Che cos'è il DNS primario?

Il sistema DNS è utilizzato per collegare nomi di dominio human-friendly con indirizzi IP computer-friendly e consentire agli utenti di Internet di accedere al sito web che stanno cercando.

Quando un utente inserisce un nome di dominio in un browser web, il computer dell'utente comunica con un resolver DNS, che naviga nel sistema DNS per raggiungere un authoritative name server (spesso il server primario, ma a volte il secondario se il primario è inattivo o sovraccarico) con l'indirizzo IP del sito web richiesto. L'indirizzo IP corrispondente viene rispedito all'utente e l'utente viene connesso al sito web.

Il server DNS primario è il luogo in cui un amministratore configura le zone e i record DNS per un dominio. I server secondari sono configurati per creare resilienza nel sistema. Questi server conservano copie complete dei record configurati nella zona del server primario e vengono utilizzati per la risoluzione delle query quando un server primario non è disponibile.

Le aziende possono configurare decine di server e la zona (e i record all'interno) del name server primario vengono copiati su tutti i server secondari.

I server DNS primari contengono anche i record di inizio dell'autorità (SOA) di un dominio, che forniscono una sorta di sistema di controllo della versione, notificando ai server secondari gli aggiornamenti del file di zona principale e tracciando il processo di replica con i server di backup.

La distinzione tra server DNS primari e secondari non è visibile agli utenti di Internet. Questi server hanno le stesse informazioni e la distinzione ha un significato solo per l'amministratore. Il primario è il luogo in cui vengono apportate le modifiche, mentre i server secondari sono quelli che ricevono le copie dal primario.

Questo sistema svolge un ruolo fondamentale sia nell'indirizzamento del traffico DNS che nella resilienza della rete.

Il Domain Name System (DNS) è il componente del protocollo standard di internet responsabile della conversione dei nomi di dominio user-friendly negli indirizzi di Internet Protocol (IP) che i computer utilizzano per identificarsi a vicenda sulla rete.

Spesso viene chiamato "l'elenco del telefono di internet" ma, volendo utilizzare un'analogia più moderna, si può dire che il DNS gestisce i nomi di dominio in modo molto simile a quello delle rubriche degli smartphone. Gli smartphone fanno sì che gli utenti non debbano ricordare a memoria i singoli numeri di telefono, salvandoli invece in elenchi di contatti facilmente ricercabili.

Analogamente, il DNS consente agli utenti di connettersi ai siti web utilizzando i nomi di dominio internet invece degli indirizzi IP. Anziché dover ricordare che il server web si trova su "93.184.216.34", ad esempio, gli utenti possono recarsi alla pagina web "www.example.com" per ottenere i risultati desiderati.

Il server DNS primario contiene record name server (NS), record A, record MX e record CNAME (tra gli altri tipi) che indirizzano i dati e le informazioni appropriati verso l'utente.

Il server primario detiene anche il record SOA per un dominio. I record SOA forniscono informazioni autorevoli su un dominio, tra cui il name server primario, l'indirizzo e-mail dell'amministratore, i timer di aggiornamento (che specificano la frequenza degli aggiornamenti delle zone) e il numero di serie del dominio.

Quando un dominio viene registrato, i suoi record name server (NS) vengono creati e memorizzati su un server DNS primario, tipicamente fornito da una società di hosting o da un provider di servizi DNS. Quando un amministratore desidera modificare o aggiornare i record DNS, deve farlo sul server DNS primario. Le modifiche si propagano quindi a tutti i server secondari.

Gli amministratori dei server possono designare qualsiasi server DNS come primario o secondario. Di fatto, i server possono avere una designazione primaria in una zona e una designazione secondaria in un'altra. Ogni zona DNS, tuttavia, può avere un solo server primario.

Quando un utente inserisce un nome di dominio in un browser o in un'applicazione, la richiesta va a un resolver ricorsivo. In genere, il dispositivo dell'utente ha delle impostazioni DNS predefinite, fornite dal provider di servizi Internet (ISP), che determinano quale resolver viene utilizzato.

Il resolver verifica la sua cache DNS (lo storage temporaneo all'interno di un browser web o di un sistema operativo come Windows o Linux) per l'indirizzo IP corrispondente del dominio. Se i dati del DNS lookup non sono memorizzati nella cache, il resolver li recupera dall'authoritative DNS, che cerca il file di zona DNS, memorizza nella cache il record DNS per un tempo specificato dal time-to-live (TTL) del record e restituisce l'indirizzo appropriato al dispositivo dell'utente.

Quindi, il browser o l'app possono avviare una connessione al server host a tale indirizzo IP e accedere al sito web o al servizio richiesto.

I server DNS sono classificati come "primari" e "secondari" in base al loro ruolo. Mentre il server DNS primario è la fonte autorevole per i record DNS di un dominio e mantiene la versione originale di lettura/scrittura del file di zona, i server DNS secondari conservano repliche di sola lettura del file di zona per il bilanciamento del carico e la gestione della ridondanza. Se un server primario è inattivo, le query vengono automaticamente indirizzate a un server secondario che soddisfa la richiesta.

I server DNS secondari non sono essenziali; i sistemi DNS possono funzionare quando è disponibile solo un server primario. È una prassi standard, e spesso richiesta dai registrar dei domini, quella di mantenere almeno un server secondario per facilitare il round robin del DNS (che distribuisce il traffico in modo uniforme su ciascun server), prevenire il denial-of-service e, in generale, aumentare la resilienza di un sistema. Se un server, o più server, si guastano, c'è un backup che può connettere l'utente al sito web che sta cercando.

Sia i server primari che quelli secondari aiutano a mantenere l'efficienza dei sistemi DNS. Il loro utilizzo combinato significa che le query degli utenti possono essere risolte da qualsiasi server disponibile, indipendentemente dallo stato primario o secondario. Tuttavia, approfondiamo le distinzioni tra server DNS primari e secondari.

Oltre ad archiviare il file della zona primaria, il server DNS primario risponde alle richieste di aggiornamento dell'amministratore del dominio ed elabora gli aggiornamenti dinamici. I server di zona secondari sono server di backup che gestiscono le richieste DNS durante il tempo d'inattività del server primario o quando il server primario è sovraccarico.

Il file di zona primario sul name server primario contiene tutti i record A (record di indirizzi per IPv4), record AAAA (record di indirizzi per IPv6), record MX (che indirizzano ai server di posta), record CNAME (che associano gli alias ai nomi di dominio veri o "canonici"), record SOA (contenenti tutte le informazioni amministrative di un dominio) e record TXT (che indicano il record del framework delle policy del mittente per l'autenticazione e-mail) per un determinato dominio. L'amministratore gestisce direttamente questo file e qualsiasi aggiornamento o modifica ai record DNS viene effettuato qui per prima cosa.

I server DNS secondari sono repliche del file di zona, trasferite dal server primario. Non possono ospitare revisioni o modifiche dirette al file di zona; al contrario, verificano periodicamente con il server primario la disponibilità di aggiornamenti in un processo denominato trasferimento di zona.

La configurazione di un DNS primario implica l'impostazione del file di zona, dei record delle risorse e dei controlli degli accessi e può includere l'organizzazione di trasferimenti di zona autorevoli e incrementali (AXFR e IXFRS) verso server secondari designati.

Le configurazioni del DNS secondario richiedono agli amministratori di impostare protocolli di comunicazione tra i server primario e secondario per i trasferimenti dei dati di zona e di specificare la frequenza delle verifiche con il server primario per gli aggiornamenti.

Sebbene il server DNS primario sia essenziale, rappresenta anche un single point of failure. Se si verifica un arresto anomalo e non sono stati designati server secondari per farsi carico del workload, può essere compromessa l'intera procedura di risoluzione DNS. I server secondari non possono esistere senza un server DNS primario, ma se il server primario è fuori servizio, i server secondari possono mantenere il DNS operativo fino a quando il server primario non viene ripristinato.

Gli amministratori si affidano ai server DNS secondari per supportare il server primario e ottimizzare la resilienza del sistema.

Poiché i server secondari hanno copie complete di tutti i record sul name server autoritativo, possono sostituire il server primario se si blocca o non è disponibile per altri motivi. Se, tuttavia, l'amministratore di sistema dovesse creare e gestire manualmente le copie, si creerebbe un ritardo tra il server primario e quello secondario. Il DNS primario e secondario automatizzano invece il processo di copia.

Quando un amministratore apporta una modifica al server primario, il numero di serie del dominio ospitato nei record SOA passa al numero successivo nella progressione (se il numero di serie era SOA 1, ad esempio, cambia in SOA 2).

In una configurazione DNS tradizionale, il name server secondario effettuerà il check-in con il server primario a intervalli predeterminati per ottenere il numero di serie SOA corrente. Se il server primario segnala una modifica, il server secondario effettua una richiesta AXFR o IXFR per avviare la copia. Quindi, il server primario invia gli aggiornamenti al server secondario, insieme al numero di serie SOA aggiornato.

Questa configurazione DNS obbliga i server secondari ad avviare richieste pull XFR per sapere che il server primario è stato modificato, creando un passaggio aggiuntivo che rallenta il DNS.

Tuttavia, le configurazioni più moderne utilizzano il protocollo 'NOTIFY', che consente al name server primario di inviare un messaggio UDP (User Datagram Protocol) al server di backup ogni volta che un amministratore effettua una modifica. I server secondari controllano quindi il seriale SOA per confermare la modifica e avviare la richiesta di pull per gli aggiornamenti.

L'utilizzo di questo approccio al DNS primario e secondario consente agli amministratori di sistema di ottimizzare l'affidabilità e la resilienza del sistema. Mantiene inoltre sincronizzati i server e garantisce che gli utenti possano accedere a qualsiasi server per reperire le informazioni più aggiornate.

Sebbene l'utilizzo di DNS primari e secondari rappresenti il modo più comune per ottenere l'affidabilità attraverso la ridondanza su Internet, questa pratica non è priva di difficoltà. L'approccio primario-secondario spesso non è in grado di supportare caratteristiche avanzate, come il bilanciamento globale del carico dei server (GSLB).

Gli strumenti di indirizzamento del traffico come GSLB indirizzano il traffico degli utenti ai server DNS in base alla vicinanza geografica. I router DNS inviano automaticamente le richieste al server disponibile più vicino per accelerare il processo di risoluzione.

Tuttavia, questa caratteristica è spesso proprietaria e non può essere trasferita su XFR. Un amministratore di dominio può configurare GSLB sul name server primario, ma non sarebbe in grado di trasferire la configurazione sui server secondari.

Per risolvere questo problema, le aziende possono scegliere fornitori con un sistema proprietario in grado di supportare più server in tutto il mondo. Il DNS Anycast, ad esempio, consente agli amministratori di assegnare un indirizzo IP, o un set di indirizzi IP, a più server distribuiti geograficamente.

Al posto delle dinamiche di comunicazione one-to-one associate al DNS convenzionale, Anycast facilita la comunicazione one-to-many. Pertanto, quando un utente invia una richiesta, la richiesta viene inviata a una rete di resolver (anziché a un singolo resolver) e al server disponibile più vicino per la risoluzione.

Oppure, quando si utilizzano più fornitori, le organizzazioni possono impostare più name server primari e collocare l'utente tra di essi. Anziché affidarsi a trasferimenti DNS e XRF secondari, un amministratore configurerebbe tutti i server direttamente utilizzando un'API.

Sia il DNS primario che quello secondario sono importanti per l'indirizzamento delle query, pertanto mantenere e ottimizzare i server DNS primari può accelerare l'intero sistema DNS. Le aziende possono trarre il massimo beneficio dal proprio DNS incorporando le seguenti pratiche.

Scegliere un provider DNS con tempi di attività elevati, protocolli di ridondanza completi e supporto clienti accessibile può aiutare a garantire una risposta rapida e affidabile alle query DNS.

I principali provider DNS offrono un'ampia gamma di servizi, dai servizi DNS pubblici ai server DNS gestiti. La determinazione della migliore soluzione per un'organizzazione dipenderà dalle esigenze organizzative^1, dai budget e dalla complessità. Mentre l'utilizzo del DNS pubblico offre ai clienti un accesso aperto e gratuito al DNS, una migrazione al DNS a pagamento può offrire un controllo più dettagliato.

Restare informati sulle ultime vulnerabilità e minacce DNS (come tunneling DNS, attacchi DDoS e spoofing della cache) e utilizzare firewall, domain name system security extensions (DNSSECs) e altre misure di sicurezza può contribuire a proteggere i server DNS² e a mitigare i rischi.

L'aggiornamento tempestivo e frequente dei record DNS per riflettere le modifiche apportate agli indirizzi IP, all'infrastruttura e ai servizi facilita la risoluzione coerente e accurata del dominio. 

L'architettura DNS primaria/secondaria convenzionale sta diventando obsoleta tra i moderni provider di DNS gestiti. La maggior parte dei provider offre attualmente IP di name server da utilizzare e, dietro ognuno di essi, c'è un pool di server DNS che indirizza le richieste utilizzando Anycast, un protocollo di trasporto one-to-many. Questo approccio offre solitamente una migliore ridondanza e una maggiore disponibilità rispetto al modello classico.

Tuttavia, anche nelle implementazioni DNS avanzate, i servizi DNS secondari possono aiutare le aziende:

Il DNS secondario consente ai team di accedere a strumenti, codice e sistemi legacy che puntano a un vecchio server DNS in hosting nella loro organizzazione. Durante la migrazione dell'architettura, i server secondari consentono agli amministratori di definire il provider DNS secondario senza interrompere le dipendenze. In questo modo tutti i processi esistenti vengono sincronizzati, ma il nuovo server DNS è in grado di rispondere in caso di rallentamento o guasto dei server interni.

Per molte organizzazioni con siti ad alto traffico e app web mission-critical, le interruzioni non sono tollerate. L'uso di name server secondari aiuta gli amministratori a evitare qualsiasi single point of failure nel caso in cui i server DNS primari dovessero riscontrare latenza o altri problemi.

I servizi gestiti configurano una distribuzione DNS dedicata (che viene eseguita su una rete e su server separati dal normale servizio DNS gestito) per la tua organizzazione. Questo approccio facilita la ridondanza, consentendo alle aziende di mantenere i servizi con un unico fornitore. Inoltre, la distribuzione dedicata non è condivisa con altre organizzazioni, quindi risulta isolata dagli attacchi rivolti ad altri clienti del servizio.