¿Qué es el DNS principal?

El sistema DNS se emplea para conectar nombres de dominio amigables para el ser humano con direcciones IP amigables para computadoras y permitir que los usuarios de Internet accedan al sitio web que están buscando.

Cuando un usuario ingresa un nombre de dominio en un navegador web, la computadora del usuario se comunica con un solucionador de DNS, que navega por el sistema DNS para llegar a un servidor de nombres autorizado (a menudo el servidor principal, pero a veces el secundario si el principal está inactivo o sobrecargado) con la dirección IP del sitio web solicitado. Esta dirección IP correspondiente se devuelve al usuario y el usuario se conecta al sitio web.

El servidor DNS principal es donde un administrador configura zonas y registros DNS para un dominio. Los servidores secundarios se configuran para dotar al sistema de resiliencia. Estos servidores mantienen copias completas de los registros configurados en la zona en el servidor primario y se emplean para la resolución de consultas cuando un servidor primario no está disponible.

Las empresas pueden configurar docenas de servidores y la zona (y los registros dentro) del servidor de nombres principal se copia a todos los servidores secundarios.

Los servidores DNS primarios también contienen los registros de inicio de autoridad (SOA) de un dominio, que proporcionan una especie de sistema de control de versiones, notificando a los servidores secundarios las actualizaciones del archivo de zona principal y rastreando el proceso de replicación con servidores de respaldo.

La distinción entre servidores DNS primarios y secundarios no es visible para los usuarios en el Internet. Estos servidores tienen la misma información y la distinción sólo tiene sentido para el administrador. El servidor principal es donde se realizan los cambios, los servidores secundarios son los que obtienen copias del principal.

Este sistema desempeña un papel fundamental tanto en el enrutamiento del tráfico DNS como en la resistencia de la red.

El Sistema de Nombres de Dominio (DNS) es el componente del protocolo estándar de Internet responsable de convertir los nombres de dominio amigables para los humanos en las direcciones del Protocolo de Internet (IP) que utilizan las computadoras para identificarse entre sí en la red.

A menudo llamada “agenda telefónica para Internet”, una analogía más moderna es que el DNS gestiona los nombres de dominio de la misma manera que los teléfonos inteligentes gestionan los contactos. Los teléfonos inteligentes eliminan la necesidad de que los usuarios recuerden números de teléfono individuales almacenándolos en listas de contactos de fácil búsqueda.

Del mismo modo, el DNS permite a los usuarios conectarse a sitios web mediante el uso de nombres de dominio de Internet en lugar de direcciones IP. En lugar de tener que recordar que el servidor sitio web está en "93.184.216.34", por ejemplo, los usuarios pueden ir al sitio web "www.example.com". para obtener los resultados deseados.

El servidor DNS primario contiene registros de servidor de nombres (NS), registros A, registros MX y registros CNAME (entre otros tipos) que enrutan los datos y la información apropiados al usuario.

Fundamentalmente, el servidor principal también contiene el registro SOA de un dominio. Los registros SOA proporcionan información autorizada sobre un dominio, incluido el servidor de nombres principal, la dirección de email del administrador, los temporizadores de actualización (que especifican la frecuencia de las actualizaciones de zona) y el número de serial del dominio.

Cuando se registra un dominio, sus registros de servidor de nombres (NS) se crean y se almacenan en un servidor DNS primario, normalmente proporcionado por una compañía de alojamiento o un proveedor de servicios DNS. Y cuando un administrador quiere modificar o actualizar registros DNS, debe hacerlo en el servidor DNS primario. Luego, los cambios se propagan a todos los servidores secundarios.

Los administradores de servidores pueden designar cualquier servidor DNS como principal o secundario. De hecho, los servidores pueden tener una designación principal en una zona y una designación secundaria en otra. Sin embargo, cada zona DNS solo puede tener un único servidor principal.

Cuando un usuario ingresa un nombre de dominio en un navegador o aplicación, la solicitud va a un solucionador recursivo. Por lo general, el dispositivo del usuario tiene configuraciones DNS predefinidas, proporcionadas por el proveedor de servicios de Internet (ISP), que determinan qué solucionador se implementa.

El solucionador comprueba su caché de DNS (el almacenamiento temporal dentro de un navegador sitio web o sistema operativo como Windows o Linux) en busca de la dirección IP correspondiente del dominio. Si los datos de búsqueda de DNS no se almacenan en caché, el solucionador los recupera del servidor DNS autoritativo, que busca el archivo de zona DNS, almacena en caché el registro DNS, durante un tiempo especificado por el periodo de vida (TTL) del registro, y devuelve la dirección IP adecuada al dispositivo del usuario.

Luego, el navegador o la aplicación pueden iniciar una conexión con el servidor host en esa dirección y acceder al sitio web o servicio solicitado.

Los servidores DNS se clasifican como “primarios” y “secundarios” según su función. Mientras que el servidor DNS principal es la fuente autorizada de los registros DNS de un dominio y contiene la versión original de lectura/escritura del archivo de zona, los servidores DNS secundarios contienen réplicas de solo lectura del archivo de zona para equilibrar la carga y gestionar la redundancia. Si un servidor principal no funciona, las consultas se dirigen automáticamente a un servidor secundario que cumple la solicitud.

Los servidores DNS secundarios no son esenciales; Los sistemas DNS pueden funcionar cuando solo hay un servidor principal disponible. Pero es estándar, y a menudo requerido por los registradores de dominios, mantener al menos un servidor secundario para facilitar el DNS round-robin (que distribuye el tráfico de manera uniforme en cada servidor), evitar la denegación del servicio y, en general, crear resiliencia en un sistema. Si falla un servidor o varios servidores, hay una copia de seguridad que puede conectar al usuario con el sitio web que está buscando.

Tanto los servidores primarios como los secundarios ayudan a mantener la eficiencia de los sistemas DNS; emplearlos juntos significa que las consultas de los usuarios pueden ser resueltas por cualquier servidor disponible, independientemente de su estado primario o secundario. Sin embargo, vamos a profundizar en las distinciones entre servidores DNS primarios y secundarios.

Además de almacenar el archivo de zona principal, el servidor DNS principal responde a las solicitudes de actualización del administrador del dominio y procesa las actualizaciones dinámicas. Los servidores de zona secundaria son servidores de copia de seguridad que controlan las solicitudes de DNS durante el tiempo de inactividad del servidor principal o cuando el servidor principal está sobrecargado.

El archivo de zona principal en el servidor de nombres primario contiene todos los registros A (registros de dirección para IPv4); registros AAAA (registros de dirección para IPv6); registros MX (que dirigen a servidores de correo); registros CNAME (que asignan alias a sus nombres de dominio verdaderos o “canónicos”); registros SOA (que contienen toda la información administrativa de un dominio); y registros TXT (que indican el registro de infraestructura del remitente para la autenticación de correo electrónico) para un dominio determinado. El administrador administra directamente este archivo y las actualizaciones o cambios en los registros DNS se realizan aquí primero.

Los servidores DNS secundarios son réplicas del archivo de zona, transferidos desde el servidor principal. No pueden adaptarse a revisiones o ediciones directas del archivo de zona; en cambio, verifican periódicamente con el servidor principal si hay actualizaciones en un proceso llamado transferencia de zona.

La configuración de un DNS primario implica configurar el archivo de zona, los registros de recursos y los controles de acceso, y puede incluir la organización de transferencias de zona autoritativas e incrementales (AXFR e IXFR) a servidores secundarios designados.

Las configuraciones de DNS secundarias requieren que los administradores configuren protocolos de comunicación entre los servidores primarios y secundarios para las transferencias de datos de zona y que especifiquen la frecuencia de los registros con el servidor primario para las actualizaciones.

Si bien el servidor DNS principal es esencial, también representa un único punto de falla. Si falla y no hay servidores secundarios designados para hacer cargo de la carga de trabajo, todo el proceso de resolución de DNS puede ver afectado. Los servidores secundarios no pueden existir sin un servidor DNS primario, pero si el servidor primario no funciona, los servidores secundarios pueden mantener el DNS operativo hasta que se restaure el servidor primario.

Los administradores confían en los servidores DNS secundarios para dar soporte al servidor principal y maximizar la resiliencia del sistema.

Dado que los servidores secundarios tienen copias completas de todos los registros en el servidor de nombres autorizado, pueden sustituir al servidor primario si falla o no está disponible. Sin embargo, si el administrador del sistema tuviera que crear y gestionar copias manualmente, se crearía un retraso entre los servidores primario y secundario. En cambio, el DNS primario y secundario automatizan el proceso de copia.

Cuando un administrador realiza un cambio en el servidor principal, el número de serial del dominio alojado en los registros SOA cambia al siguiente número en la progresión (si el número de serial era SOA 1, por ejemplo, cambia a SOA 2).

En una configuración de DNS tradicional, el servidor de nombres secundario se comunicará con el servidor primario a intervalos predeterminados para obtener el número de serie SOA actual. Si el servidor principal informa de un cambio, el servidor secundario realiza una solicitud AXFR o IXFR para iniciar la copia. Luego, el servidor principal envía las actualizaciones al secundario, junto con el número de serie SOA actualizado.

Esta configuración de DNS obliga a los servidores secundarios a iniciar solicitudes de incorporación de cambios XFR para saber que se cambió el servidor principal, lo que crea un paso adicional que ralentiza el DNS.

Sin embargo, las configuraciones más modernas utilizan el protocolo 'NOTIFY', que permite que el servidor de nombres primario envíe un mensaje de protocolo de datagrama de usuario (UDP) al servidor de backup cada vez que un administrador realiza un cambio. A continuación, los servidores secundarios verifican la serie SOA para confirmar el cambio e Initiate la solicitud de extracción de actualizaciones.

El uso de este enfoque para DNS primario y secundario ayuda a los administradores de sistemas a maximizar la confiabilidad y resiliencia del sistema. También mantiene los servidores sincronizados y se asegura de que los usuarios puedan ir a cualquier servidor para obtener la información más actualizada.

Aunque el uso de DNS primario y secundario es la forma más habitual de conseguir fiabilidad mediante la redundancia en el Internet, esta práctica no está exenta de dificultades. El enfoque primario-secundario no suele dar cabida a características avanzadas, como el equilibrio de carga global de servidores (GSLB).

Herramientas de direccionamiento del tráfico como GSLB dirigen el tráfico de los usuarios a servidores DNS en función de su proximidad geográfica. Los routers DNS envían automáticamente las solicitudes al servidor disponible más cercano para acelerar el proceso de resolución.

Sin embargo, esta característica a menudo es propietaria y no se puede transferir a través de XFR. Un administrador de dominio puede configurar GSLB en el servidor de nombres primario, pero no podría transferir la configuración a los servidores secundarios.

Para solucionar este problema, las compañías pueden elegir proveedores con un sistema propio que admita varios servidores en todo el mundo. El DNS Anycast, por ejemplo, permite a los administradores asignar una dirección —o un conjunto de direcciones— a varios servidores distribuidos geográficamente.

En lugar de la dinámica de comunicación uno a uno asociada al DNS convencional, Anycast facilita la comunicación uno a muchos. Por tanto, cuando un usuario envía una solicitud, ésta se dirige a una red de resolvers (en lugar de a un único resolutor) y al servidor disponible más cercano para su resolución.

O, cuando se emplean varios proveedores, las organizaciones pueden configurar varios servidores de nombres primarios y situar al usuario entre ellos. En lugar de depender de las transferencias secundarias de DNS y FRX, un administrador configuraría todos los servidores directamente mediante una API.

Tanto el DNS primario como el secundario son importantes para el enrutamiento de consultas, por lo que mantener y optimizar los servidores DNS primarios puede acelerar todo el sistema DNS. Las empresas pueden aprovechar al máximo su DNS incorporando las siguientes prácticas.

Seleccionar un proveedor de DNS con alto tiempo de actividad, protocolos de redundancia completos y atención al cliente accesible puede ayudar a garantizar que las consultas de DNS se respondan de manera rápida y confiable.

Los proveedores de DNS primarios varían en sus ofertas, desde servicios DNS públicos hasta premium, servicios DNS servidores. Determinar la mejor solución para una organización dependerá de las necesidades organizacionales1, los presupuestos y la complejidad. Si bien el uso de DNS público proporciona a los clientes acceso DNS abierto y gratuito, una migración a DNS premium puede ofrecer un control más detallado.

Mantenerse al tanto de las últimas vulnerabilidades y amenazas de DNS (como la tunelización DNS, los ataques denegación distribuida del servicio (DDoS) y la suplantación de caché) y el uso de cortafuegos, extensiones de seguridad del sistema de nombres de dominio (DNSSEC) y otras medidas de seguridad puede ayudar a proteger los servidores DNS² y mitigar el riesgo.

La actualización de los registros DNS con prontitud y frecuencia para reflejar los cambios en las direcciones IP, la infraestructura y los servicios facilita una resolución de dominio coherente y precisa. 

La arquitectura DNS primaria/secundaria convencional se está volviendo obsoleta entre los proveedores de DNS modernos y administrados. Hoy en día, la mayoría de los proveedores ofrecen direcciones IP de servidores de nombres para usar y detrás de cada una de esas direcciones IP hay un grupo de servidores DNS que enrutan las solicitudes empleando anycast (un protocolo de transporte de uno a muchos). Este enfoque tiende a proporcionar mejor redundancia y mayor disponibilidad que el modelo tradicional.

Sin embargo, incluso en despliegues DNS avanzados, los servicios DNS pueden ayudar a las empresas:

El DNS secundario permite a los equipos acceder a herramientas, código y sistemas heredados que apuntan a un servidor DNS antiguo alojado en su organización. Durante la migración de la arquitectura, los servidores secundarios permiten a los administradores definir el proveedor de DNS secundario sin interrumpir las dependencias. Esto mantiene todos los procesos existentes sincronizados, pero permite que el nuevo servidor DNS responda si los servidores internos se ralentizan o fallan.

Para muchas organizaciones con sitios de alto tráfico y aplicaciones web de misión crítica, no se pueden tolerar interrupciones. El uso de servidores de nombres secundarios ayuda a los administradores a evitar cualquier punto único de falla en caso de que los servidores DNS primarios encuentren latencia u otros problemas.

Los servicios gestionados configuran un despliegue de DNS dedicado, que se ejecuta en una red y servidores independientes de su servicio DNS gestionado habitual, para su organización. Este enfoque facilita la redundancia al tiempo que permite a las empresas mantener los servicios con un solo proveedor. Además, el despliegue dedicado no se comparte con otras organizaciones, por lo que está aislado de ataques dirigidos a otros clientes en el servicio.