Una zona DNS que recibe copias de registros de una zona maestra mediante transferencias de zona automáticas (AXFR). El nameserver esclavo es solo lectura; extrae actualizaciones de la maestra autorizada y sirve consultas sin hacer cambios a sí misma.
Por qué importa: las zonas esclavas distribuyen carga DNS y proporcionan redundancia. Si tu maestra se cae, las esclavas mantienen tu dominio resolviendo. La mayoría de registradores ejecutan al menos un nameserver esclavo como práctica estándar—no lo controlas, ellos sí.
Configuración común: ejecutas una zona maestra en tu propio nameserver, apuntas el registro a tu maestra + 1–2 nameservers esclavos (usualmente proporcionados por tu registrador u host DNS). Cuando actualizas registros en la maestra, las esclavas se sincronizan automáticamente.
Salvedad: si un registrador controla tu esclava, teóricamente pueden interceptar transferencias de zona o inyectar registros. Para operadores paranoides, ejecutar tu propia infraestructura esclava (vía un host blindado o caja co-ubicada) elimina ese intermediario. DNSSEC y RPKI no lo arreglan—firman los datos, no el canal de transferencia.
Alternativa moderna: IXFR (transferencia de zona incremental) reduce ancho de banda; algunos proveedores DNS usan sincronización propietaria en lugar de AXFR.