Authoritative DNS — DNS-сервер, который хранит оригинальные записи зоны домена и отвечает на запросы конечным ответом без обращения к другим серверам. В отличие от рекурсивного резолвера (который ищет ответ, опрашивая цепочку серверов), авторитативный сервер знает ответ из первоисточника — собственной базы данных зоны.
Как работает Authoritative DNS
Когда DNS-резолвер ищет IP-адрес для домена example.com, он проходит цепочку: корневые серверы (13 кластеров, управляемых IANA/ICANN) → серверы TLD (.com, поддерживаемые Verisign) → авторитативные серверы example.com. Авторитативный сервер отвечает на запрос без дальнейших обращений: он содержит DNS-зону — текстовый файл с записями A, AAAA, MX, CNAME, TXT, NS. Ответ помечается флагом AA (Authoritative Answer) в заголовке DNS-пакета.
Каждый домен имеет как минимум два авторитативных NS-сервера для отказоустойчивости — требование RFC 1034. Первичный (master/primary) — источник данных зоны; вторичные (slave/secondary) — получают копию через AXFR (полная передача зоны) или IXFR (инкрементальная) в соответствии с протоколом DNS NOTIFY (RFC 1996). Изменение записей на первичном сервере реплицируется на вторичные в течение времени, определённого параметром Refresh в SOA-записи (обычно 3600–86400 секунд).
Популярные авторитативные DNS-серверы: BIND (Berkeley Internet Name Domain, 1984, версия 9.x) — де-факто стандарт, написан на C; PowerDNS Authoritative Server — поддерживает хранение зон в SQL-базе (MySQL, PostgreSQL); Knot DNS 3.x — высокопроизводительный, оптимизирован для DNSSEC; NSD (Name Server Daemon) — только авторитативный, без рекурсии, минимальный attack surface. Managed-сервисы: Cloudflare DNS (бесплатный, глобальный Anycast), AWS Route 53 (плата за запросы), Hetzner DNS (бесплатно для клиентов).
Виды авторитативных DNS-серверов
- Primary (Master)
- Хранит оригинальную зону; единственный, где записи редактируются напрямую. При использовании PowerDNS зона хранится в реляционной БД.
- Secondary (Slave)
- Получает копию зоны с Primary через AXFR/IXFR. Отвечает на запросы наравне с Primary. При недоступности Primary продолжает работу с последней полученной копией.
- Hidden Primary
- Архитектурный паттерн: Primary скрыт за firewall, публичные NS-серверы — только Secondary. Защищает от DDoS-атак на NS-инфраструктуру.
- Managed DNS (Anycast)
- Коммерческие сервисы (Cloudflare, Route 53, NS1) реплицируют зону на сотни точек присутствия по всему миру. Запросы маршрутизируются к ближайшей точке через протокол Anycast.
История
Авторитативная модель DNS разработана Полом Мокапетрисом в 1983 году (RFC 882, 883) для замены централизованного файла HOSTS.TXT, который к тому моменту редактировался вручную и рассылался по всем узлам ARPANET. Ключевая идея — делегирование: каждый домен управляет своей зоной независимо, а корневые серверы только указывают, где найти следующее звено цепочки.
Протокол DNSSEC (RFC 4033–4035, 2005) добавил криптографическую подпись зон для защиты от атак подмены DNS-ответов (DNS cache poisoning, атака Камински 2008 года). DNSSEC-подпись выполняется на авторитативном сервере с помощью пар ключей ZSK (Zone Signing Key) и KSK (Key Signing Key); рекурсивный резолвер проверяет подпись через цепочку доверия от корневого якоря (Root Trust Anchor). В 2010 году корневая зона DNS была подписана DNSSEC впервые.
На что обращать внимание
При выборе DNS-провайдера проверяйте поддержку DNSSEC, Anycast-сети (снижает задержки по всему миру) и минимально допустимый TTL. Cloudflare ограничивает TTL снизу 60 секундами, некоторые дешёвые хостинги — 300–3600 секундами.
Для критичных сервисов используйте сторонний DNS-хостинг независимо от хостинга сайта — это устраняет единую точку отказа. Управление NS-записями — у регистратора домена; управление A/CNAME/MX-записями — у владельца авторитативных серверов. Никогда не указывайте NS-записи домена на единственный сервер без Secondary DNS — при его недоступности домен полностью перестаёт резолвиться.