Publicado em: 1 de março de 2024
Colaboradores: Chrystal R. China, Michael Goodwin
Um servidor DNS primário é o servidor de nome autorizado de um sistema de nome de domínio (DNS). É o primeiro ponto de contato na resolução de consultas e serve como fonte definitiva de informações sobre um domínio, armazenando cópias originais de todos os registros DNS do domínio.
Se um servidor DNS primário estiver indisponível, o navegador, a aplicação ou o dispositivo que iniciou a consulta entrará em contato com um servidor DNS secundário, que contém uma cópia dos mesmos registros DNS.
Em uma infraestrutura de DNS, os nomes de domínio direcionam o tráfego para endereços IP que contêm os recursos corretos para atender às solicitações do usuário. Quando os usuários inserem um nome de domínio, o servidor DNS primário é a primeira parada no caminho para a resolução da consulta. No entanto, nomes de host amigáveis para humanos e endereços IP amigáveis para computadores precisam de um intermediário para se comunicar. É aí que os servidores DNS primários entram no processo.
Os servidores primários convertem nomes de domínio em endereços IP correspondentes, que enviam as informações consultadas de volta ao usuário. Dessa forma, o DNS primário desempenha uma função vital no roteamento do tráfego da internet.
O guia empresarial de IA e automação de TI oferece um olhar aprofundado sobre a automação de TI impulsionada por IA, incluindo por que e como usá-la, os problemas que bloqueiam seus esforços e como começar.
Assine a newsletter da IBM
De modo geral, o DNS é semelhante a uma lista telefônica para a internet. Ele converte nomes de domínio (como www.exemplo.com) em endereços IP (como 192.0.2.1) que os computadores usam para identificar uns aos outros na rede. Sem o DNS, os usuários precisariam se lembrar de endereços IP numéricos complexos para acessar sites, o que é impraticável mesmo antes de considerar o volume de pesquisas exclusivas e solicitações de dados que os usuários fazem em um único dia.
Os frameworks de DNS têm uma estrutura semelhante a uma árvore com o domínio raiz no topo, seguido pelos domínios de nível superior (TLDs), como .com, .org, .net, .uk, e assim por diante. Abaixo dos TLDs estão domínios de segundo nível que normalmente compreendem a parte reconhecível de um nome de domínio (como "ibm.com") e quaisquer zonas secundárias disponíveis. Cada TLD tem seu próprio conjunto de servidores de nomes, mas o servidor de nomes primário entra em ação no segundo nível.
Quando um domínio é registrado, seus registros de servidor de nome (NS) são criados e armazenados em um servidor DNS primário, normalmente fornecido por uma empresa de hospedagem ou um provedor de serviços DNS. O servidor DNS primário contém vários tipos de registros NS, incluindo registros A, registros MX e registros CNAME (entre outros tipos), que encaminham os dados e informações apropriados de volta para o usuário.
Vale a pena observar que os administradores de servidores podem designar servidores DNS como primários ou secundários. Na verdade, os servidores podem ter uma designação primária em uma zona e uma designação secundária em outra. No entanto, cada zona DNS pode ter apenas um único servidor primário.
As modificações de domínio também ocorrem no DNS primário. Quando um administrador deseja ajustar os registros de DNS, ele deve fazer isso nos servidores DNS primários; as alterações então se propagam para baixo na hierarquia até os servidores restantes.
Os servidores DNS são categorizados como "primários" e "secundários" com base em suas funções na hierarquia DNS. Enquanto o servidor DNS primário mantém a versão original de leitura/gravação do arquivo de zona, os servidores DNS secundários mantêm replicas de somente leitura do arquivo da zona para fins de balanceamento de carga e gerenciamento de redundância.
Os serviços DNS secundários não são essenciais; os sistemas DNS podem funcionar quando apenas um servidor primário está disponível. Mas é padrão, e muitas vezes exigido pelos registradores de domínio, manter pelo menos um servidor secundário para facilitar o DNS round-robin (que distribui o tráfego uniformemente entre cada servidor) e evitar o denial-of-service.
A arquitetura convencional de DNS primário/secundário está se tornando obsoleta entre os provedores de DNS gerenciados modernos. Atualmente, a maioria dos provedores oferece IPs de servidor de nomes para uso e, por trás de cada um desses IPs, há um pool de servidores DNS que encaminham solicitações usando anycast (um protocolo de transporte de um para muitos). Essa abordagem tende a oferecer melhor redundância e maior disponibilidade do que o modelo clássico.
No entanto, mesmo em implementações avançadas de DNS, o DNS secundário pode ajudar as empresas:
- Migrar para uma nova infraestrutura de DNS, com dependências de servidores DNS antigos. O DNS secundário permite que as equipes acessem ferramentas, códigos e sistemas legados que apontam para um servidor DNS antigo hospedado em sua organização. Durante a migração da arquitetura, os servidores secundários permitem que os administradores definam o provedor de DNS secundário sem quebrar as dependências. Isso mantém todos os processos existentes sincronizados, mas permite que o novo servidor DNS responda se os servidores internos ficarem lentos ou falharem.
- Evitar pontos únicos de falha. Sites de alto tráfego e aplicações web de missão crítica não toleram interrupções. O uso de servidores de nomes secundários ajuda os administradores a evitar qualquer ponto único de falha se os servidores DNS primários encontrarem problemas de latência.
- Configurar um DNS redundante com um serviço gerenciado. Um DNS gerenciado inteligente pode permitir uma implementação de DNS dedicada, que é executada em uma rede e servidores separados de seu serviço DNS gerenciado regular. Isso ajuda a facilitar a redundância entre dois servidores DNS separados, permitindo que as organizações trabalhem com apenas um provedor. Além disso, a implementação dedicada não é compartilhada com outras organizações e, portanto, está isolada de ataques direcionados a outros clientes no serviço.
Os servidores primário e secundário mantêm a eficiência e a funcionalidade dos sistemas DNS, mas há diferenças importantes que determinam como eles se comportam e interagem no ambiente de computação.
Além de armazenar o arquivo de zona primária, o servidor DNS primário responde às solicitações de atualização do administrador do domínio e processa atualizações dinâmicas. Os servidores de zona secundária são servidores de backup que tratam de solicitações durante o downtime do servidor primário ou quando o servidor primário está sobrecarregado.
O arquivo da zona primária no DNS primário contém todos os registros A (registros de endereço para IPv4); Registros AAAA (registros de endereço para IPv6); Registros MX (que direcionam para servidores de e-mail); registros CNAME (que mapeiam aliases para seus nomes de domínio verdadeiros ou "canônicos"); Registros SOA (que contêm todas as informações administrativas de um domínio); e registros TXT (que indicam o registro do framework da política do remetente para autenticação do e-mail) para um determinado domínio. O administrador gerencia diretamente esse arquivo, e quaisquer atualizações ou alterações nos registros DNS são feitas aqui primeiro.
Os servidores DNS secundários são cópias exatas do arquivo da zona, transferidos do servidor primário. Eles não podem acomodar revisões ou edições diretas no arquivo de zona. Em vez disso, eles verificam periodicamente com o servidor principal se há atualizações em um processo chamado transferência de zona.
A configuração de um DNS primário envolve a configuração do arquivo de zona, registros de recursos e controles de acesso, e pode incluir a organização de transferências de zona autoritativas (AXFR) e incrementais (IXFR) para servidores secundários designados. As configurações de DNS secundário, no entanto, exigem que os administradores estabeleçam protocolos de comunicação entre os servidores primário e secundário para transferências de dados de zona e especifiquem a frequência das verificações com o servidor primário para atualizações.
Embora o servidor DNS primário seja essencial, ele também representa um ponto único de falha. Se ele falhar e os administradores não tiverem designado servidores secundários para assumir a carga de trabalho, todo o processo de resolução de DNS será prejudicado. Os servidores secundários não podem existir sem um servidor DNS primário, mas, se houver uma falha no servidor, eles poderão manter o DNS operacional até que o servidor primário seja restaurado.
Para entender melhor o DNS primário, é importante entender como as consultas do usuário fluem por um sistema até a resolução.
Um usuário insere um nome de domínio em um navegador ou aplicação e a solicitação é enviada a um resolvedor DNS recursivo. Normalmente, o dispositivo do usuário tem configurações de DNS predefinidas, fornecidas pelo provedor de serviços de internet (ISP), que determinam qual resolvedor recursivo é implementado.
O resolvedor recursivo verifica seu cache (ou seja, o armazenamento temporário em um navegador da web ou sistema operacional) em busca do endereço IP correspondente do domínio. Se os dados de pesquisa de DNS não forem armazenados em cache, o resolvedor iniciará o processo de recuperação dos servidores DNS autorizados, começando pelo servidor raiz. O resolvedor recursivo consulta diferentes servidores DNS até encontrar o endereço IP final.
O resolvedor recursivo consulta um servidor de nomes raiz, que responde com uma referência ao servidor de TLD apropriado para o domínio em questão (o servidor responsável por todos os domínios ".com" , por exemplo).
O resolvedor consulta o servidor de nomes TLD, que responde com o endereço do servidor DNS primário do domínio.
O resolvedor consulta o servidor primário, que procura o arquivo de zona DNS e responde com o registro correto para o URL fornecido.
O resolvedor recursivo armazena em cache o registro DNS, por um tempo especificado pelo tempo de ativação do registro (TTL), e retorna o endereço IP ao dispositivo do usuário. O navegador ou aplicativo pode então iniciar uma conexão com o servidor host nesse endereço IP para acessar o site ou serviço solicitado.
O DNS primário é fundamental para o roteamento de consultas, portanto, a manutenção e a otimização dos servidores DNS primários podem acelerar todo o sistema DNS. As empresas podem aproveitar ao máximo seu DNS incorporando as melhores práticas a seguir.
Selecione um provedor de DNS com alto tempo de atividade, protocolos de redundância abrangentes e atendimento ao cliente acessível. O IBM NS1, por exemplo, pode ajudar a garantir que as consultas DNS sejam respondidas de forma rápida e confiável.
Os provedores de DNS primário variam em suas ofertas, desde serviços DNS públicos até servidores DNS gerenciados premium. A determinação do melhor servidor DNS para sua empresa depende das necessidades organizacionais1, dos orçamentos e da complexidade. Embora, por exemplo, o uso do DNS público forneça aos clientes acesso aberto e gratuito ao DNS, uma migração para o DNS premium pode oferecer um controle mais refinado.
Certifique-se de que as equipes sejam informadas sobre as vulnerabilidades e ameaças mais recentes do DNS (como malware, ataques DDoS distribuídos e spoofing de cache) e usem firewalls, extensões de segurança do sistema de nomes de domínio (DNSSEC) e outras medidas de segurança para proteger os servidores DNS2 e mitigar os riscos.
Atualize os registros DNS para refletir as alterações nos endereços IP, na infraestrutura e nos serviços com a maior rapidez e frequência possível. Isso permite uma resolução de domínio consistente e precisa.
O IBM NS1 Connect Managed DNS Service fornece conexões de DNS resilientes, rápidas e autoritativas para evitar interrupções de rede e manter sua empresa sempre online.
Aumente a resiliência e o tempo de atividade da aplicação com uma rede global e recursos avançados de direcionamento de tráfego de DNS.
O IBM Cloud DNS Services oferece serviços DNS autoritativos públicos e privados com tempo de resposta rápido, redundância incomparável e segurança avançada, gerenciados por meio da interface web da IBM Cloud ou por API.
O DNS permite que os usuários se conectem a sites por meio de URLs em vez de endereços numéricos de protocolos da internet.
Os servidores DNS traduzem os nomes de domínio do site que os usuários pesquisam nos navegadores da web em endereços IP numéricos correspondentes. Esse processo é conhecido como resolução de DNS.
Um registro do Sistema de Nomes de Domínio (DNS) é um conjunto de instruções usadas para conectar nomes de domínio a endereços IP em servidores DNS.
A propagação de DNS refere-se ao tempo que os servidores de DNS levam para propagar as alterações em um registro de DNS pela internet.
Um registro CNAME, ou registro de nome canônico, serve como um alias dentro do Sistema de Nome de Domínio (DNS), redirecionando um nome de domínio para outro.
Saiba como funcionam as redes de computadores, a arquitetura utilizada para projetar redes e como mantê-las seguras.
Notas de rodapé
1 "Should large enterprises self-host their authoritative DNS?," IBM.com, 1 de fevereiro de 2024
2 "Why DNS protection should be the first step in hybrid cloud security," (link externo ao site ibm.com) TechRadar, 1º de fevereiro de 2024