معرفی Authoritative DNS Server + بررسی مزایا

Authoritative DNS Server آخرین مرجع نگه‌دارندهٔ آدرس IP دامنه‌ای است که به‌دنبال آن هستید. زمانی که نام یک دامنه را در مرورگر خود وارد می‌کنید، یک پرس‌وجوی DNS به ارائه‌دهندهٔ خدمات اینترنتی (ISP) شما ارسال می‌شود. ارائه‌دهندهٔ اینترنت دارای یک سرور بازگشتی (Recursive Server) است که ممکن است اطلاعات مورد نیاز را در حافظهٔ کش خود ذخیره کرده باشد. اما اگر داده‌ها قدیمی باشند، این سرور بازگشتی باید آدرس IP را از منبع دیگری پیدا کند. در ابتدا تلاش می‌کند آن را در سایر سرورهای بازگشتی بیابد، اما اگر موفق نشود، لازم است آدرس IP را از یک Authoritative DNS Server دریافت کند.

معرفی Authoritative DNS Server 

چنین سروری همان نام‌سرور (Name Server) است که رکوردهای اصلی ناحیه (Zone Records) را در اختیار دارد. این سرور از منبع اصلی پیکربندی شده است و پاسخ‌هایی را به پرس‌وجوها بازمی‌گرداند که از پیش توسط مدیر سیستم تعیین شده‌اند.

این سرورهای DNS فقط برای ناحیه‌هایی که برای آن‌ها پیکربندی شده‌اند پاسخ ارائه می‌دهند. این موضوع باعث می‌شود بسیار کارآمد و سریع باشند. آن‌ها به پرس‌وجوهای بازگشتی (Recursive Queries) نیز پاسخ نمی‌دهند. درخواست‌هایی که به این سرورها می‌رسند، از سوی نام‌سرورهای حل‌کننده (Resolving Name Servers یا Resolvers) ارسال می‌شوند و سرورهای Authoritative یا پاسخ کامل را در اختیار دارند یا درخواست را به نام‌سروری که مسئول آن است ارجاع می‌دهند.

سرورهای Authoritative نتایج پرس‌وجوها را کش نمی‌کنند. داده‌هایی که دارند، به‌صورت دائمی در سیستم آن‌ها ذخیره شده است. این سرورها می‌توانند از نوع Master یا Slave باشند. آن‌ها می‌توانند رکوردهای اصلی ناحیه را ذخیره کنند یا به‌صورت سرور ثانویه عمل کنند که مستقیماً با سرور اولیه ارتباط برقرار کرده و رکوردها را از طریق یک مکانیزم DNS به‌طور مستقیم کپی می‌کند. Authoritative DNS Server ها می‌توانند در محلی باشند که وب‌سایت میزبانی می‌شود یا در جایی که ارائه‌دهندهٔ DNS قرار دارد.

تصویر(1)

انواع Authoritative DNS Server

یک سرور Authoritative پاسخ‌های قطعی به پرس‌وجوهای DNS ارائه می‌دهد، مانند آدرس IP سرور ایمیل یا آدرس IP وب‌سایت (رکورد منبع A). این سرور صرفاً پاسخ‌های کش‌شده از نام‌سرور دیگر را بازنمی‌گرداند، بلکه پاسخ‌هایی را دربارهٔ نام‌های دامنه‌ای ارائه می‌دهد که در سیستم آن پیکربندی شده‌اند. دو نوع Authoritative DNS Server متمایز می‌شوند: نام‌سرورهای اولیه (Primary) و نام‌سرورهای ثانویه (Secondary).

نام‌سرور اولیه (Primary Name Server) که با نام سرور Master نیز شناخته می‌شود، نسخه‌های Authoritative تمام رکوردهای ناحیه را ذخیره می‌کند. مدیر DNS مسئول اعمال تغییرات در رکوردهای ناحیهٔ سرور Master است. تمامی سرورهای Slave به‌روزرسانی‌ها را از طریق مکانیزم خودکار ویژهٔ پروتکل DNS دریافت کرده و یک نسخهٔ کاملاً یکسان از رکوردهای Master را نگه‌داری می‌کنند.

نام‌سرور ثانویه (Secondary Name Server) که با نام سرور Slave نیز شناخته می‌شود، یک کپی دقیق از سرور Master است. از این سرور برای توزیع بار روی سرور DNS و افزایش دسترس‌پذیری یک ناحیهٔ DNS در صورت بروز خرابی (مانند قطعی DNS، حملات DNS و موارد مشابه) در سرور اولیه استفاده می‌شود. علاوه بر این، توصیه می‌شود هر دامنه حداقل دو سرور Slave و یک سرور Master داشته باشد.

مقایسهٔ Authoritative DNS Server با سرور DNS بازگشتی

هم Authoritative DNS Server و هم سرورهای DNS بازگشتی نقش‌های حیاتی دارند و برای انجام وظایف خود به یکدیگر وابسته هستند. با این حال، تفاوت‌های اساسی میان آن‌ها وجود دارد.

Authoritative DNS Server جدیدترین و دقیق‌ترین اطلاعات (رکوردهای DNS) مربوط به یک دامنه را ذخیره می‌کنند و قادر هستند پاسخ نهایی پرس‌وجوهای DNS کاربران (DNS Lookups) را ارائه دهند. در مقابل، سرورهای DNS بازگشتی فقط برای مدت زمان مشخصی یک کپی از اطلاعات DNS را نگه‌داری می‌کنند که به آن Time To Live یا TTL گفته می‌شود. علاوه بر این، آن‌ها اغلب برای دریافت پاسخ یک پرس‌وجوی DNS مجبور هستند پاسخ را از سرور دیگری دریافت کنند.

بنابراین، تفاوت‌های میان آن‌ها به‌صورت دقیق‌تر توضیح داده می‌شود.

تصویر(2)

Authoritative DNS Server

یک Authoritative DNS Server مسئول پاسخ‌گویی به پرس‌وجوهای DNS برای مجموعه‌ای مشخص از ناحیه‌های DNS است و این کار را با ارائهٔ اطلاعات از داده‌های خود انجام می‌دهد. این سرور نیازی به ارجاع به منبع دیگری ندارد. در اغلب موارد، به درخواست‌ها با یکی از انواع پاسخ‌های زیر پاسخ داده می‌شود:

• اطلاعات Authoritative dns(رکوردهای DNS) از مخزن داخلی خود. این اطلاعات می‌توانند از فایل ناحیهٔ Master، از یک کپی ناحیهٔ ثانویه که از سرور Master منتقل شده است، از Dynamic DNS و موارد مشابه به‌دست آمده باشند.
• در صورتی که پاسخ را نداند، درخواست را به نام‌سرور دیگری هدایت می‌کند. برای مثال، سرور Root درخواست را به سرور مسئول TLD (Top-Level Domain یا دامنهٔ سطح‌بالا) ارجاع می‌دهد.
• پاسخ Authoritative NXDOMAIN، که اعلام می‌کند نام دامنهٔ درخواست‌شده وجود ندارد.
• پاسخ Authoritative NOERROR خالی (NODATA)، که نشان می‌دهد نام دامنهٔ درخواست‌شده وجود دارد، اما رکورد DNS خاص مورد پرس‌وجو موجود نیست.

سرور DNS بازگشتی

سرور DNS بازگشتی با پرس‌وجو از سایر نام‌سرورها برای دریافت اطلاعات موردنیاز (رکوردهای DNS) به درخواست‌های DNS پاسخ می‌دهد. در برخی موارد، اگر اطلاعات در حافظهٔ کش آن موجود باشد، این سرور مستقیماً از همان کش به درخواست پاسخ می‌دهد. در صورتی که اطلاعات در دسترس نباشد، سرور DNS بازگشتی که با نام DNS Resolver نیز شناخته می‌شود، یک جست‌وجو انجام می‌دهد و از Authoritative DNS Server مسئول سؤال می‌کند تا در نهایت پاسخ موردنیاز را پیدا کند.

به‌طور معمول، سرورهای DNS بازگشتی اطلاعات مربوط به نام‌های دامنه‌ای که قبلاً پرس‌وجو شده‌اند را در حافظهٔ کش خود ذخیره می‌کنند تا در آینده مورد استفاده قرار گیرند. این کار به‌طور قابل توجهی ترافیک شبکه را کاهش داده و عملکرد را بهبود می‌بخشد.

سرورهای DNS بازگشتی معمولاً به یکی از روش‌های زیر به پرس‌وجوهای DNS پاسخ می‌دهند:

• اطلاعات Authoritative dns (رکوردهای DNS) از مخزن داخلی خود، در صورتی که وجود داشته باشد، که می‌تواند یک پاسخ مثبت، NXDOMAIN یا NOERROR/NODATA باشد.
• اطلاعات Authoritative DNS Server که از یک پرس‌وجوی بازگشتی قبلی دریافت و در کش ذخیره شده است، در صورت وجود.
• داده‌هایی که از نام Authoritative DNS Server راه‌دور دریافت شده‌اند، که می‌توانند برای پاسخ‌گویی به پرس‌وجوهای آینده کش شده و مجدداً استفاده شوند.

سرورهای DNS بازگشتی معمولاً برای پاسخ‌گویی به پرس‌وجوهای عمومی DNS کاربران در یک شبکهٔ محلی مورد استفاده قرار می‌گیرند.

تصویر(3)

چگونه Authoritative DNS Server یک دامنه به‌دست آورده می‌شود؟

در واقع به‌دست آوردن Authoritative DNS Server برای یک نام دامنه بسیار ساده است. در این بخش نشان داده می‌شود که چگونه با استفاده از ابزارهای رایجی مانند Dig، NSlookup، Host و WHOIS این کار انجام می‌شود.

دستور Dig

در این روش از دستور Dig استفاده می‌شود و رکوردهای NS درخواست می‌شوند که NS مخفف Nameserver است. بنابراین این رکورد DNS نشان می‌دهد که کدام Authoritative DNS Server برای نام دامنه یا ناحیهٔ DNS موردنظر وجود دارند.
دستور زیر باید وارد شود:

$ dig +short NS exampledomain.com

دستور NSlookup

NSlookup ابزار محبوب دیگری است که می‌تواند برای به‌دست آوردن Authoritative DNS Server یک نام دامنه یا ناحیهٔ DNS مورد استفاده قرار گیرد. این ابزار روی سیستم‌عامل‌های Windows، Linux و macOS کار می‌کند. در اینجا نیز رکوردهای NS پرس‌وجو می‌شوند.
کافی است دستور زیر وارد شود:

$ nslookup -type=NS exampledomain.com

دستور Host

دستور Host ابزار مفیدی است که می‌توان از آن در سیستم‌عامل‌های Linux یا macOS استفاده کرد. برای هدف موردنظر، یعنی دریافت فهرستی از Authoritative DNS Server ، باید رکورد NS درخواست شود.
دستور زیر باید نوشته شود:

$ host -t NS exampledomain.com

WHOIS

با استفاده از دستور WHOIS نیز می‌توان فهرستی از Authoritative DNS Server را به‌دست آورد.
دستور زیر باید وارد شود:

$ whois exampledomain.com | grep -i “Name .*:”

اطمینان حاصل شود که به‌جای «exampledomain.com» نام دامنهٔ موردنظر خود قرار داده شود.

اهمیت Authoritative DNS Server

Authoritative DNS Server به دلایل متعددی اهمیت حیاتی دارند:

• Resolution (حل نام): Authoritative DNS Server نام‌های دامنه را به آدرس‌های IP ترجمه می‌کنند و امکان دسترسی کاربران به وب‌سایت‌ها و سرویس‌ها را فراهم می‌سازند.
• دقت و قابلیت اطمینان: این سرورها رکوردهای به‌روز را نگه‌داری می‌کنند و اطمینان می‌دهند که کاربران آدرس IP صحیح دامنهٔ درخواست‌شده را دریافت می‌کنند.
• کارایی: با توزیع Authoritative DNS Server در سطح جهانی، سازمان‌ها می‌توانند تأخیر را کاهش داده و عملکرد فرایند حل DNS را بهبود دهند.
• امنیت: Authoritative DNS Server که به‌درستی پیکربندی شده‌اند، نقش مهمی در کاهش حملات مرتبط با DNS مانند DNS Spoofing (جعل پاسخ‌های DNS) و حملات DDoS ایفا می‌کنند.
• مدیریت دامنه: این سرورها به مدیران امکان می‌دهند رکوردهای DNS را تغییر دهند و تنظیمات لازم را برای هدایت مؤثر ترافیک اعمال کنند.

تصویر(4)

در صورت از کار افتادن یک Authoritative DNS Server چه اتفاقی رخ می‌دهد؟

زمانی که یک Authoritative DNS Server از دسترس خارج می‌شود، می‌تواند اختلالات قابل‌توجهی در فرایند حل دامنه ایجاد کند و باعث شود وب‌سایت‌ها، سرویس‌های ایمیل و سایر برنامه‌های آنلاین غیرقابل دسترس شوند. از آنجا که Authoritative DNS Server رکوردهای رسمی DNS یک دامنه را ذخیره می‌کنند، عدم دسترس‌پذیری آن‌ها به این معنا است که حل‌کننده‌های DNS بازگشتی نمی‌توانند آدرس‌های IP صحیح را دریافت کنند و در نتیجه کاربران قادر به دسترسی به سرویس‌های تحت‌تأثیر نخواهند بود.

پیامدهای اصلی:

• عدم دسترسی به وب‌سایت: اگر تمامی Authoritative DNS Server یک دامنه از کار بیفتند، کاربرانی که تلاش می‌کنند به وب‌سایت دسترسی پیدا کنند با خطایی مانند NXDOMAIN مواجه می‌شوند.
• اختلال در سرویس ایمیل: سرورهای ایمیل برای مسیریابی پیام‌ها به رکوردهای MX که در Authoritative DNS Server ذخیره شده‌اند وابسته هستند. در صورت عدم دسترسی به این رکوردها، تحویل ایمیل ممکن است با شکست مواجه شود.
• کندتر شدن حل DNS: اگر سرور ازکارافتاده بخشی از یک شبکهٔ بزرگ‌تر باشد، ممکن است برخی پرس‌وجوها همچنان پاسخ داده شوند، اما با افزایش تأخیر.
• تأثیر بر کسب‌وکار و سئو: قطعی سرویس تجربهٔ کاربری، نرخ تبدیل و رتبه‌بندی موتورهای جستجو را تحت‌تأثیر قرار می‌دهد و می‌تواند منجر به کاهش درآمد شود.

راه‌های پیشگیری:

• استقرار چندین سرور DNS در موقعیت‌های جغرافیایی مختلف انجام شود.
• از Anycast DNS (مسیریابی Anycast برای افزونگی و پاسخ‌دهی سریع‌تر در سطح جهانی) استفاده شود.
• به یک ارائه‌دهندهٔ DNS قابل‌اعتماد با حفاظت در برابر DDoS و تضمین پایداری سرویس اعتماد شود.

یک پیکربندی مناسب DNS تضمین می‌کند که حتی در صورت از کار افتادن یک سرور، فرایند حل دامنه بدون اختلال ادامه یابد.

بهترین رویه‌ها (Best Practices)

برای دستیابی به عملکرد و امنیت بهینه، توصیه می‌شود سازمان‌ها در مدیریت Authoritative DNS Server از بهترین رویه‌ها پیروی کنند:

• افزونگی: استقرار Authoritative DNS Server افزونه در چندین موقعیت جغرافیایی به‌منظور افزایش تحمل‌پذیری خطا و کاهش زمان قطعی انجام شود.
• اقدامات امنیتی: استفاده از مکانیزم‌هایی مانند DNSSEC (Domain Name System Security Extensions یا افزونه‌های امنیتی سیستم نام دامنه) برای محافظت در برابر تهدیدات مرتبط با DNS انجام شود.
• پایش منظم: Authoritative DNS Server به‌طور منظم از نظر مشکلات عملکردی، تغییرات غیرمجاز و رخنه‌های امنیتی احتمالی پایش شوند.
• برنامه‌ریزی ظرفیت: رشد آینده پیش‌بینی شود و اطمینان حاصل گردد که سرورها می‌توانند بدون افت عملکرد، بار افزایش‌یافتهٔ پرس‌وجوهای DNS را مدیریت کنند.

تصویر(5)

پیکربندی‌های نادرست رایج در Authoritative DNS Server

حتی اگر رکوردهای DNS به‌درستی تنظیم شده باشند، چند اشتباه رایج در پیکربندی Authoritative DNS Server می‌تواند باعث از کار افتادن دامنه شود که به شرح زیر هستند:

• نام‌سرورهای اشتباه در رجیسترار: دامنه ممکن است همچنان به رکوردهای NS قدیمی (ارائه‌دهندهٔ قبلی) اشاره کند. اگر دامنه به سرورهای Authoritative فعلی اشاره نکند، حل‌کننده‌ها هرگز به ناحیهٔ شما دسترسی نخواهند داشت.
• رکوردهای Glue ناقص یا نادرست: اگر نام‌سرورها در داخل خود دامنه باشند (برای مثال ns1.example.com)، ناحیهٔ والد ممکن است به رکوردهای Glue (رکورد A یا AAAA برای نام‌سرور) نیاز داشته باشد. در صورت نبود این رکوردها، حل‌کننده‌ها ممکن است در یک حلقهٔ بی‌پایان گیر کنند.
• عدم همگام‌سازی Primary و Secondary: در صورتی که از ساختار Primary و Secondary استفاده شود، سرورهای ثانویه باید به‌روزرسانی‌ها را از سرور اولیه کپی کنند. اگر انتقال ناحیه مسدود شده باشد یا شمارهٔ سریال SOA به‌روزرسانی نشده باشد، برخی سرورها ممکن است رکوردهای DNS قدیمی را بازگردانند.
• DNSSEC معیوب: اگر DNSSEC فعال باشد اما رکورد DS یا کلیدها با هم تطابق نداشته باشند، برخی حل‌کننده‌ها پاسخ‌های دامنه را به‌طور کامل رد می‌کنند.
• ترکیب‌های نامعتبر رکوردها: قرار دادن رکورد CNAME روی نامی که هم‌زمان رکوردهای دیگری مانند A، AAAA، MX یا TXT دارد باید اجتناب شود، زیرا این کار می‌تواند باعث بروز خطا یا نتایج غیرقابل پیش‌بینی در حل‌کننده‌های مختلف شود.

نتیجه‌گیری

در این مرحله، مفهوم Authoritative DNS Server و نقش حیاتی آن به‌طور کامل روشن شده است. توانایی این سرورها در ارائهٔ پاسخ‌های Authoritative به درخواست‌های DNS (پرس‌وجوهای DNS) یکی از ارکان اساسی کل سامانهٔ DNS (Domain Name System) و در مقیاسی وسیع‌تر، اینترنت به‌شمار می‌رود.