ما المقصود بنظام أسماء النطاقات (DNS) الثانوي؟

استفسار سريع: هل تفضِّل الطيران على متن طائرة مجهزة بمحرك واحد أو محركين؟ من المحتمل أن يختار معظم الركاب غريزيًا الطائرة ذات المحركات المتعددة.

وهذا هو الهدف من وجود DNS ثانوي. ما الذي قد يحدث للمؤسسة إذا أصبح الخادم الأساسي غير متوفر أو تم اختراقه بطريقة أخرى؟ هل تستطيع تلك الشركة (أو أي شركة أخرى) تحمّل توقف أعمالها تمامًا خلال فترة التعطل هذه؟ ما الانطباع السلبي الذي سيصل إلى مستخدمي الخدمة في هذه الحالة؟ من الناحية الاقتصادية، قد يكون فقدان استخدام الخادم الأساسي للمؤسسة كارثيًا تمامًا مثل تعطل المحرك في الطيران.

وذلك دون حتى التطرق إلى ميزة أخرى رائعة يوفرها اعتماد خادم DNS ثانوي، وهي دعمه الفعَّال لجهود موازنة الأحمال في الخادم الأساسي.

قبل المضي قُدُمًا، علينا أولًا الإجابة عن سؤال أكثر بساطة: ما المقصود بنظام أسماء النطاقات (DNS)؟ يعمل نظام أسماء النطاقات كأداة ترجمة، حيث يُحوّل عناوين IP المعقدة إلى أسماء نطاقات مفهومة وسهلة الاستخدام.

لنفترض أنك مهتم بموضوع يناقش منتجًا تقدِّمه شركة IBM، لكنك لست متأكدًا من عنوانه. تكتب "IBM" في متصفح الإنترنت الخاص بمزود الخدمة، فينقلك إلى الصفحة الرئيسية للشركة. بفضل نظام أسماء النطاقات (DNS)، لستَ مضطرًا لكتابة عنوان IP الكامل الخاص بشركة IBM. يفترض نظام أسماء النطاقات (DNS) أن هذا هو المكان الذي تريد الوصول إليه بناءً على مصطلح البحث الذي أدخلته.

يُوصف نظام أسماء النطاقات (DNS) أحيانًا بأنه "دليل الهاتف" للإنترنت، لأن وظيفته تشبه ذلك، رغم أنه قد يكون من الأفضل تشبيهه بمشغِّل الهاتف القديم. في العقود الماضية، كان مشغِّل الهاتف المحلي يقوم بدور DNS بشري، حيث يأخذ الرقم الذي تطلبه ويوصلك إلى مركز التبديل المطلوب. يعمل نظام DNS على أتمتة عملية الترجمة بأكملها الآن.

يعتمد نظام أسماء النطاقات (DNS) على هيكل هرمي محدد تُديره خوادم الجذر. أسفل هذه الخوادم في الهيكل الهرمي توجد نطاقات المستوى الأعلى (TLDs)، مثل العناوين التي تنتهي بـ ".com" و".org". ويتكون باقي الهيكل الهرمي من خوادم أسماء نطاقات فردية.

يُعَد نظام أسماء النطاقات (DNS) قاعدة بيانات موزعة، حيث تمثِّل كل عقدة "خادم أسماء"، وهو الجزء من النظام الذي يوفر الترجمات اللازمة لذلك الاسم النطاقي المحدد. تحتوي جميع النطاقات داخل ذلك النظام على خادم أو أكثر يُسمى "خادم أسماء معتمد"، لأن هذا الخادم ينشر المعلومات الخاصة بذلك النطاق، بالإضافة إلى خوادم الأسماء الأساسية للنطاقات الفرعية الموجودة بداخله.

يعمل نظام أسماء النطاقات (DNS) بطريقة بسيطة:

1. تكتب اسم النطاق في متصفح الإنترنت الذي يقدمه مزود خدمة الإنترنت الخاص بك.
2. يُرسل جهاز الكمبيوتر الذي تستخدمه استعلام بحث إلى خادم DNS.
3. يفحص خادم DNS العديد من موارده للعثور على عنوان IP الذي يطابق اسم النطاق من بحثك على الويب.
4. يُرسل خادم DNS عنوان IP الموجود مرة أخرى إلى الجهاز الذي تستخدمه.
5. يستدعي جهازك عنوان IP الدقيق الذي تبحث عنه.

الآن، إذا حدثت مشكلة في خادم DNS الأساسي -مثل عدم توفره تقنيًا أو تحميله الزائد حاليًا- يقوم خادم DNS الثانوي بدوره، حيث ينفِّذ عمليات البحث اللازمة ويُجري ترجمات عناوين IP المطلوبة. بفضل التشغيل الفوري لخادم DNS الثانوي عبر عملية التبديل الاحتياطي، يتمكن المستخدمون من الوصول إلى الموقع الإلكتروني دون أن يلاحظوا أي تراجع في الأداء.

وبالمثل، يتولى خادم DNS الثانوي مهام خادم البريد الخاص بنظام DNS الأساسي (بما في ذلك توجيه البريد الإلكتروني والتعامل مع سجلات تبادل البريد - MX)، ما يساعد على ضمان استمرار تدفق حركة البريد الإلكتروني دون انقطاع. وبهذه الطريقة، لا يتعرض الموقع لأي فترة تعطل بسبب الانقطاعات، وهذا هو مقياس المرونة الحقيقية - أي الحفاظ على استمرار الأمور على الرغم من الظروف المعاكسة.

عند الحاجة إلى تشغيل خادم DNS الثانوي، يتم تزويده بالمعلومات من قبل خادم DNS الأساسي. يحدث ذلك من خلال عملية تُعرَف باسم نقل المنطقة. نُسخ ملفات المناطق التي تُشارك مع خادم DNS الثانوي عبر عملية نقل النطاق هي ملفات للقراءة فقط ولا يمكن تعديلها بأي شكل من الأشكال.

تعتمد عمليات نقل المناطق بشكل كبير على واجهات برمجة التطبيقات (APIs)، التي تُتيح لخوادم DNS الأساسية نقل بيانات منطقة DNS تلقائيًا إلى الخوادم الثانوية. بهذه الطريقة، يمكن لكل خوادم DNS الاحتفاظ بالمعلومات نفسها. توفِّر واجهات برمجة التطبيقات (APIs) وسيلة للخادم الأساسي للتواصل مع الخادم الثانوي، لضمان توافقهما التام في سجلات DNS المتطابقة وعمليات نقل المناطق المُسجلة.

تستند عملية نقل المناطق إلى إنشاء سجلات خادم الأسماء (NS). تساعد سجلات NS على تحديد الخوادم التي تم تعيينها على أنها موثوق بها لهذا النطاق، والذي يحدد أولويات النطاق. إذا كان عنوان IP للخادم الثانوي موجودًا ضمن سجلات NS، فسيظل الموقع يعمل بشكل طبيعي حتى لو تعطل الخادم الأساسي.

يتم بدء عمليات نقل المناطق عبر إصدار سجل "بداية السُلطة" (SOA)، والذي يزوِّد خوادم DNS الثانوية بالبيانات اللازمة لمزامنة بيانات نطاق DNS، وذلك من خلال نوع من التحكم في الإصدارات يُفعِّل التحديثات استنادًا إلى الرقم التسلسلي لسجل SOA.

هذه هي الطريقة التي يتم بها تسجيل الإصدارات الجديدة. ومن خلال تحديث خدمة DNS الثانوية ببيانات جديدة من سجل SOA، يمكن للنطاق أن يظل قيد التشغيل في حالة تعطل الخادم الأساسي - ما يحمي الخوادم المعطلة من التأثير في مدة التشغيل.

النقل الموثوق به للمناطق (AXFR) هو بروتوكول آخر يسمح لخوادم DNS بتداول ملفات المنطقة. يعمل AXFR على مزامنة تلك البيانات عبر جميع الخوادم المتصلة، لتعمل جميعها بأحدث المعلومات المتاحة.

يوفر استخدام خوادم DNS الثانوية العديد من المزايا، بما في ذلك الاعتبارات التالية.

الميزة الأساسية لتفعيل خادم DNS ثانوي تُشبه المنطق الذي يحثنا على شراء بوليصات التأمين وتجهيز مستلزمات الطوارئ قبل مواجهة ظروف جوية خطرة. ومن خلال إضافة خادم DNS ثانوي، نحن نعترف بحقيقة مؤسفة لكن لا مفر منها: الآلات والأنظمة قد تتعطل أحيانًا.

يعالج خادم DNS الثانوي هذه الحقيقة من خلال توفير حل مؤقت يوفر التكرار المطلوب عندما يفشل خادم DNS الأساسي لأي سبب. ووجود حل النسخ الاحتياطي يوفر للمجموعة الأمان النفسي لمعرفة أن خدمات DNS الخاصة بالشركة ستظل متاحة للمستخدمين.

فائدة أخرى مهمة لاستخدام نظام DNS هي كيفية تمكينه لتوزيع الأحمال. وهو يحقق ذلك من خلال توفير عناوين IP متعددة لنفس اسم النطاق الواحد. وهذا بدوره يُتيح لخادم DNS نشر حركة المرور الواردة من خلال خوادم مختلفة، بناء على استخدام خوارزميات مختلفة.

على سبيل المثال، إذا كان خادم DNS يتبع تكوين خوارزمية دائرية (round-robin)، فإن خادم DNS يشغِّل قائمة العنوان الكاملة الخاصة به ويوزِّع الحمل بالتساوي بين أجهزة متعددة.

يمكن أيضًا استخدام نظام DNS لتعزيز الأمان العام. ومن خلال تثبيت جدار حماية في ذلك النظام، يمكن السماح بحركة المرور الواردة كما هي، أو تصفيتها حسب الحاجة، أو منعها تمامًا. علاوةً على ذلك، يمكن إنشاء جدران حماية تسمح فقط لطلبات DNS المصرَّح بها بالوصول إلى خوادم DNS الثانوية.

طريقة أخرى يمكن لنظام أسماء النطاقات دعم جهود الأمن من خلالها هي تطوير "الخادم الأساسي المخفي"، وهو خادم DNS أساسي يتم الاحتفاظ به بعيدًا عن متناول الإنترنت العام. ولا يتم تسجيل عنوان IP الخاص به بين سجلات الموارد لهذا النظام. تتعامل خوادم الأسماء الثانوية مع استجابات الاستعلام بدلًا من الخادم الأساسي. والفكرة هي الحفاظ على الخادم الأساسي محميًا بشكل أفضل ضد الهجمات الإلكترونية من خلال إخفاء وجوده قدر الإمكان.

يمكن تعزيز الأمان بشكل أكبر باستخدام امتدادات أمان نظام أسماء النطاقات (DNSSEC)، التي تساعد على فحص طلبات DNS والتحقق منها. تساعد هذه الإضافات على تأكيد الطبيعة الحقيقية لعمليات البحث عن اسم النطاق. كما أنها تساعد على منع الهجمات الإلكترونية، مثل انتحال DNS، حيث يتم إغراق الموقع بعدد كبير من طلبات DNS المزيفة حتى ينهار النظام ويتوقف عن العمل.

يمكن أن يُسهم خادم DNS الثانوي أيضًا في تحسين الأداء، لأنه يستطيع حل مشكلات أسماء النطاقات بسرعة أكبر، ما ينعكس على تسريع إيصال المعلومات. لذلك، من خلال تنفيذ DNS الثانوي، يمكن تقليل مشكلات زمن الانتقال.

رغم أن فوائد استخدام خادم DNS الثانوي تفوق عيوبه بكثير، إلا إن هناك بعض المشكلات التي قد يسببها هذا النوع من الخوادم. وغالبًا ما تكون هذه المشكلات ثانوية.

قد تتأثر التحديثات على الخادم الثانوي بشكل طفيف. علاوةً على ذلك، وعلى الرغم من أن الخوادم الثانوية مصممة للعمل عند الحاجة، فقد يحدث خلل بسيط في أدائها عند بدء التشغيل.

يجب أن تكون الأنظمة متزامنة للمساعدة على ضمان التشغيل الأمثل. يتطلب الخادم الثانوي دائمًا أحدث سجلات DNS، وقد يصبح هذا مشكلة، اعتمادًا على تكرار التغييرات.

من المحتمل أن يؤدي استخدام خادم DNS ثانوي إلى زيادة التعقيد، وقد يتطلب تخصيص موارد بشرية لإدارة خوادم DNS. ومع ذلك، فإن إدارة خوادم DNS المتعددة بنجاح هي المفتاح للحفاظ على السلامة العامة للنطاق.

على الرغم من وجود العديد من مزوّدي خدمات DNS الثانوية، إليك بعضًا من أبرزهم.

• Google Public DNS: يتميز بقدرات بحث سريعة تساعد على حل استفسارات DNS. بالإضافة إلى ذلك، فإن الخدمة سهلة الإعداد حتى للمبتدئين نسبيًا، وتحتوي على مجموعة كاملة من بروتوكولات الأمان المفعَّلة. إضافة إلى ذلك، تستفيد خدمة Google Public DNS من شبكة مراكز البيانات العالمية الواسعة التابعة لشركة Google.

• Cloudflare: تعتمد خدمة DNS الخاصة بـ Cloudflare على تكوين DNS الخاص بتوجيه شبكة Anycast، حيث يمكن لعنوان IP واحد إرسال حركة المرور إلى مراكز بيانات متعددة في مناطق مختلفة. يتصل المستخدمون بالخادم الأقرب إليهم، ما يُتيح لهم سرعات أعلى وحماية ضد الهجمات الموزعة لحجب الخدمة (DDoS). يُقال إن محلل DNS العام 1.1.1.1 الخاص بـ Cloudflare هو أسرع أدوات الحل المتوفرة.

• Quad9: يتميز Quad9 بتوفير المزيد من الميزات، مثل القدرة على تصفية البرامج الضارة وحظر محاولات التصيد الاحتيالي. تعمل الشركة كمؤسسة غير ربحية وهي ملتزمة بشدة بخصوصية المستخدم بحيث ترفض الاحتفاظ ببيانات التصفح أو معلومات المستخدم.