita para conectar al usuario con el sitio web deseado. Cada uno de estos servidores es responsable de un segmento del espacio de nombres del dominio.

El proceso de consulta comienza con el servidor de nombres raíz. Los servidores de nombres raíz se sitúan en la parte superior de la jerarquía DNS y son responsables de gestionar la zona raíz. Estos servidores responden a las consultas de registros almacenados en la zona raíz y remiten las solicitudes al servidor de nombres de dominio de nivel superior (TLD) adecuado.

Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autorizados para los dominios específicos dentro de su TLD. Por ejemplo, el servidor de nombres TLD para ".com" dirige los dominios terminados en ".com", el servidor de nombres TLD para ".gov" dirige dominios que terminan en ".gov", y así sucesivamente.

El servidor de nombres de dominio (a veces denominado servidor de nombres de dominio de segundo nivel) contiene el archivo de zona con la dirección IP del nombre de dominio completo, como "ibm.com". Este archivo de zona también puede contener información de un subdominio (como blog.ibm.com/es-es) o esa información puede dividirse en su propia zona.

Cada uno de estos servidores almacena registros DNS con información sobre el dominio que el solucionador recursivo necesita para continuar, y en última instancia resolver, su consulta.

Un archivo de zona DNS es un archivo de texto sin formato almacenado en servidores DNS que contiene todos los registros de los dominios dentro de esa zona.

Cada línea de un archivo de zona especifica un registro de recursos (una única pieza de información sobre la naturaleza de, normalmente organizada por tipo de datos). Los registros de recursos garantizan que cuando un usuario inicia una consulta, el DNS puede dirigir rápidamente a los usuarios al servidor correcto.

Los archivos de zona DNS comienzan con dos registros obligatorios: el inicio de autoridad (registro SOA), que especifica el servidor de nombres autorizado principal para la zona DNS, y el tiempo de vida global (TTL), que indica cómo deben almacenarse los registros en la memoria caché DNS local.

Un archivo de zona puede contener otros tipos de registros, entre ellos:

• Registros A, que se asignan a direcciones IPv4, y registros AAAA, que se asignan a direcciones IPv6.
  
  
• Registros de intercambio de correo (registros MX), que especifican un servidor de correo electrónico SMTP para un dominio.
  
  
• Registros de nombres canónicos (registros CNAME), que redirigen los nombres de host de un alias a otro dominio (el "dominio canónico").
  
  
• Registros de servidor de nombres (registros NS), que indican que un servidor DNS está conectado a un servidor de nombres autoritativo específico.
  
  
• Registros de punteros (registros PTR), que especifican una búsqueda DNS inversa.
  
  
• Registros de texto (registros TXT), que indican el registro del marco de políticas del remitente para la autenticación del correo electrónico.

La zona DNS primaria almacena el archivo de zona primaria con todos los registros DNS de esa zona. Se trata de una copia de lectura/escritura y las actualizaciones de zona se realizan en la zona primaria y luego se copian en las zonas secundarias. Solo puede haber una zona primaria en un servidor DNS a la vez.

Una zona secundaria es una copia de solo lectura de la zona principal, utilizada para crear redundancia y equilibrar la carga en las consultas DNS.

Las solicitudes DNS suelen distribuirse entre los servidores primario y secundario. Si el servidor primario no funciona, los servidores secundarios pueden asumir toda o parte de la carga mediante transferencias de zona, una transacción que permite a los servidores primario y secundario intercambiar zonas. Las zonas secundarias también se comunican con los servidores principales para asegurarse de que las réplicas están actualizadas.

La zona de búsqueda avanzada traduce los nombres de dominio en direcciones IP. Cuando un solucionador DNS recibe una consulta para un nombre de dominio legible por humanos, consulta los registros de asignación A o AAAA en la zona de búsqueda hacia delante para encontrar la dirección IP correspondiente.

Como contrapunto a las zonas de búsqueda directa, las zonas de búsqueda inversa asignan las direcciones IP a los nombres de dominio mediante el uso de registros PTR (registros de puntero).

Este proceso puede ser útil para implementar servicios que requieren la verificación del dominio o para fines de registro cuando los equipos necesitan comprender el dominio asociado a una dirección IP (como la solución de problemas y el filtrado de spam). Las consultas en las zonas de búsqueda de DNS inversa utilizan los dominios in-addr.arpa o ip6.arpa.

Las zonas de código auxiliar contienen solo los registros que el sistema necesita para identificar los servidores de nombres autorizados para una zona. Sirven como puntero, reduciendo la dependencia de servidores recursivos para consultar zonas de nivel superior y localizar el servidor autoritativo. La proximidad de las zonas de código auxiliar a los servidores autoritativos ayuda a reducir el tráfico de consultas DNS y acortar los tiempos de resolución.

Las transferencias de zona DNS mantienen una funcionalidad óptima del sistema, especialmente en entornos en los que la redundancia y la alta disponibilidad son prioridades.

Una transferencia de zona completa copia todo el contenido de un archivo de zona del servidor DNS principal a los servidores secundarios, creando una réplica exacta de la zona. Las transferencias de zona completa se suelen utilizar durante la configuración inicial de los servidores secundarios o cuando es necesario volver a sincronizarlos tras un tiempo de inactividad prolongado. 

Las transferencias de zona incrementales solo comprenden los cambios en la zona desde la última transferencia. Dado que requieren menos ancho de banda y potencia de procesamiento para mantener los procesos de sincronización, las transferencias incrementales de zonas pueden ser útiles en zonas dinámicas que sufren cambios frecuentes.