¿Qué es el DNS principal?

El sistema DNS se utiliza para conectar nombres de dominio amigables para el ser humano con direcciones IP y permitir que los usuarios de Internet accedan al sitio web que están buscando.

Cuando un usuario introduce un nombre de dominio en un navegador web, el ordenador del usuario se comunica con un solucionador DNS, que navega por el sistema DNS para llegar a un servidor de nombres autoritativo (a menudo el servidor primario, pero a veces el secundario si el primario está caído o sobrecargado) con la dirección IP del sitio web solicitado. Esta dirección IP correspondiente se devuelve al usuario y este se conecta al sitio web.

El servidor DNS principal es donde el administrador configura las zonas y los registros DNS de un dominio. Los servidores secundarios están configurados para aumentar la resiliencia del sistema. Estos servidores contienen copias completas de los registros configurados en la zona del servidor principal y se utilizan para resolver consultas cuando el servidor principal no está disponible.

Las empresas pueden configurar docenas de servidores y la zona (y los registros que contiene) del servidor de nombres principal se copia en todos los servidores secundarios.

Los servidores DNS primarios también contienen registros de inicio de autoridad (SOA) de un dominio, que proporcionan una especie de sistema de control de versiones, notificando a los servidores secundarios las actualizaciones del archivo de zona principal y rastreando el proceso de replicación con servidores de copia de seguridad.

La distinción entre servidores DNS primarios y secundarios no es visible para los usuarios en Internet. Estos servidores tienen la misma información y la distinción solo tiene sentido para el administrador. El servidor principal es donde se realizan los cambios, los servidores secundarios son los que obtienen copias del principal.

Este sistema juega un papel fundamental tanto en el enrutamiento del tráfico DNS como en la resiliencia de la red.

El sistema de nombres de dominio (DNS) es el componente del protocolo estándar de Internet responsable de convertir los nombres de dominio en las direcciones del protocolo de Internet (IP) que los ordenadores utilizan para identificarse en la red.

Aunque a menudo se le llama "la guía telefónica de Internet", una analogía más moderna es que el DNS gestiona los nombres de dominio de forma muy parecida a como los móviles gestionan los contactos. Los móviles eliminan la necesidad de que los usuarios recuerden números de teléfono individuales almacenándolos en listas de contactos de fácil búsqueda.

Del mismo modo, el DNS permite a los usuarios conectarse a sitios web mediante el uso de nombres de dominio de Internet en lugar de direcciones IP. En lugar de tener que recordar que el servidor web está en "93.184.216.34", por ejemplo, los usuarios pueden ir a la página web "www.example.com" para obtener los resultados deseados.

El servidor DNS primario contiene registros de servidor de nombres (NS), registros A, registros MX y registros CNAME (entre otros tipos) que enrutan los datos y la información apropiados al usuario.

Fundamentalmente, el servidor primario también posee el registro SOA de un dominio. Los registros SOA proporcionan información autoritativa sobre un dominio, incluido el servidor de nombres principal, la dirección de correo electrónico del administrador, los temporizadores de actualización (que especifican la frecuencia de actualización de la zona) y el número de serie del dominio.

Cuando se registra un dominio, sus registros de servidor de nombres (NS) se crean y almacenan en un servidor DNS principal, normalmente proporcionado por una empresa de alojamiento o un proveedor de servicios DNS. Y cuando un administrador quiere modificar o actualizar registros DNS, debe hacerlo en el servidor DNS principal. A continuación, los cambios se propagan a todos los servidores secundarios.

Los administradores de servidores pueden designar cualquier servidor DNS como primario o secundario. De hecho, los servidores pueden tener una designación principal en una zona y una designación secundaria en otra. Sin embargo, cada zona DNS solo puede tener un único servidor primario.

Cuando un usuario introduce un nombre de dominio en un navegador o aplicación, la solicitud se dirige a un solucionador recursivo. Normalmente, el dispositivo del usuario tiene una configuración DNS predefinida, proporcionada por el proveedor de servicios de Internet (ISP), que determina qué solucionador se implementa.

El solucionador comprueba su caché DNS (el almacenamiento temporal dentro de un navegador web o de un sistema operativo como Windows o Linux) en busca de la dirección IP correspondiente al dominio. Si los datos de búsqueda DNS no se almacenan en caché, el solucionador los recupera del servidor DNS autoritativo, que busca en el archivo de zona DNS, almacena en caché el registro DNS (durante un tiempo especificado por el tiempo de vida (TTL) del registro) y devuelve la dirección IP adecuada al dispositivo del usuario.

Entonces, el navegador o la aplicación pueden iniciar una conexión con el servidor anfitrión en esa dirección IP y acceder al sitio web o servicio solicitado.

Los servidores DNS se clasifican en "primarios" y "secundarios" en función de su función. Mientras que el servidor DNS principal es la fuente autorizada de los registros DNS de un dominio y contiene la versión original de lectura/escritura del archivo de zona, los servidores DNS secundarios contienen réplicas de solo lectura del archivo de zona para el equilibrio de carga y la gestión de redundancia. Si un servidor primario no funciona, las consultas se dirigen automáticamente a un servidor secundario que satisface la solicitud.

Los servidores DNS secundarios no son imprescindibles; los sistemas DNS pueden funcionar cuando solo está disponible un servidor primario. Pero es estándar, y a menudo exigido por los registradores de dominios, mantener al menos un servidor secundario para facilitar el DNS round-robin (que distribuye el tráfico de manera uniforme entre cada servidor), evitar la denegación de servicio y, en general, dotar de resiliencia a un sistema. Si falla un servidor, o varios, existe una copia de seguridad que puede conectar al usuario con el sitio web que busca.

Tanto los servidores primarios como los secundarios ayudan a mantener la eficiencia de los sistemas DNS. Usarlos juntos significa que las consultas de los usuarios pueden ser resueltas por cualquier servidor disponible, independientemente del estado primario o secundario. Sin embargo, vamos a explicar las distinciones entre los servidores DNS primarios y secundarios.

Además de almacenar el archivo de zona principal, el servidor DNS principal responde a las solicitudes de actualización del administrador de dominio y procesa las actualizaciones dinámicas. Los servidores de zona secundaria son servidores de copia de seguridad que controlan las solicitudes durante el tiempo de inactividad del servidor principal o cuando el servidor principal está sobrecargado.

El archivo de zona principal en el servidor de nombres principal contiene todos los registros A (registros de direcciones para IPv4); registros AAAA (registros de direcciones para IPv6); registros MX (que dirigen a servidores de correo); registros CNAME (que asignan alias a sus nombres de dominio verdaderos o "canónicos"); registros SOA (que contienen toda la información administrativa de un dominio); y registros TXT (que indican el registro marco de la política de remitentes para la autenticación del correo electrónico) de un dominio determinado. El administrador gestiona directamente este archivo y cualquier actualización o cambio en los registros DNS se realiza primero aquí.

Los servidores DNS secundarios son réplicas del archivo de zona, transferidos desde el servidor primario. No pueden realizar revisiones o ediciones directas al archivo de zona; en su lugar, verifican periódicamente con el servidor principal si hay actualizaciones en un proceso llamado transferencia de zona.

La configuración de un DNS primario implica configurar el archivo de zona, los registros de recursos y los controles de acceso, y puede incluir la organización de transferencias de zona autoritativas e incrementales (AXFR e IXFR) a servidores secundarios designados.

Las configuraciones de DNS secundario requieren que los administradores establezcan protocolos de comunicación entre los servidores primario y secundario para las transferencias de datos de zona y especifiquen la frecuencia de los registros con el servidor primario para obtener actualizaciones.

Aunque el servidor DNS principal es esencial, también representa un único punto de fallo. Si se bloquea y no hay ningún servidor secundario designado que se haga cargo de la carga de trabajo, todo el proceso de resolución del DNS puede verse afectado. Los servidores secundarios no pueden existir sin un servidor DNS principal, pero si el servidor principal no funciona, los servidores secundarios pueden mantener el DNS operativo hasta que se restablezca el servidor principal.

Los administradores confían en los servidores DNS secundarios para dar soporte al servidor principal y maximizar la resiliencia del sistema.

Dado que los servidores secundarios tienen copias completas de todos los registros del servidor de nombres autoritativo, pueden sustituir al servidor primario si este se bloquea o no está disponible por cualquier otro motivo. Sin embargo, si el administrador del sistema tuviera que crear y gestionar las copias manualmente, se crearía un retraso entre los servidores primario y secundario. En su lugar, los DNS primario y secundario automatizan el proceso de copia.

Cuando un administrador realiza un cambio en el servidor primario, el número de serie del dominio alojado en los registros SOA cambia al siguiente número de la progresión (si el número de serie era SOA 1, por ejemplo, cambia a SOA 2).

En una configuración de DNS tradicional, el servidor de nombres secundario se comunicará con el servidor primario a intervalos predeterminados para obtener el número de serie SOA actual. Si el servidor principal informa de un cambio, el servidor secundario realiza una solicitud AXFR o IXFR para iniciar la copia. Luego, el servidor principal envía las actualizaciones al secundario, junto con el número de serie SOA actualizado.

Esta configuración de DNS obliga a los servidores secundarios a iniciar solicitudes de extracción XFR para saber que se ha cambiado el servidor principal, lo que crea un paso adicional que ralentiza el DNS.

Sin embargo, las configuraciones más modernas utilizan el protocolo "NOTIFY", que permite que el servidor de nombres principal envíe un mensaje del protocolo de datagramas de usuario (UDP) a la copia de seguridad cada vez que un administrador realiza un cambio. Luego, los servidores secundarios verifican el número de serie de SOA para confirmar el cambio e iniciar la solicitud de extracción para actualizaciones.

El uso de este enfoque para el DNS primario y secundario ayuda a los administradores de sistemas a maximizar la fiabilidad y la resiliencia del sistema. También mantiene los servidores sincronizados y se asegura de que los usuarios puedan acudir a cualquier servidor para obtener la información más actualizada.

Si bien el uso del DNS principal y secundario es la forma más común de lograr la fiabilidad mediante la redundancia en Internet, la práctica no está exenta de desafíos. El enfoque primario-secundario a menudo no puede adaptarse a características avanzadas, como el equilibrio global de cargas de servidores (GSLB).

Las herramientas de direccionamiento de tráfico como GSLB dirigen el tráfico de los usuarios a los servidores DNS en función de la proximidad geográfica. Los enrutadores DNS envían automáticamente solicitudes al servidor disponible más cercano para acelerar el proceso de resolución.

Sin embargo, esta característica suele ser propietaria y no se puede transferir a través de XFR. Un administrador de dominio puede configurar GSLB en el servidor de nombres principal, pero no podrá transferir la configuración a servidores secundarios.

Para abordar este problema, las empresas pueden elegir proveedores con un sistema propietario que pueda admitir varios servidores en todo el mundo. El DNS Anycast, por ejemplo, permite a los administradores asignar una dirección (o un conjunto de direcciones) a varios servidores distribuidos geográficamente.

En lugar de la dinámica de comunicación uno a uno asociada al DNS convencional, Anycast facilita la comunicación uno a varios. Por lo tanto, cuando un usuario envía una solicitud, la solicitud va a una red de solucionadores (en lugar de a uno solo) y al servidor disponible más cercano para su resolución.

O, cuando utilizan varios proveedores, las organizaciones pueden configurar varios servidores de nombres principales y situar al usuario entre ellos. En lugar de depender de transferencias secundarias de DNS y XRF, un administrador configuraría todos los servidores directamente mediante una API.

Tanto el DNS primario como el secundario son importantes para el enrutamiento de consultas, por lo que mantener y optimizar los servidores DNS primarios puede acelerar todo el sistema DNS. Las empresas pueden obtener el máximo provecho de su DNS incorporando las siguientes prácticas.

Seleccionar un proveedor de DNS con un alto tiempo de actividad, protocolos de redundancia completos y un servicio de atención al cliente accesible puede ayudar a garantizar que las consultas de DNS se respondan de forma rápida y fiable.

Los proveedores de DNS primarios ofrecen varios servicios, desde servicios de DNS públicos hasta servidores DNS gestionados prémium. Determinar la mejor solución para una organización dependerá de las necesidades de esta¹, los presupuestos y la complejidad. Si bien el uso del DNS público proporciona a los clientes un acceso al DNS abierto y gratuito, una migración al DNS prémium puede ofrecer un control más detallado.

Mantenerse al tanto de las últimas vulnerabilidades y amenazas del DNS (como túneles DNS, los ataques DDoS y la suplantación de caché) y utilizar firewalls, extensiones de seguridad del sistema de nombres de dominio (DNSSEC) y otras medidas de seguridad pueden ayudar a proteger los servidores DNS² y mitigar el riesgo.

La actualización rápida y frecuente de los registros DNS para reflejar los cambios en las direcciones IP, la infraestructura y los servicios facilita una resolución de dominio coherente y precisa. 

La arquitectura DNS primaria/secundaria tradicional está quedando obsoleta entre los proveedores de DNS gestionado modernos. Hoy en día, la mayoría de los proveedores ofrecen IP de servidores de nombres para utilizar y, detrás de cada una de ellas, hay un grupo de servidores DNS que enrutan las solicitudes utilizando anycast (un protocolo de transporte de uno a muchos). Este enfoque tiende a proporcionar una mejor redundancia y una mayor disponibilidad que el modelo clásico.

Sin embargo, incluso en implementaciones avanzadas de DNS, los servicios de DNS pueden ayudar a las empresas a:

El DNS secundario permite a los equipos acceder a las herramientas, el código y los sistemas heredados que apuntan a un servidor DNS antiguo alojado en la organización. Durante la migración de la arquitectura, los servidores secundarios permiten a los administradores definir el proveedor de DNS secundario sin interrumpir las dependencias. Esto mantiene sincronizados todos los procesos existentes, pero permite que el nuevo servidor DNS responda si los servidores internos se ralentizan o fallan.

Para muchas organizaciones con sitios con mucho tráfico y aplicaciones web de misión crítica, no se pueden tolerar las interrupciones. El uso de servidores de nombres secundarios ayuda a los administradores a evitar cualquier punto único de fallo en caso de que los servidores DNS principales tengan problemas de latencia u otros problemas.

Los servicios gestionados configuran una implementación de DNS dedicada, que se ejecuta en una red y servidores independientes de su servicio de DNS administrado regular, para la organización. Este enfoque facilita la redundancia al tiempo que permite a las empresas mantener los servicios con un solo proveedor. Además, la implementación dedicada no se comparte con otras organizaciones, por lo que está aislada de los ataques dirigidos a otros clientes del servicio.