I server DNS (Domain Name System) trasformano i nomi di dominio a misura d'uomo in indirizzi IP accessibili. Mentre i server DNS primari ospitano copie originali "in lettura/scrittura" del file di zona di un particolare dominio, i server DNS secondari conservano copie di sola lettura.
Un file di zona è un file di testo che contiene tutti i record DNS per un particolare dominio (o "zona"). I dati di zona includono record DNS come indirizzi IP, record di scambio del server di posta e record del server dei nomi. In sostanza, contiene le istruzioni che indirizzano internet al tuo sito web, ai server di posta elettronica, ai sottodomini e ad altre risorse.
All'interno di un'infrastruttura DNS, i record DNS sono la moneta corrente. Sono fondamentali per tutto ciò che avviene, in particolare per il processo di ricerca che gli amministratori utilizzano per gestire le query DNS, con i nomi host inseriti e gli indirizzi IP corrispondenti.
Tenere il passo con tutti i domini e sottodomini correlati non è facile. Quindi, le aziende utilizzano due tipi di dispositivi di gestione per mantenere il servizio DNS.
I server DNS primari mantengono la fonte di verità definitiva per i record DNS di un dominio. Questi server di DNS autorevoli detengono la copia master del file di zona.
Se un amministratore di dominio deve modificare il file di zona, tali modifiche vengono apportate direttamente alla zona principale del name server autorevole. I controlli di accesso sono implementati sul server primario per garantire che solo il personale autorizzato possa apportare modifiche ai file di zona.
Tuttavia, i server DNS secondari svolgono principalmente una funzione di backup, entrando in azione nel caso in cui il server primario vada improvvisamente offline. Sebbene sia tecnicamente vero che un server DNS primario può essere gestito senza uno secondario, si tratta di una pratica sconsigliata.
Se si verifica un failover, i server secondari possono intervenire e gestire il traffico di query DNS senza dover sacrificare una quantità significativa di tempo di attività. Senza un server DNS secondario, si tratta di un singolo punto di errore in attesa di verificarsi.
Oltre a questa importante funzione, i server DNS secondari assistono anche nelle due cause gemelle: bilanciamento del carico e ridondanza. Il bilanciamento del carico aiuta a reindirizzare il traffico delle query secondo necessità, creando un tipo di equilibrio tra risorse. Nel frattempo, la ridondanza garantisce che una versione affidabile delle informazioni continui a esistere, indipendentemente da ciò che accade con un determinato server.
Per l'amministratore di sistema, configurare server DNS primari e secondari può essere un'impresa impegnativa. Fortunatamente, molti tutorial utili possono guidare il personale nell'implementazione dei server DNS, nella configurazione dei server per l'operazione e nella gestione dei server per ottenere risultati ottimali.
Va notato che uno degli utenti chiave dei server DNS sono le applicazioni. Quando le app richiedono risorse specifiche, funzionano come se fossero sistemi che sequenziano le query DNS. Questo processo consiste nello sfruttare il server primario mantenendo il server secondario pronto per le emergenze nel caso in cui il server primario sperimenti un failover.
Esistono diverse tecnologie correlate associate all'uso del DNS primario e del DNS secondario.
Active Directory (AD) è il servizio di directory di Microsoft per le reti di dominio Windows, creato dall'azienda per rispondere alla necessità di una gestione centralizzata degli account utente Windows, delle risorse e delle politiche di sicurezza personalizzate.
AD lavora in stretta collaborazione con il DNS, specialmente nella risoluzione dei nomi. I dispositivi client sono configurati sia con un server DNS primario che con un server DNS secondario per la continuità del backup. Questi server sono ospitati in zone DNS che si trovano all'interno di Active Directory. Poiché questi dati di zona sono stati caricati in Active Directory, sono accessibili a chiunque abbia funzionalità di controllo del dominio.
Il Dynamic Host Configuration Protocol (DHCP) regola il modo in cui i dispositivi che operano su una rete di computer interagiscono e ricevono automaticamente gli indirizzi dei server DNS primari e secondari (insieme agli indirizzi IP e alle impostazioni DNS necessarie).
DHCP e DNS collaborano in vari modi, a partire dal momento in cui un dispositivo (ad esempio, un telefono, un laptop o un router) si connette a una rete. Il dispositivo interagisce con un server DHCP, emettendo una richiesta DHCP. In risposta, il server DHCP risponde assegnando un indirizzo IP insieme ad altri dati chiave, come gli indirizzi IP dei server DNS primari e secondari.
I passaggi successivi vedono la risoluzione dei nomi di dominio tramite il DNS primario, che li associa a un indirizzo IP corrispondente. Se il server DNS principale diventa non disponibile per il servizio, allora il dispositivo cercherà il server DNS secondario.
I domain name system security extensions (DNSSEC) sono un miglioramento della sicurezza che consente ai provider DNS di intensificare gli sforzi di autenticazione per i dati DNS. La tecnica principale è l'uso forzato delle firme digitali, che aiuta a bloccare attacchi come l'avvelenamento della cache DNS e lo spoofing del DNS.
DNSSEC richiede che il server DNS autorevole primario utilizzi firme digitali per "firmare" e autorizzare la zona DNS. Inoltre, DNSSEC richiede che il server autorevole primario e quello secondario mantengano ciascuno i record DNS firmati. Questi record possono quindi essere inviati a server ricorsivi e in uscita per un'ulteriore distribuzione e convalida dei dati.
Entrambi i set di server, primario e secondario, operano come fonti autorevoli per quella zona DNS firmata. Forniscono record di risorse firmati ai risolutori ricorsivi, che poi autenticano e convalidano i dati contenuti in tali record.
Un indirizzo Internet Protocol (IPv4) è una sequenza numerica distinta, costituita da quattro insiemi di numeri separati da periodi. L'indirizzo IPv4 è formulato in modo strettamente numerico perché in questo modo permette ai dispositivi di comunicare tramite una rete, incluso internet.
Gli indirizzi IPv4 contengono 32 bit, il che significa che questo formato offre circa 4,3 miliardi di indirizzi univoci possibili (sulla base di altrettante permutazioni matematiche distinte). A un certo punto si pensava che avrebbe fornito indirizzi univoci sufficienti, ma quel momento è passato e la necessità di più indirizzi IP è continuata a crescere.
Anche se gli indirizzi IPv4 sono sicuramente ancora in uso, il formato IPv4 ha dovuto essere ampliato per offrire un numero ancora maggiore di possibili indirizzi IP. Entra in gioco IPv6, il formato aggiornato che è quattro volte più grande, con indirizzi IPv6 che pesano 128 bit. Il salto di scala significa che miliardi di trilioni di indirizzi IPv6 sono ora possibili.
I sistemi operativi open source che compongono Linux funzionano in modo diverso per quanto riguarda il loro rapporto con i server DNS primari e secondari. Con Linux non esiste una stretta aderenza al modello di server DNS primario/secondario.
Viene invece fornito un elenco di indirizzi IP del server. Il cliente seleziona quindi un server DNS in base all'ordine degli elenchi dei server o a una disposizione round-robin che supporti una distribuzione più equa delle query di ricerca.
Il ruolo esatto che una macchina Linux svolge può variare e dipende in gran parte dal contesto esatto previsto. Ad esempio, un PC Linux domestico funge da client DNS: è configurato per l'uso con un particolare server di nomi ISP o DNS pubblico.
Nel frattempo, se un server Linux ospita un sito web, viene considerato un server DNS e può essere considerato il server principale di quel dominio. (Se ci sono più di un server Linux in uso, si possono configurare server aggiuntivi per operare in un ruolo secondario, di backup, per aumentare la ridondanza.)
