Cos'è un Nameserver Autoritario?
Un Authoritative Nameserver è un server DNS che contiene i dati originali e definitivi della zona per un dominio e fornisce risposte ufficiali e autorevoli alle query DNS, piuttosto che alle risposte memorizzate o riferite.
Come funzionano i nameserver autorizzativi
DNS Query Resolution:
1. Client queries recursive resolver
2. Resolver finds authoritative NS for domain
3. Authoritative NS returns definitive answer
Query: "What is the A record for www.example.com?"
Recursive Resolver → Authoritative NS (ns1.example.com)
← Response: 192.0.2.1
Flags: aa (Authoritative Answer)
Server autorevoli vs ricorrenti
| Caratteristica | NS autorevole | Risolvente ricorsivo |
|---|---|---|
| Fonte di dati | File delle zone (originale) | Cache (coppie) |
| Gestione delle query | Solo per zone possedute | Qualsiasi dominio |
| Bandiera di risposta | AA (Authoritative) | No bandiera AA |
| Oggetto | Registrazioni di dominio host | Risolvere le domande |
| Caching | No (serve dati zona) | Sì (risponde alle chiamate) |
Tipi di server autorevoli
| Tipo | Role | Descrizione |
|---|---|---|
| Primario (Maestro) | Fonte della verità | Contiene file zona scrivibile |
| Secondario (Slave) | Copia ridondante | Ricevi trasferimenti zona |
| Primario nascosto | Sicurezza | Primario non in NS record |
Processo di trasferimento delle zone
Primary → Secondary Synchronization:
Primary NS Secondary NS
│ │
│◄──── SOA Query ──────────────│
│ │
│─────── SOA Response ────────►│ (Check serial)
│ │
│◄──── AXFR Request ───────────│ (Full transfer)
│ or IXFR (incremental) │
│ │
│─────── Zone Data ───────────►│
│ │
DNS autoritario comune Fornitori
| Fornitore | Tipo | Caratteristiche |
|---|---|---|
| Cloudflare | Gestione | Free tier, protezione DDoS |
| AWS Route 53 | Gestione | Global anycast, controlli sanitari |
| Google Cloud DNS | Gestione | Bassa latenza, DNSSEC |
| BENE | Self-hosted | Open source, pieno controllo |
| PowerDNS | Self-hosted | API-driven, database backend |
Configurazione record NS
Zone file entries for authoritative servers:
example.com. IN NS ns1.example.com.
example.com. IN NS ns2.example.com.
ns1.example.com. IN A 192.0.2.1 (glue record)
ns2.example.com. IN A 192.0.2.2 (glue record)
Controllo dei server autorizzativi
# Find authoritative nameservers for a domain
dig example.com NS +short
# Query specific authoritative server directly
dig @ns1.example.com example.com A
# Verify authoritative flag in response
dig example.com A | grep flags
;; flags: qr aa rd ← 'aa' indicates authoritative answer
Migliori Pratiche
1. Utilizzare più nameserver: Minimo 2, preferibilmente geograficamente distribuito
2. Reti diverse Posizionare NS secondario su rete separata/provider
3. La disponibilità dei motori Tracciare i tempi e i tempi di risposta del nameserver
4. Trasferimenti in zona protetta Limitare AXFR agli IP autorizzati
5. Abilita DNSSEC: Zone di segnale per evitare spoofing
Alta disponibilità Architettura
Recommended Setup:
Primary NS (hidden)
│
├──► Secondary NS 1 (public, Provider A)
├──► Secondary NS 2 (public, Provider B)
└──► Secondary NS 3 (public, Provider C)
All three public NS listed in zone's NS records
I nameserver autorevoli sono la base del DNS di dominio, che serve come fonte definitiva per tutti i record DNS associati a un dominio.