Home
topics
DNS primario
Data di pubblicazione: 19 aprile 2024
Collaboratori: Chrystal R. China, Michael Goodwin
Un server DNS primario è il server dei nomi autorevole di un sistema di nomi di dominio (DNS). È il primo punto di contatto nella risoluzione delle query e funge da fonte definitiva per le informazioni su un dominio, memorizzando copie originali di tutti i record DNS del dominio.
Se un server DNS primario non è disponibile, il browser, l'applicazione o il dispositivo che ha avviato la query contatterà un server DNS secondario contente una copia degli stessi record DNS.
In un'infrastruttura DNS, i nomi di dominio indirizzano il traffico verso gli indirizzi IP che contengono le risorse corrette per rispondere alle richieste degli utenti. Quando gli utenti immettono un nome di dominio, il server DNS primario è la prima tappa del percorso per la risoluzione delle query. Tuttavia, i nomi host a misura d’uomo e gli indirizzi IP a misura di computer necessitano di un intermediario per comunicare. È qui che entrano in gioco i server DNS primari.
I server primari traducono i nomi di dominio in indirizzi IP corrispondenti, che poi inviano le informazioni richieste all'utente. In quanto tale, il DNS primario svolge una funzione essenziale nell'instradamento del traffico Internet.
La Guida aziendale all'AI e all'automazione IT offre uno sguardo approfondito sull'automazione IT basata sull'AI, tra cui perché e come utilizzarla, i problemi che bloccano i tuoi sforzi e come iniziare.
In linea di massima, il DNS è simile a una rubrica telefonica di Internet. Converte i nomi di dominio (come www.example.com) in indirizzi IP (come 192.0.2.1) utilizzati dai computer per identificarsi a vicenda sulla rete. Senza DNS, gli utenti dovrebbero ricordare complessi indirizzi IP numerici per accedere ai siti web, una modalità impraticabile anche prima di considerare il volume di ricerche e richieste di dati univoche effettuate dagli utenti in un solo giorno.
I framework DNS hanno una struttura ad albero con il dominio root in alto, seguita da domini di primo livello (TLD), come .com, .org, .net, .uk, e così via. Sotto i TLD troviamo i domini di secondo livello, che tipicamente comprendono la parte riconoscibile di un nome di dominio (come "ibm.com") e tutte le zone secondarie disponibili. Ogni TLD ha il proprio set di nameserver, ma il nameserver primario entra in gioco al secondo livello.
Quando un dominio viene registrato, i record del suo name server (NS) vengono creati e memorizzati su un server DNS primario, tipicamente fornito da una società di hosting o da un provider di servizi DNS. Il server DNS primario contiene vari tipi di record NS, inclusi record A, record MX e record CNAME (tra gli altri tipi), che instradano i dati e le informazioni appropriati verso l'utente.
Vale la pena notare che gli amministratori dei server possono designare i server DNS come primari o secondari. In effetti, i server possono avere una designazione primaria in una zona e una designazione secondaria in un'altra. Tuttavia, ogni zona DNS può avere un solo server primario.
Le modifiche al dominio si verificano anche nel DNS primario. Quando un amministratore desidera modificare i record DNS, deve farlo all'interno dei server DNS primari; le modifiche si propagano quindi verso i livelli sottostanti della gerarchia, nella direzione dei server rimanenti.
I server DNS sono classificati come "primari" e "secondari" in base ai loro ruoli nella gerarchia DNS. Mentre il server DNS primario mantiene la versione originale di lettura/scrittura del file di zona, i server DNS secondari conservano repliche di sola lettura del file di zona ai fini del bilanciamento del carico e della gestione della ridondanza.
I servizi DNS secondari non sono essenziali; i sistemi DNS possono funzionare quando è disponibile solo un server primario. La prassi, però, e spesso richiesta dai registrar dei domini, è di mantenere almeno un server secondario per facilitare il round robin del DNS (che distribuisce il traffico in modo uniforme su ciascun server) e prevenire il denial-of-service.
L'architettura DNS primaria/secondaria convenzionale sta diventando obsoleta tra i moderni provider DNS gestiti. Oggi, la maggior parte dei provider offre IP di nameserver da utilizzare e dietro ognuno di questi IP c'è un pool di server DNS che indirizza le richieste utilizzando anycast (un protocollo di trasporto one-to-many). Questo approccio tende a fornire una migliore ridondanza e una maggiore disponibilità rispetto al modello classico.
Tuttavia, anche nelle distribuzioni DNS avanzate, il DNS secondario può aiutare le aziende a:
- Migrare a una nuova infrastruttura DNS, con dipendenze sui vecchi server DNS. Il DNS secondario consente ai team di accedere a strumenti, codice e sistemi legacy che puntano a un vecchio server DNS in hosting nella loro organizzazione. Durante la migrazione dell'architettura, i server secondari consentono agli amministratori di definire il provider DNS secondario senza interrompere le dipendenze. In questo modo tutti i processi esistenti vengono sincronizzati, ma il nuovo server DNS è in grado di rispondere in caso di rallentamento o guasto dei server interni.
- Evitare singoli punti di errore. I siti ad alto traffico e le app Web mission-critical non sono in grado di tollerare le interruzioni. L'utilizzo di server di nomi secondari aiuta gli amministratori a evitare qualsiasi punto di guasto se i server DNS primari riscontrano problemi di latenza.
- Configurare DNS ridondante con un servizio gestito. Un DNS gestito intelligente può consentire una distribuzione DNS dedicata, eseguita su una rete e su un server separati dal normale servizio DNS gestito. Ciò consente di facilitare la ridondanza tra due server DNS separati, consentendo al contempo alle organizzazioni di lavorare con un solo provider. Inoltre, la distribuzione dedicata non è condivisa con altre organizzazioni, quindi risulta isolata dagli attacchi rivolti ad altri clienti del servizio.
Sia i server primari che quelli secondari mantengono l'efficienza e la funzionalità dei sistemi DNS, ma esistono differenze fondamentali che determinano il loro comportamento e l'interazione nell'ambiente informatico.
Oltre ad archiviare il file della zona primaria, il server DNS primario risponde alle richieste di aggiornamento dell'amministratore del dominio ed elabora gli aggiornamenti dinamici. I server di zona secondari sono server di backup che gestiscono le richieste durante il tempo di inattività del server primario o quando il server primario è sovraccarico.
Il file di zona primaria nel DNS primario contiene tutti i record A (record di indirizzi per IPv4), record AAAA (record di indirizzi per IPv6), record MX (che indirizzano ai server di posta), record CNAME (che associano gli alias ai nomi di dominio veri o "canonici"), record SOA (contenenti tutte le informazioni amministrative di un dominio) e record TXT (indicanti il record del framework delle politiche del mittente per l'autenticazione e-mail) per un determinato dominio. L'amministratore gestisce direttamente questo file, e tutti gli aggiornamenti o le modifiche ai record DNS vengono effettuati prima qui.
I server DNS secondari sono copie esatte del file di zona, trasferite dal server primario. Non possono ospitare revisioni o modifiche dirette al file di zona. Al contrario, verificano periodicamente con il server primario la disponibilità di aggiornamenti in un processo denominato trasferimento di zona.
La configurazione di un DNS primario comporta l'impostazione del file di zona, dei record di risorse e dei controlli di accesso, e può includere l'organizzazione di trasferimenti di zona autorevoli (AXFR) e incrementali (IXFR) a server secondari designati. Le configurazioni di DNS secondari, tuttavia, richiedono agli amministratori di impostare protocolli di comunicazione tra i server primario e secondario per i trasferimenti di dati di zona, nonché di specificare la frequenza delle archiviazioni con il server primario per gli aggiornamenti.
Sebbene il server DNS primario sia essenziale, rappresenta anche un singolo punto di errore. Se si verifica un arresto anomalo e gli amministratori non hanno designato server secondari per farsi carico del workload, ne risente l'intero processo di risoluzione DNS. I server secondari non possono esistere senza un server DNS primario, ma se si verifica un'interruzione, possono mantenere il DNS operativo fino a quando il server primario non viene ripristinato.
Per comprendere meglio il DNS primario, è importante capire in che modo le query degli utenti fluiscono attraverso un sistema fino alla risoluzione.
Un utente inserisce un nome di dominio in un browser o un'app e la richiesta viene inviata a un resolver DNS ricorsivo. In genere, il dispositivo dell'utente dispone di impostazioni DNS predefinite, fornite dal provider di servizi Internet (ISP), che determinano quale resolver ricorsivo viene implementato.
Il resolver ricorsivo controlla nella sua cache (ovvero l'archiviazione temporanea all'interno di un browser web o di un sistema operativo) l'indirizzo IP corrispondente del dominio. Se i dati di ricerca DNS non sono memorizzati nella cache, il resolver avvia il processo di recupero dai server DNS autoritari, a partire dal root server. Il resolver ricorsivo interroga diversi server DNS finché non trova l'indirizzo IP finale.
Il resolver ricorsivo interroga un root nameserver, che risponde con un rinvio al server TLD appropriato per il dominio in questione (il server responsabile, in questo caso, per tutti i domini ".com").
Il resolver interroga il server dei nomi TLD, che risponde con l'indirizzo del server DNS primario del dominio.
Il resolver interroga il server primario, che cerca il file di zona DNS e risponde con il record corretto per l'URL fornito.
Il resolver ricorsivo memorizza nella cache il record DNS per il tempo specificato dal time-to-live (TTL) del record e restituisce l'indirizzo IP al dispositivo dell'utente. Il browser o l'app possono quindi avviare una connessione al server host a tale indirizzo IP per accedere al sito web o al servizio richiesto.
Il DNS primario è centrale per l'instradamento delle query, pertanto mantenere e ottimizzare i server DNS primari può accelerare l'intero sistema DNS. Le aziende possono ottenere il massimo dal proprio DNS incorporando le seguenti best practice.
Scegli un provider DNS con tempi di attività elevati, protocolli di ridondanza completi e assistenza clienti accessibile. IBM NS1, ad esempio, aiuta a garantire una risposta rapida e affidabile alle query DNS.
I principali provider DNS offrono un'ampia gamma di offerte, dai servizi DNS pubblici ai server DNS gestiti premium. La determinazione del miglior server DNS per la tua azienda dipende dalle esigenze organizzative1, dai budget e dalla complessità. Mentre, ad esempio, l'utilizzo del DNS pubblico offre ai clienti un accesso al DNS aperto e gratuito, una migrazione al DNS premium può offrire un controllo più dettagliato.
Assicurati che i team siano informati sulle più recenti vulnerabilità e minacce DNS (come malware, attacchi DDoS distribuiti e spoofing della cache) e utilizza firewall, estensioni della sicurezza del sistema di nomi di dominio (DNSSEC) e altre misure di sicurezza per proteggere i server DNS2 e mitigare i rischi.
Aggiorna i record DNS in modo che riflettano le modifiche apportate agli indirizzi IP, all'infrastruttura e ai servizi il più rapidamente e il più spesso possibile. In questo modo è possibile ottenere una risoluzione del dominio coerente e accurata.
Il servizio IBM NS1 Connect Managed DNS offre connessioni DNS resilienti, veloci e autorevoli per prevenire interruzioni di rete e mantenere sempre online la tua attività.
Migliora la resilienza e il tempo di attività delle applicazioni con una rete globale e funzionalità avanzate di routing del traffico DNS.
IBM Cloud DNS Services offre servizi DNS autoritativi sia pubblici che privati caratterizzati da tempi di risposta rapidi, una ridondanza senza precedenti e funzionalità di sicurezza avanzata che vengono gestiti tramite l'interfaccia web IBM Cloud o tramite API.
Il DNS consente agli utenti di collegarsi ai siti Web utilizzando un URL anziché gli indirizzi numerici del protocollo Internet.
I server DNS traducono i nomi di dominio del sito Web che gli utenti cercano nei browser Web nei corrispondenti indirizzi IP numerici. Questo processo è noto come risoluzione DNS.
Un record DNS (Domain Name System) è un set di istruzioni utilizzate per collegare i nomi di dominio agli indirizzi IP (Internet Protocol) all'interno dei server DNS.
La propagazione DNS si riferisce al tempo necessario ai server DNS per propagare le modifiche a un record DNS in Internet.
Un record CNAME, o record di nome canonico, funge da alias all'interno del DNS (Domain Name System), reindirizzando un nome di dominio a un altro.
Scopri come funzionano le reti informatiche, l'architettura utilizzata per progettare le reti e come mantenere le reti sicure.
Note a piè di pagina
1 "Should large enterprises self-host their authoritative DNS?," IBM.com, 1 febbraio 2024
2 "Why DNS protection should be the first step in hybrid cloud security," (link esterno a ibm.com) TechRadar, 1 febbraio 2024