¿Qué es una zona DNS?

Las zonas DNS dividen la autoridad sobre diferentes segmentos del espacio de nombres DNS (por ejemplo, un dominio y un subdominio), lo que proporciona a los administradores un control más preciso sobre los registros DNS, los servidores de nombres DNS y otros componentes. Esta partición puede ayudar a agilizar la gestión y orquestación de DNS y distribuir las cargas de trabajo entre los servidores de nombres.

Por ejemplo, el dominio "example.com" puede existir en la misma zona que los subdominios "blog.example.com" y "community.example.com". Si los administradores necesitan un control más granular, tal vez debido a la cantidad de dispositivos conectados al sitio de la comunidad y el volumen de registros DNS asociados, pueden dividir el subdominio "community.example.com" en su propia zona con su propio servidor de nombres autoritativo.

Una zona DNS especifica que un dominio, o parte de un dominio, es administrado por un administrador específico; sin embargo, una zona puede abarcar varios subdominios y varias zonas pueden existir en el mismo.

Servidor DNS. Las zonas DNS no implican una separación física, pero se emplean para controlar diferentes partes del espacio de nombres.

Las zonas pueden ayudar a aliviar la carga administrativa asociada a un dominio, distribuir la carga de consultas DNS y mejorar la eficiencia y la escalabilidad generales de los DNS services. Una gestión de zonas eficaz que emplea características de seguridad como DNSSEC y actualizaciones dinámicas puede fortalecer la seguridad del DNS y reducir amenazas de seguridad como ataques de suplantación de DNS y secuestro.

Es importante tener algunos conocimientos previos sobre el sistema de nombres de dominio y cómo funciona para comprender las zonas DNS.

El DNS es un componente jerárquico y descentralizado del protocolo estándar de Internet, responsable de convertir los nombres de dominio amigables para los humanos en las direcciones del Internet Protocol (IP) que emplean las computadoras para identificarse entre sí en la red.¹

A menudo llamada “agenda telefónica para Internet”, una analogía más moderna es que el DNS gestiona los nombres de dominio de la misma manera que los teléfonos inteligentes gestionan los contactos. Los teléfonos almacenan los números de contacto en listas en las que se pueden hacer búsquedas y eliminan la necesidad de que los usuarios memoricen números de teléfono individuales. Del mismo modo, el DNS permite a los usuarios conectarse a sitios web mediante el uso de nombres de dominio en lugar de direcciones IP complejas.

Cuando un usuario ingresa un nombre de dominio en un navegador, comienza la consulta (a menudo llamada solicitud de DNS o búsqueda de DNS). Un resolutor recursivo, el intermediario entre el dispositivo cliente y los servidores autorizados, consulta una serie de servidores para encontrar la información que necesita para conectar al usuario con el sitio web deseado. Cada uno de estos servidores es responsable de un segmento del espacio de nombres del dominio.

El proceso de consulta comienza con el servidor de nombres raíz. Los servidores de nombres raíz se ubican en la cima de la jerarquía DNS y son responsables de gestionar la zona raíz. Estos servidores responden a las consultas de registros almacenados dentro de la zona raíz y remiten las solicitudes al servidor de nombres de dominio de nivel superior (TLD) apropiado.

Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autorizados para los dominios específicos dentro de su TLD. Por ejemplo, el servidor de nombres de TLD para ".com" dirige los dominios que terminan en ".com", el servidor de nombres de TLD para ".gov" dirige dominios que terminan en ".gov", y así sucesivamente.

El servidor de nombres de dominio (a veces denominado servidor de nombres de dominio de segundo nivel) contiene el archivo de zona con la dirección IP del nombre de dominio completo, como "ibm.com". Este archivo de zona también puede contener información para un subdominio (como blog.ibm.com/mx-es) o esa información puede estar dividida en su propia zona.

Cada uno de estos servidores almacena registros DNS con información sobre el dominio que el solucionador recursivo necesita para continuar y, en última instancia, resolver su consulta.

Un archivo de zona DNS es un archivo de texto sin formato almacenado en servidores DNS que contiene todos los registros de los dominios dentro de esa zona.

Cada línea de un archivo de zona especifica un registro de recursos (una única pieza de información sobre la naturaleza, normalmente organizada por tipo de datos). Los registros de recursos garantizan que cuando un usuario inicia una consulta, el DNS pueda dirigir rápidamente a los usuarios al servidor correcto.

Los archivos de zona DNS comienzan con dos registros obligatorios: el inicio de la autoridad (registro SOA), que especifica el servidor de nombres autoritativo principal para la zona DNS, y el tiempo de vida global (TTL), que indica cómo se deben almacenar los registros en el caché DNS local.

Un archivo de zona puede contener otros tipos de registros, entre ellos:

• Registros A, que se asignan a direcciones IPv4, y registros AAAA, que se asignan a direcciones IPv6.
  
  
• Registros de intercambio de correo (registros MX), que especifican un servidor de correo electrónico SMTP para un dominio.
  
  
• Registros de nombres canónicos (registros CNAME), que redirigen los nombres de host de un alias a otro dominio (el "dominio canónico").
  
  
• Registros del servidor de nombres (registros NS), que indican que un servidor DNS está conectado a un servidor de nombres autoritativo específico.
  
  
• Registros de puntero (registros PTR), que especifican un reenvío DNS inverso.
  
  
• Registros de texto (registros TXT), que indican el registro del marco de políticas del remitente para la autenticación de correo electrónico.

La zona DNS principal almacena el archivo de zona principal con todos los registros DNS para esa zona. Es una copia de lectura/escritura, y las actualizaciones de zona se realizan en la zona principal y luego se copian en zonas secundarias. Solo puede haber una zona principal en un servidor DNS a la vez.

Una zona secundaria es una copia de solo lectura de la zona principal, utilizada para crear una redundancia y lograr el equilibrio de carga en las consultas DNS.

Las solicitudes de DNS normalmente se distribuyen entre los servidores primarios y secundarios. Si el servidor primario está inactivo, los servidores secundarios pueden asumir toda o parte de la carga mediante transferencias de zona, una transacción que permite a los servidores primarios y secundarios intercambiar zonas. Las zonas secundarias también se comunican con los servidores principales para garantizar que las réplicas estén actualizadas.

La zona de búsqueda directa traduce los nombres de dominio en direcciones IP. Cuando un solucionador de DNS recibe una consulta de un nombre de dominio legible por humanos, consulta los registros de asignación A o AAAA en la zona de búsqueda directa para encontrar la dirección IP correspondiente.

En contraste con las zonas de búsqueda directa, las zonas de búsqueda inversa asignan direcciones IP a nombres de dominio utilizando registros PTR (registros de puntero).

Este proceso puede ser útil para desplegar servicios que requieren verificación de dominio o para fines de registro cuando los equipos necesitan comprender el dominio asociado con una dirección IP (como la solución de problemas y el filtrado de correo no deseado). Las consultas en zonas de búsqueda DNS inversa emplean los dominios in-addr.arpa o ip6.arpa.

Las zonas auxiliares contienen solo los registros que el sistema necesita para identificar los servidores de nombres autoritativos de una zona. Sirven como un puntero, lo que reduce la dependencia de servidores recursivos para consultar zonas de nivel superior a fin de localizar el servidor autoritativo. La proximidad de las zonas de código auxiliar a los servidores autoritativos ayuda a reducir el tráfico de consultas DNS y a acortar los tiempos de resolución.

Las transferencias de zona DNS mantienen una funcionalidad óptima del sistema, especialmente en entornos donde la redundancia y el alta disponibilidad son prioridades.

Una transferencia de zona completa copia todo el contenido de un archivo de zona desde el servidor DNS principal a los servidores secundarios, creando una réplica exacta de la zona. Las transferencias de zona completa se emplean comúnmente durante la configuración inicial de los servidores secundarios o cuando los servidores secundarios deben volver a sincronizarse luego de un tiempo de inactividad prolongado. 

Las transferencias de zona incrementales solo comprenden cambios en la zona desde la última transferencia. Debido a que requieren menos ancho de banda y potencia de procesamiento para mantener los procesos de sincronización, las transferencias de zona incrementales pueden ser útiles en zonas dinámicas que experimentan cambios frecuentes.