O DNS consiste em duas partes bem diferentes. Uma parte é responsável pela publicação dos dados e a outra parte é responsável por aceitar solicitações DNS de clientes e tentar atender a essas solicitações reunindo dados. Os servidores DNS que desempenham o papel de publicar dados são geralmente chamados de servidores "autoritativos", embora esse não seja realmente um nome tecnicamente correto. Pessoalmente, eu prefiro o nome "servidor de conteúdo DNS", mas esse termo não está em uso muito amplo. Servidores que aceitam e atendem a solicitações de clientes geralmente são chamados de servidores de "resolução".
Isso é muito semelhante à forma como os servidores HTTP e os proxies HTTP funcionam: os servidores HTTP publicam os dados e os proxies HTTP aceitam solicitações dos clientes (navegadores) e entrarão em contato com os servidores para coletar os dados solicitados pelo cliente. Uma diferença entre os navegadores da Web e os clientes DNS é que um cliente DNS não é capaz de contatar os servidores DNS de conteúdo sozinho. Um cliente DNS precisa usar um servidor de resolução de DNS, enquanto um navegador da Web é perfeitamente capaz de funcionar sem um proxy HTTP.
Como as informações de DNS são armazenadas de forma hierárquica e distribuída, para responder a uma única consulta, você precisará de informações de vários servidores de conteúdo DNS, provavelmente localizados em todo o mundo. Quando um cliente DNS deseja saber o endereço "www.serverfault.com", ele pode enviar essa solicitação para um servidor de resolução de DNS. Esse servidor de resolução de DNS precisa executar o trabalho real de contatar os servidores DNS em todo o mundo.
Primeiro, o servidor DNS de resolução envia a consulta inteira para um servidor raiz (que é um servidor DNS de conteúdo). Esse servidor raiz não tem uma resposta completa, mas faz saber quais servidores de conteúdo DNS têm mais informações sobre nomes no domínio ".com". Portanto, o resolvedor de DNS agora envia a consulta inteira para um dos servidores DNS de conteúdo ".com". Esse servidor também não tem uma resposta completa, mas sabe quais servidores de conteúdo DNS têm mais informações sobre nomes no domínio servervault.com . O servidor DNS de resolução continuará pedindo aos servidores DNS de conteúdo em todo o mundo até que tenha uma resposta completa para o cliente. É claro que o servidor DNS de resolução armazena informações ao longo do caminho: ele não contatará os servidores DNS de conteúdo raiz para cada consulta em um domínio ".com" se souber de seu cache onde estão os servidores DNS de conteúdo ".com".
Um "encaminhador" é simplesmente um servidor DNS de resolução que envia consultas de clientes para outro servidor DNS de resolução (pré-configurado), em vez de tentar respondê-las entrando em contato com servidores DNS de conteúdo em todo o mundo. Os roteadores domésticos geralmente contêm um servidor DNS de resolução, que é configurado para usar o servidor DNS de resolução do ISP como um encaminhador.
Pode ficar confuso quando as duas funções diferentes (conteúdo veiculado e resolução) se juntam em um servidor DNS. Isso é mais ou menos o que acontece com o Active Directory. No Active Directory, o DNS é usado para publicar informações sobre onde determinados serviços podem ser encontrados. Por exemplo, quando um cliente no domínio ad.example.com deseja entrar em contato com um Kerberos Password Change Server para seu domínio, ele emite uma solicitação de DNS para um registro SRV chamado _kpasswd._tcp.ad.example.com . Essa solicitação de DNS é enviada, como qualquer outra solicitação de DNS, para o servidor DNS de resolução configurado no cliente. O servidor DNS de resolução, em seguida, vai trabalhar tentando responder à solicitação.
Aqui é onde pode ficar um pouco confuso. O servidor de resolução de DNS pode saber que faz parte de um domínio específico do Active Directory, o que significa que ele pode reconhecer consultas de entrada para nomes nesse domínio. Se o resolvedor receber essa consulta, ele não entrará em contato com os servidores DNS externos, mas poderá responder diretamente com as informações do banco de dados do Active Directory. Se uma consulta recebida não for para um nome no domínio, o resolvedor tentará responder à pergunta em si entrando em contato com servidores DNS de conteúdo ou (no caso de ela estar configurada para usar um encaminhador) apenas enviará a consulta para outro servidor de resolução DNS. . É mais provável que isso aconteça no seu cenário.
O que mais pode confundir é a atualização dinâmica. Em qualquer domínio não trivial, os serviços não são estáticos. Os controladores de domínio podem ser adicionados ou removidos, etc. O mesmo se aplica às estações de trabalho. Isso significa que as informações no DNS precisam ser atualizadas para refletir isso. Atualizações dinâmicas é um protocolo que permite que um cliente modifique as informações publicadas no DNS. Um cliente envia uma consulta ao seu servidor DNS de resolução para descobrir para qual servidor DNS de conteúdo ele pode enviar as novas informações. No caso de uma infra-estrutura DNS integrada ao Active Directory, o servidor DNS de resolução pode muito bem ter acesso ao próprio banco de dados: nesse caso, o servidor DNS de resolução informa ao cliente que ele pode atualizar as informações em si.