¿Qué son los servidores DNS primarios y secundarios? ¿Cuál es la diferencia?

Un archivo de zona es un archivo de texto que contiene todos los registros DNS de un dominio (o "zona") concreto. Los datos de zona incluyen registros DNS como direcciones IP, registros de intercambio de servidores de correo y registros de servidores de nombres. Esencialmente, contiene las instrucciones que dirigen Internet a su sitio web, servidores de correo electrónico, subdominios y otros recursos.

Dentro de una infraestructura DNS, los registros DNS son la moneda del reino. Son fundamentales para todo lo que ocurre, especialmente el proceso de búsqueda que los administradores utilizaron para manejar las consultas de DNS, con nombres de host ingresados y las direcciones IP correspondientes.

Mantenerse al día con todos los dominios y subdominios relacionados involucrados requiere esfuerzo. Por lo tanto, las empresas emplean dos tipos de dispositivos de gestión para mantener los DNS Services.

Los servidores DNS primarios mantienen la última fuente de información para los registros DNS de un dominio. Estos servidores DNS autoritativos contienen la copia maestra del archivo de zona.

Si un administrador de dominio necesita modificar el archivo de zona, esas alteraciones se realizan directamente en la zona principal del servidor de nombres autorizado. Se implementan controles de acceso en el servidor principal para garantizar que solo el personal autorizado pueda realizar cambios en los archivos de zona.

Sin embargo, los servidores DNS secundarios sirven principalmente como respaldo, y entran en acción en caso de que el servidor primario se desconecte repentinamente. Si bien es técnicamente cierto que un servidor DNS primario se puede operar sin un servidor DNS secundario, se desaconseja esta práctica.

Si se produce una conmutación por error, los servidores de la zona secundaria pueden intervenir y gestionar el tráfico de consultas DNS sin tener que sacrificar una cantidad significativa de tiempo de actividad. Sin un servidor DNS secundario, ese es un punto único de falla a la espera de ocurrir.

Más allá de esa importante función, los servidores DNS secundarios también ayudan en las causas gemelas del equilibrio de carga y la redundancia. El equilibrio de carga ayuda a redirigir el tráfico de consultas según sea necesario para crear un tipo de equilibrio en el uso de recursos. Mientras tanto, la redundancia garantiza que una versión fiable de la verdad continúe existiendo, independientemente de lo que ocurre con un servidor en particular. 

Para el administrador del sistema, configurar servidores DNS primarios y secundarios puede ser una tarea complicada. Afortunadamente, muchos tutoriales útiles pueden guiar al personal a medida que implementa servidores DNS, configura servidores para su operación y administra servidores para obtener resultados óptimos.

Cabe señalar que un usuario clave de los servidores DNS son las aplicaciones. Cuando las aplicaciones requieren recursos específicos, esas aplicaciones funcionan como si fueran sistemas que secuencian consultas DNS. Este proceso consiste en aprovechar el servidor principal mientras se mantiene el servidor secundario listo para actuar en caso de emergencia si el servidor principal experimenta una conmutación por error.

Existen varias tecnologías relacionadas asociadas con el uso de DNS primario y DNS secundario.

Active Directory (AD) es el servicio de directorio de Microsoft para redes de dominio de Windows, que la empresa creó para dar dirección a la necesidad de gestión centralizada de cuentas de usuario de Windows, recursos y políticas de seguridad personalizadas.

AD funciona en estrecha colaboración con DNS, especialmente en la resolución de nombres. Los dispositivos de los clientes se configuran con un servidor DNS primario y un servidor DNS secundario para garantizar la continuidad de las copias de seguridad. Estos servidores están alojados en zonas DNS que se encuentran dentro de Active Directory. Dado que los datos de esta zona se han cargado en Active Directory, cualquier persona con capacidades de control de dominio puede acceder a ellos.

El Protocolo de configuración dinámica de host (DHCP) rige la forma en que los dispositivos que operan en una red informática interactúan y reciben automáticamente las direcciones del servidor DNS primario y secundario (junto con las direcciones IP y la configuración de DNS necesaria).

DHCP y DNS cooperan de varias maneras, desde el momento en que un dispositivo (por ejemplo, un teléfono, una computadora portátil o un enrutador) se conecta a una red. El dispositivo interactúa con un servidor DHCP, emitiendo una solicitud DHCP. En respuesta, el servidor DHCP contrarresta asignando una dirección IP junto con otros datos clave, como las direcciones IP de los servidores DNS primarios y secundarios.

Los pasos posteriores ven la resolución de nombres de dominio por parte del DNS primario, que los adjunta a una dirección IP coincidente. Si el servidor DNS principal deja de estar disponible para el servicio, el dispositivo buscará el servidor DNS secundario.

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una mejora de seguridad que permite a los proveedores de DNS aumentar los esfuerzos de autenticación de los datos DNS. La técnica principal para ello es el uso forzado de firmas digitales, lo que ayuda a bloquear ataques como el envenenamiento de caché de DNS y la suplantación de DNS.

DNSSEC requiere que el servidor DNS autoritativo principal utilice firmas digitales para "firmar" y autorizar la zona DNS. Además, DNSSEC exige que el servidor autoritativo principal y el servidor autoritativo secundario mantengan los registros DNS firmados. Estos registros se pueden enviar a servidores recursivos y hacia afuera para una mayor distribución y validación de datos.

Ambos conjuntos de servidores, el primario y el secundario, funcionan como fuentes autorizadas para esa zona DNS firmada. Proporcionan registros de recursos firmados a los resolutores recursivos, que luego autentican y validan los datos contenidos en dichos registros.

Una dirección de Protocolo de Internet (IPv4) es una secuencia numérica distinta, constituida por cuatro conjuntos de números separados por puntos. La dirección IPv4 se formula de manera estrictamente numérica porque de esta manera permite que los dispositivos se comuniquen a través de una red, incluido Internet.

Las direcciones IPv4 contienen 32 bits, lo que significa que este formato ofrece aproximadamente 4,300 millones de direcciones únicas posibles (basadas en tantas permutaciones matemáticas distintas). En un momento dado, se pensó que proporcionaría suficientes direcciones únicas, pero ese momento llegó y pasó, y la necesidad de más direcciones IP continuó creciendo.

Aunque las direcciones IPv4 siguen en uso, el formato IPv4 tuvo que expandirse para ofrecer un número aún mayor de posibles direcciones IP. Entra en escena IPv6, el formato actualizado que es cuatro veces más grande, con direcciones IPv6 que pesan 128 bits. El avance en la escala significa que ahora son posibles miles de millones de trillones de direcciones IPv6.

Los sistemas operativos de código abierto que componen Linux funcionan de manera diferente en cuanto a su relación con los servidores DNS primarios y secundarios. Con Linux, no hay un cumplimiento estricto del modelo de servidor DNS primario/secundario.

En su lugar, se proporciona una lista de direcciones IP de servidores. A continuación, el cliente selecciona un servidor DNS en función del orden de las listas de servidores o de algún arreglo rotativo que admita una distribución más equitativa de las consultas de búsqueda.

El papel exacto que desempeña una máquina Linux puede variar y depende en gran medida del contexto exacto previsto. Por ejemplo, una PC doméstica con Linux sirve como cliente DNS: está configurada para usar con un servidor de nombres ISP particular o DNS público.

Mientras tanto, si un servidor Linux aloja un sitio web, se considera un servidor DNS y puede tratarse como el servidor principal para ese dominio. (Si se utiliza más de un servidor Linux, se pueden configurar servidores adicionales para operar en una función secundaria de respaldo, para aumentar la redundancia).