Migración de DNS fluida: su guía práctica

Una de las primeras cosas que hace cuando se mueve a una nueva casa es actualizar su dirección con el servicio postal. Esta actualización no es necesariamente complicada, pero es esencial: de lo contrario, es posible que se envíe correo importante a su dirección anterior y ni usted ni el remitente sabrían que el correo no se entregó.

La migración de DNS es similar. Si no se hace correctamente, su sitio web podría volverse inaccesible para los usuarios, el correo electrónico podría fallar y causar problemas de comunicación con los clientes, las integraciones podrían interrumpirse y más. Esencialmente, es posible que los clientes no puedan comunicarse con su empresa en la dirección correcta, lo que puede generar una gran cantidad de resultados negativos.

El sistema de nombres de dominio(DNS) es como una guía telefónica o directorio de Internet. Permite al usuario navegar a un sitio web empleando un nombre de dominio fácil de recordar, como IBM.com, en lugar de una cadena de números (en este caso, 184.85.75.7).

Pero el DNS implica mucho más que una simple traducción, y la calidad del servicio de un proveedor de DNS gestionado puede afectar el rendimiento, la confiabilidad, la latencia, la seguridad, la privacidad y más. Cuando el servicio DNS de un proveedor no cumple con las expectativas o necesidades, las empresas pueden buscar un nuevo proveedor. Cuando lo hagan, tendrán que planear una migración de DNS.

La migración de DNS, en la que una organización transfiere los registros de DNS y la configuración de un dominio de un proveedor a otro, no tiene por qué ser la ardua tarea que a menudo se considera. Sin embargo, tiene sus riesgos y posibles dolores de cabeza si no se ejecuta correctamente. Los errores en la migración de DNS puede ocasionar el tiempo de inactividad del servidor, vulnerabilidades de la red y más. Aquí le mostramos cómo ayudar a garantizar que eso no suceda.

Puede leer más sobre el proceso de búsqueda de DNS aquí.

La respuesta simple es que no todos los proveedores de DNS ofrecen los mismos servicios o la misma calidad de servicios. El rendimiento es una característica clave, pero no es la única preocupación.

Por ejemplo, un proveedor de DNS también podría proporcionar características de seguridad para evitar la suplantación de DNS y bloquear el acceso a dominios maliciosos conocidos o sospechosos. Las capacidades de monitoreo y registro también varían de un proveedor a otro. Algunos proveedores de DNS ofrecen equilibrio de carga para la conmutación por error, en el que varios servidores web redundantes manejan las consultas de DNS para evitar sobrecargar cualquier servidor, o una red de entrega de contenido (CDN) global que ayuda a almacenar el contenido en caché más cerca de los usuarios. Por supuesto, el costo también puede ser un factor en la decisión de cambiar de proveedor de DNS.

Los líderes empresariales deben elegir el servicio que mejor se adapte a sus necesidades comerciales. Esas necesidades a menudo evolucionan, y los requisitos de DNS pueden evolucionar de la misma manera. Cuando los servicios de un proveedor de DNS actual ya no satisfacen las necesidades de una empresa, los líderes empresariales podrían considerar migrar sus registros y gestión de DNS a un nuevo proveedor.

En términos generales, hay una razón importante por la que muchas empresas posponen esta tarea: la sensación de que la migración es demasiado desalentadora y que cualquier cambio provocará tiempo de inactividad. Es una preocupación legítima, pero que puede mitigarse mediante una planificación y ejecución cuidadosas.

El primer paso en una migración de DNS es especificar el motivo (o motivos) de la migración. ¿Qué beneficios busca la empresa que no tiene actualmente? ¿Qué problemas necesita resolver la empresa? Por ejemplo, si una empresa emplea el DNS de un pequeño proveedor de servicios de Internet (ISP), es posible que los tiempos de resolución alcancen los milisegundos de tres dígitos. En ese caso, mejorar la velocidad podría ser una prioridad.

Una vez que la empresa ha identificado las razones para migrar, los equipos de TI pueden comparar diferentes servicios para encontrar la combinación adecuada de características, servicio y costo. Los diferentes proveedores ofrecen diferentes especificaciones para incorporar una migración, pero hay algunas pautas generales a seguir.

Una vez que el equipo de migración seleccionó un proveedor, debe recopilar todos los registros y la información relacionada del proveedor de DNS anterior. Estos registros pueden incluir lo siguiente:

Estos registros proporcionan una traducción directa del nombre de dominio a la dirección IP. Los registros A se asignan a direcciones IPv4 y los registros AAAA se asignan a direcciones IPv6. IPv6 se está volviendo más común; ofrece un número mucho mayor de direcciones IP únicas e incluye algunas características rudimentarias de seguridad y aumento de velocidad.

Los registros de nombres canónicos, o registros de CNAME, dirigen un dominio de alias a un dominio canónico. Esto significa que este tipo de registro se utiliza para vincular subdominios a registros de dominio de A o AAAA.

Los registros de nombres de delegación, o registros de DNAME, se utilizan para redirigir varios subdominios con un registro y apuntarlos a otro dominio.

Los registros de autorización de la autoridad de certificación, o registros de CAA, permiten a los propietarios de dominios especificar qué autoridades de certificación (CA) pueden emitir certificados para su dominio. Una CA es una organización que valida la identidad de los sitios web y los conecta a claves criptográficas mediante la emisión de certificados digitales.

Los registros de texto, o TXT, almacenan información textual relacionada con dominios y subdominios. Los registros de texto permiten el almacenamiento de los registros de infraestructura de políticas del remitente (SPF) y los registros de verificación de correo electrónico. Los registros del DKIM y DMARC, que se almacenan en registros TXT, ayudan a los servidores de correo electrónico a confirmar que un mensaje proviene de una fuente confiable.

Los registros de inicio de autoridad, o registros de SOA, almacenan información administrativa importante sobre un dominio. Esta información puede incluir la dirección de correo electrónico del administrador del dominio, información sobre las actualizaciones del dominio y cuándo un servidor debe actualizar su información.

El servidor de nombres, o registros de NS, muestra qué servidor del DNS actúa como servidor de nombres autorizado para su dominio. Los servidores de nombres autorizados contienen la información final sobre un dominio específico y su dirección IP correspondiente. Un registro de NS apunta a todos los diferentes registros que contiene su dominio. Sin registros NS, los usuarios no podrán acceder a su sitio web.

Las zonas DNS son divisiones dentro de un espacio de nombres DNS. IBM.com, por ejemplo, tiene una zona DNS separada en research.ibm.com. Estos subdominios son lo suficientemente grandes como para tener un beneficio de la gestión y el monitoreo individuales. Los archivos de zona DNS incluyen la mayoría de los tipos de archivos antes mencionados: registros SOA, registros A y AAAA, y más.

También hay otros tipos de registros DNS; lea esta guía para obtener más información.

Algunos proveedores ofrecen características de automatización que recopilan, exportan e importan registros DNS por usted, pero a menudo también es aconsejable realizar una copia de seguridad manual: los registros faltantes pueden generar resultados graves. También se recomienda que almacene una copia de estos archivos en un lugar seguro.

Un posible contratiempo en este proceso podría ser DNSSEC, o extensiones de seguridad del sistema de nombres de dominio. DNSSEC ofrece una valiosa suite de protecciones de seguridad, utilizando la verificación de firmas para ayudar a garantizar la precisión y evitar la suplantación de DNS y otros ataques.

Pero el proceso de migración de DNS puede introducir diferentes algoritmos de firma, rompiendo la cadena y causando interrupciones. Existen diferentes soluciones para este problema: algunos proveedores ofrecerán una herramienta de migración específica de DNSSEC, que mantiene esa seguridad. Para otros, podría ser necesario deshabilitar DNSSEC antes de migrar y volver a habilitarlo una vez que se complete la migración.

Otra práctica recomendada es reducir los valores de tiempo de vida (TTL) . Este es el tiempo que los resolutores recursivos (o servidores recursivos, la primera parada en una consulta DNS) almacenan las direcciones de los sitios web visitados recientemente en caché. El almacenamiento en caché elimina la necesidad de buscar nuevamente la dirección IP y ayuda a proporcionar conexiones más rápidas.

Si un TTL se establece en, por ejemplo, 24 horas, cuando un usuario intenta visitar un sitio que ha migrado su servidor DNS dentro de ese plazo, su navegador intentará ir a la dirección IP anterior, lo que probablemente resulte en un error. Establecer el TTL en algo muy bajo, tal vez solo unos minutos, puede ayudar a evitar este problema.

Es una buena idea realizar la migración por etapas, en lugar de todo a la vez. La preparación permite al equipo de migración comprobar cada característica individualmente en busca de errores, en lugar de tener que batallar para averiguar qué falló durante toda la operación.

Una vez que el equipo haya exportado la documentación de DNS existente y la haya importado con el servicio del nuevo proveedor de DNS, deben verificar y confirmar los documentos para asegurarse de que no se haya perdido nada en el camino. Una herramienta como [dig] puede ayudar con la verificación. [Dig], o groper de información de dominio, es una herramienta de línea de comandos que permite a los usuarios verificar documentos DNS, desde la dirección IP básica hasta TXT, SOA y más. Nslookup es otra herramienta de línea de comandos, aunque más simple que [dig], devolviendo resultados menos detallados.

Luego, el equipo puede comenzar a transferir por etapas: alojamiento web, servicios de correo electrónico, luego API y otros servicios de terceros. Es una buena idea que alguien del equipo verifique y solucione los problemas de cada uno a medida que avanza la migración. Configure cualquier configuración avanzada, como habilitar DNSSEC. Una vez que todo esto esté probado en un servidor de prueba, el equipo puede proceder a actualizar la información con el registrador.

Si la empresa tiene un registrador de dominios y un proveedor de DNS independientes, tal vez utilizando IBM NS1 Connect para DNS y GoDaddy para el registro de dominios, el equipo debe iniciar sesión en el servicio de registro de dominios y actualizar los registros del servidor de nombres. Si la empresa utiliza el mismo proveedor para DNS y registro, a menudo esto se puede hacer automáticamente. No necesita cambiar nada en su proveedor de alojamiento web si no está cambiando también su proveedor de alojamiento. 

Un factor importante: no elimine el DNS antiguo todavía. Esto se debe a la propagación de DNS. Los registros de DNS no cambian instantáneamente en Internet; los servidores de dominio dispersos tardan en buscar y actualizar sus registros. El equipo puede verificar el estado de los registros periódicamente con herramientas en línea como WhatsMyDNS.net. Por lo general, toma uno o dos días como máximo, pero durante ese tiempo, querrá que tanto sus servicios DNS como los servicios DNS se ejecuten mientras esos servidores de dominio actualizan sus registros. Esto garantiza que los usuarios no experimenten interrupciones.

Una vez completada la propagación, la migración está esencialmente realizada. Solo quedan algunos trabajos ligeros de acabado. Esto incluye:

Restaurar TTL a la normalidad: aumente el TTL hasta 24 horas o lo que sea antes para habilitar el almacenamiento en caché para los usuarios.

Actualizar la documentación interna: asegúrese de que la información del DNS (número de cuenta, ciclos de facturación, ese tipo de cosas) esté actualizada dentro de los registros de la organización para evitar confusiones.

Monitorear: revise el rendimiento y otras métricas después de la migración. Los equipos de TI pueden revisar los registros de DNS para detectar errores o tiempos de espera, rastrear nuevos tiempos de respuesta, configurar alertas para cualquier tiempo de inactividad y verificar periódicamente la propagación. Muchos proveedores de DNS tienen herramientas de monitoreo interno. También están disponibles herramientas de terceros.

Aprenda más sobre los servicios de DNS gestionados aquí.