Comment configurer une zone de recherche inversée sous-réseau

  • Article

Cet article explique comment configurer une zone de recherche inversée sous-réseau.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 174419

Résumé

Remarque

La création de zones de recherche inversée déléguées sous-réseau n’est pas une tâche triviale. Il est important de comprendre le fonctionnement des zones DNS avant de tenter de créer des zones de recherche inversée sous-réseau. Il existe de nombreuses notes dans ce document auxquelles vous devez prêter une attention particulière. Il est recommandé d’essayer d’abord ces procédures dans un environnement de test avant de les déployer sur un réseau actif en raison de la facilité avec laquelle des erreurs peuvent se produire pendant la configuration.

La croissance rapide de la communauté Internet a créé la nécessité de sous-réseaur des réseaux IP complets en plus petites parties. Dans un environnement sous-réseau, les serveurs DNS peuvent facilement déléguer l’autorité des zones de recherche directe, car ils sont indépendants de l’infrastructure sous-réseau sous-jacente. Toutefois, en raison de la structure inverse des zones de recherche inversée et de leur dépendance stricte vis-à-vis de la structure de sous-réseau spécifique, la délégation de ces zones nécessite des considérations spéciales. Internet Engineering Task Force (IETF) a créé RFC 2317, « In-ADDR sans classe. Délégation ARPA », qui traite de ces considérations.

La délégation des zones de recherche inversée sous-réseau complète la possibilité de déléguer des zones de recherche directe. Cette flexibilité dans la propriété de zone vous permet, en tant qu’administrateur d’un domaine parent, de déléguer le contrôle d’un sous-domaine enfant et d’un sous-réseau d’adresses correspondant à un autre administrateur. À l’inverse, en tant qu’administrateur d’un domaine enfant, vous disposez désormais du contrôle nécessaire pour apporter des modifications aux enregistrements d’hôte DNS (A) ou aux enregistrements d’adresse IP (PTR) sans avoir à effectuer de demande de modification via le domaine parent.

Cet article explique comment configurer des zones de recherche inversée déléguées sous-réseau pour un serveur DNS Microsoft Windows.

Remarque

Le simple fait que votre environnement réseau est sous-réseau n’implique pas que votre serveur DNS doit être configuré de la manière décrite dans cet article. La création de zones de recherche inversée déléguées sous-réseau est un choix administratif uniquement . elle n’est pas uniquement dictée par l’infrastructure sous-réseau sous-jacente.

Plus d’informations

Un schéma d’adressage IP « classful » ne décompose pas un réseau IP en segments plus petits. Par exemple, une adresse de classe C de 192.168.1.0 avec un masque de sous-réseau de 255.255.255.0 est un schéma d’adressage IP de classe.

Un schéma d’adressage IP « sans classe » utilise un masque de sous-réseau pour diviser une adresse IP en segments plus petits. Par exemple, une adresse de classe C 192.168.1.0 avec un masque de sous-réseau de 255.255.255.192 est un schéma d’adressage IP sans classe. En plus de ce réseau, vous disposez également des adresses réseau IP suivantes : 192.168.1.64, 192.168.1.128 et 192.168.1.192.

Lors du sous-réseau de réseaux IP, des bits supplémentaires sont extraits de la partie hôte de l’adresse IP et attribués à la partie réseau. Cela est défini en ajoutant des bits supplémentaires au masque de sous-réseau. La valeur 1111111.111111111.11111111.00000000 nous montre un masque de sous-réseau classable pour un réseau de classe C de 255.255.255.0, tandis que la valeur 1111111.111111111.11111111.110000000 illustre le masque de sous-réseau sans classe 255.255.255.192. Par conséquent, à partir de l’exemple ci-dessus, nous savons que :

Si le masque de sous-réseau est Le nombre de bits du masque de sous-réseau est
255.255.255.128 25
255.255.255.192 26
255.255.255.224 27
255.255.255.240 28
255.255.255.248 29
255.255.255.252 30
255.255.255.254 31

Syntaxe

Les zones de recherche inversée déléguées avec sous-réseau peuvent être utilisées pour transférer le contrôle administratif entre n’importe quel in-ADDR parent et enfant. Zone ARPA dans le DNS. Les configurations courantes impliquent la délégation d’un isp (parent) à un site client (enfant) ou à un siège social d’entreprise (parent) qui délégue à un site distant d’entreprise (enfant). Étant donné que le scénario isP est le plus classique, il sera utilisé dans l’exemple suivant.

Lorsque vous créez des zones de recherche inversée sans classe, vous pouvez utiliser des notations telles que les suivantes :

<subnet-subnet>< mask bit count.100.168.192.in-addr.arpa> ou

<subnet>/<subnet mask bit count.100.168.192.in-addr.arpa> ou

<sous-réseau>.<subnet mask bit count.100.168.192.in-addr.arpa> ou

SubnetX<subnet.100.168.192.in-addr.arpa> (où X est le numéro de sous-réseau attribué par le parent) ou

<subnet.100.168.192.in-addr.arpa> Par exemple :64-26.100.168.192.in-addr.arpa ou

64/26.100.168.192.in-addr.arpa ou

64.26.100.168.192.in-addr.arpa ou

Subnet3.100.168.192.in-addr.arpa ou

64.100.168.192.in-addr.arpa
Cela indique que la zone de recherche inversée sous-réseau sous-réseau est le sous-réseau 64 qui utilise 26 bits pour son masque de sous-réseau.

Remarque

Si vous souhaitez effectuer des transferts de zone, entre le parent et l’enfant, vous devez case activée la syntaxe des fichiers qui seront transférés entre les serveurs DNS. Toutes les versions des serveurs DNS ne prennent pas en charge les différentes méthodes de syntaxe définies dans le RFC (trait d’union, barre oblique, etc.). Microsoft DNS prend en charge l’une de ces méthodes.

Remarque

La syntaxe choisie dans le domaine parent doit être identique à la syntaxe utilisée dans le domaine enfant.

Liste de contrôle

Le fait de remplir la liste de contrôle suivante facilite l’accès à ce document.

Liste de contrôle parente Liste de contrôle enfant
<Nom du serveur DNS parent> <Nom du serveur DNS enfant>
<Adresse IP du serveur DNS parent> <Adresse IP du serveur DNS enfant>
<masque de sous-réseau> <masque de sous-réseau>
<nombre de bits du masque de sous-réseau de syntaxe><de sous-réseau><> <nombre de bits du masque de sous-réseau de syntaxe><de sous-réseau><>

Voici l’exemple que nous allons utiliser d’un isp qui a pris une plage de classe C et l’a sous-réseauée en quatre sous-réseaux à l’aide du masque de sous-réseau 255.255.192. Les quatre sous-réseaux sont 192.168.100.0, 192.168.100.64, 192.168.100.128 et 192.168.100.192. Le sous-réseau délégué au site du client est la deuxième plage, c’est-à-dire le réseau 64 utilisant 65 à 126 pour les adresses IP de l’hôte.

Liste de contrôle parente Liste de contrôle enfant
NS.microsoft.com NS1.msn.com
192.168.43.8 192.168.100.126
255.255.255.192 255.255.255.192
0-26 64-26
64-26
128-26
192-26

Procédure pas à pas parente pour les environnements Windows 2000 et Windows Server 2003

Lancez la console MMC DNS (Microsoft Management Console). Sous la vue, passez de la vue standard à avancé. Mettez en surbrillance Zones de recherche inversée, cliquez avec le bouton droit et sélectionnez nouvelle zone. Sélectionnez Type de zone d’Active Directory Intégré ou Principal Standard, puis cliquez sur Suivant. Tapez l’ID réseau non sous-réseau (par exemple, 192.168.100) ou le nom de zone de recherche inversée (par exemple, 100.168.192.in-addr.arpa) pour l’adresse C de classe non sous-réseau, cliquez sur Suivant. Si vous avez sélectionné le fichier principal standard, vous pouvez créer un fichier de zone ou, s’il existe un fichier de zone existant, vous pouvez le placer dans le répertoire %systemroot%\winnt\system32\dns et le serveur le lit à partir de ce répertoire. Une fois la zone parente principale créée, cliquez avec le bouton droit sur la zone nouvellement créée, puis sélectionnez nouvelle délégation. Ajoutez la convention de nommage que vous choisissez comme parent pour la zone enfant déléguée, par exemple, 64-26. Veillez à communiquer cette convention de nommage à l’administrateur du domaine enfant. Consultez des exemples. Ajoutez le CNAME (ALIAS) RR (enregistrements de ressources) pour les appareils au sein de chacun des sous-réseaux. Par exemple :

65 CNAME 65.64-26.100.168.192.in-addr.arpa.

Remarque

Les mises à jour dynamiques pour les recherches inversées sous-réseau ne fonctionnent pas dans Windows 2000. Les enregistrements doivent être ajoutés manuellement. L’utilisation de la case « Créer un enregistrement PTR associé » ne fonctionne pas pour la zone de recherche inversée sous-réseau lorsque l’enregistrement « A » (hôte) est créé via l’interface graphique graphique.

Procédure pas à pas parente pour les environnements Windows NT 4.0

Remarque

Microsoft DNS Manager peut être utilisé pour configurer la zone de recherche inversée pour ce serveur de noms, ainsi que la ou les zones de recherche inversée sous-réseau. Une fois la zone in-addr.arpa et la ou les zones in-addr.arpa sous-réseau créées, les fichiers doivent être modifiés manuellement pour inclure les enregistrements NS, CNAME et PTR dans chaque fichier de zone.

Remarque

Plusieurs prérequis sont supposés dans cet exemple. Il est supposé que le serveur MICROSOFT DNS a été installé et que les propriétés TCP/IP (adresse IP, masque de sous-réseau, passerelle par défaut, etc.) ont été configurées correctement.

  1. Appliquez la dernière version du Service Pack Microsoft Windows NT.

  2. Redémarrez votre ordinateur lorsque vous y êtes invité.

  3. Cliquez sur Démarrer, sélectionnez Programmes, Outils d’administration, puis cliquez sur Gestionnaire DNS.

  4. Dans le menu DNS, cliquez sur Nouveau serveur, tapez l’adresse IP ou le nom d’hôte de votre serveur DNS, puis cliquez sur OK.

  5. Créez la zone de recherche inversée sans sous-réseau en procédant comme suit :

    1. Cliquez sur votre serveur DNS, puis cliquez sur Nouvelle zone dans le menu DNS.
    2. Cliquez sur la case d’option Principale dans la boîte de dialogue Création d’une nouvelle zone, puis cliquez sur Suivant.
    3. Tapez 100.168.192.in-addr.arpa dans la zone de texte Nom de la zone, puis appuyez sur TAB.
    4. La zone de texte Fichier de zone doit être automatiquement remplie avec 100.168.192.in-addr.arpa.dns.
    5. Cliquez sur Terminer.

  6. Une fois que vous avez terminé de créer les zones, arrêtez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez Serveur Microsoft DNS dans la liste Service, puis cliquez sur Arrêter.
    • Tapez la commande suivante à l’invite de commandes et appuyez sur Entrée :
      NET STOP DNS

    Remarque

    Il est important d’arrêter le service DNS avant de modifier les fichiers de zone, sinon vous risquez de perdre des informations enregistrées manuellement.

  7. Avec un éditeur de texte, ouvrez le fichier de zone de recherche inversée sans sous-réseau que vous avez créé. Nous devons maintenant ajouter un enregistrement NS qui délègue un sous-réseau au serveur DNS enfant. Ajoutez ce qui suit à la fin du fichier :

    ; Commencer les commentaires de délégation
    ;
    <sous-réseau><syntaxe><sous-réseau masque nombre de> bits nom du serveur DNS enfant NS <>
    ; Fin de la délégation

    Notre exemple se présente comme suit :

    ; Sous-zone de début de la délégation : 64-26.100.168.192.in-addr.arpa.
    ;
    64-26 NSNS1.msn.com.
    ; Fin de la délégation

  8. Il est maintenant nécessaire de créer un enregistrement CNAME pour chaque adresse de la plage déléguée sous-réseau. Notre exemple ressemble à ceci :

    65 CNAME 65.64-26.100.168.192.in-addr.arpa.
    66 CNAME 66.64-26.100.168.192.in-addr.arpa.
    67 CNAME 67.64-26.100.168.192.in-addr.arpa.
    68 CNAME 68.64-26.100.168.192.in-addr.arpa.
    69 CNAME 69.64-26.100.168.192.in-addr.arpa.
    ...
    126 CNAME 126.64-26.100.168.192.in-addr.arpa.

    Remarque

    L’ellipse, « ... », indique les adresses IP uniques et les hôtes entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.

  9. En répétant les étapes 7 et 8, vous pouvez déléguer des zones sous-réseau supplémentaires.

  10. Une fois les enregistrements NS et CNAME entrés, enregistrez et quittez le fichier.

  11. Démarrez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez Serveur Microsoft DNS dans la liste Service, puis cliquez sur Démarrer.
    • Tapez la commande suivante à l’invite de commandes et appuyez sur Entrée :
      NET START DNS

Procédure pas à pas enfant pour les environnements Windows 2000 et Windows Server 2003

  1. Lancez la console MMC DNS (Microsoft Management Console).

  2. Sous la vue, passez de la vue standard à avancé.

  3. Mettez en surbrillance Zones de recherche inversée, cliquez avec le bouton droit, puis sélectionnez nouvelle zone.

  4. Sélectionnez Type de zone d’Active Directory Intégré ou Principal Standard, puis cliquez sur Suivant.

  5. Sélectionnez l’option « Nom de la zone de recherche inversée ». Tapez le nom de la zone de recherche inversée, par exemple 64-26.100.168.192.in-addr.arpa pour l’adresse de classe C sous-réseau. Veillez à utiliser la convention de nommage fournie par l’administrateur du domaine parent, cliquez sur Suivant.

  6. Si vous avez sélectionné le fichier principal standard, vous pouvez créer un fichier de zone ou, s’il existe un fichier de zone existant, vous pouvez le placer dans le répertoire %systemroot%\winnt\system32\dns et le serveur le lit à partir de ce répertoire.

  7. Ajoutez manuellement votre PTR (enregistrements de pointeur) comme vous le feriez pour toute zone de recherche inversée.

    Par exemple :
    65 PTR host65.msn.com

  8. Vous devrez peut-être configurer le ou les serveurs DNS enfants, qui hébergent la zone déléguée, pour les transférer aux serveurs DNS parents. Ce processus permet aux serveurs DNS enfants de résoudre les enregistrements dans les zones hébergées par les serveurs DNS parents.

Procédure pas à pas enfant pour les environnements Windows NT 4.0

  1. Appliquez la dernière version du Service Pack Microsoft Windows NT.

  2. Redémarrez votre ordinateur lorsque vous y êtes invité.

  3. Cliquez sur Démarrer, sélectionnez Programmes, Outils d’administration, puis cliquez sur Gestionnaire DNS.

  4. Dans le menu DNS, cliquez sur Nouveau serveur, tapez l’adresse IP ou le nom d’hôte de votre serveur DNS, puis cliquez sur OK.

  5. Créez une zone de recherche inversée sous-réseau en procédant comme suit :

    1. Cliquez sur votre serveur DNS, puis cliquez sur Nouvelle zone dans le menu DNS.

    2. Cliquez sur la case d’option Principale dans la boîte de dialogue Création d’une nouvelle zone, puis cliquez sur Suivant.

    3. Selon la syntaxe choisie au niveau du parent, sélectionnez l’une des paires répertoriées ci-dessous. Pour notre exemple, nous allons taper « 64-26.100.168.192.in-addr.arpa » (sans les guillemets) dans la zone de texte Nom de la zone, puis appuyez sur Tab.

      Nom de la zone : 64-26.100.168.192.in-addr.arpa Fichier de zone : 64-26.100.168.192.in-addr.arpa.dns ou

      Nom de la zone : 64/26.100.168.192.in-addr.arpa Fichier de zone : 64.26.100.168.192.in-addr.arpa.dns ou

      Nom de la zone : 64.26.100.168.192.in-addr.arpa Fichier de zone : 64.26.100.168.192.in-addr.arpa.dns ou

      Nom de la zone : 64.100.168.192.in-addr.arpa Fichier de zone : 64.100.168.192.in-addr.arpa.dns ou

      Nom de la zone : Subnet64.100.168.192.in-addr.arpa Fichier de zone : Subnet64.100.168.192.in-addr.arpa.dns ou

      Remarque

      L’administrateur DNS Microsoft remplit automatiquement le champ Nom de fichier lors de la création de zones. Si vous utilisez la syntaxe « / », veillez à modifier le nom de fichier et à remplacer le caractère « / », car le système de fichiers sous-jacent n’autorise pas un « / » dans le nom de fichier. Remplacez simplement la barre oblique dans le nom de fichier par un autre caractère tel que celui suggéré dans le deuxième exemple ci-dessus (64.26.100.168.192.in-addr.arpa.dns).

    4. La zone de texte Fichier de zone doit être automatiquement remplie avec 64-26.100.168.192.in-addr.arpa.dns.

    5. Cliquez sur Terminer.

    6. Répétez les étapes a à e pour que tous les sous-réseaux supplémentaires vous soient délégués.

  6. Une fois que vous avez terminé de créer les zones, arrêtez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, sélectionnez Paramètres, cliquez sur Panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez Serveur Microsoft DNS dans la liste Service, puis cliquez sur Arrêter.
    • Tapez la commande suivante à l’invite de commandes et appuyez sur Entrée :
      NET STOP DNS

    Remarque

    Il est important d’arrêter le service DNS avant de modifier les fichiers de zone, sinon vous risquez de perdre des informations enregistrées manuellement.

  7. Ouvrez le fichier de zone de recherche inversée sous-réseau à l’aide d’un éditeur de texte. Il est maintenant nécessaire de créer les enregistrements PTR pour chaque adresse dans la plage déléguée avec sous-réseau. Ajoutez ce qui suit à la fin du fichier :

    65 PTR host65.msn.com.
    66 PTR host66.msn.com.
    67 PTR host67.msn.com.
    ...
    126 PTR host126.msn.com.

    Remarque

    L’ellipse, « ... », indique les adresses IP uniques et les hôtes entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.

  8. Une fois les enregistrements PTR entrés, enregistrez et quittez le fichier.

  9. Redémarrez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez Serveur Microsoft DNS dans la liste Service, puis cliquez sur Démarrer.
    • Tapez la commande suivante à l’invite de commandes et appuyez sur Entrée : NET START DNS

  10. Les hôtes sur Internet doivent maintenant être en mesure d’effectuer une recherche inversée pour les adresses IP dans la zone de recherche inversée déléguée. Une dernière série d’étapes est nécessaire pour que les hôtes qui utilisent le DNS du site client puissent effectuer correctement les recherches inversées. Il est nécessaire qu’une copie de la zone sans sous-réseau soit présente sur le serveur DNS de domaine enfant. Le moyen le plus simple de le faire est de devenir une zone secondaire pour le fai. Créez la zone secondaire en procédant comme suit :

    1. Cliquez sur votre serveur DNS, puis cliquez sur Nouvelle zone dans le menu DNS.
    2. Cliquez sur la case d’option Secondaire dans la boîte de dialogue Création d’une nouvelle zone.
    3. Pour Zone : entrez 100.168.192.in-addr.arpa et pour Serveur : entrez l’adresse IP> du <serveur DNS parent. Pour notre exemple, il s’agit de 192.168.43.8. Cliquez sur Suivant.
    4. Pour Nom de la zone : entrez 100.168.192.in-addr.arpa et pour Fichier de zone : entrez 100.168.192.in-addr.arpa.dns. Cliquez sur Suivant.
    5. Dans le champ Maîtres d’adresses IP, entrez à nouveau l’adresse IP> du <serveur DNS parent. Pour notre exemple, il s’agit de 192.168.43.8. Cliquez sur Ajouter, sur Suivant, puis sur Terminer.

  11. Vous devrez peut-être configurer le ou les serveurs DNS enfants, qui hébergent la zone déléguée, pour les transférer aux serveurs DNS parents. Ce processus permet aux serveurs DNS enfants de résoudre les enregistrements dans les zones hébergées par les serveurs DNS parents.

Exemples de fichiers de zone

Fichier de zone de recherche inversée sous-réseau parent

;
; Fichier de base de données 100.168.192.in-addr.arpa.dns pour la zone 100.168.192.in-addr.arpa.
; Version de zone : 4
;

@ IN SOA NS.microsoft.com. administrator.microsoft.com. (
4 ; numéro de série
3600 ; Actualiser
600 ; Réessayer
86400 ; Expirer
3600 ); durée de vie minimale

;
; Enregistrements de zone NS
;

@ NSNS.microsoft.com.

;
; Enregistrements de zone
;

;
; Sous-zone déléguée : 64-26.100.168.192.in-addr.arpa.
;
64-26 NSNS1.msn.com.
; Fin de la délégation

65 CNAME65.64-26.100.168.192.in-addr.arpa.
66 CNAME66.64-26.100.168.192.in-addr.arpa.
67 CNAME67.64-26.100.168.192.in-addr.arpa.
...
126 CNAME67.64-26.100.168.192.in-addr.arpa.

Remarque

L’ellipse, « ... », indique les adresses IP uniques et les hôtes entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.

Fichier de zone de recherche inversée sous-réseau enfant

;
; Fichier de base de données 64-26.100.168.192.in-addr.arpa.dns pour la zone 64-26.100.168.192.in-addr.arpa.
; Version de zone : 1
;

@ IN SOA NS1.msn.com. administrator.msn.com. (
1 ; numéro de série
3600 ; Actualiser
600 ; Réessayer
86400 ; Expirer
3600 ); durée de vie minimale

;
; Enregistrements de zone NS
;

@ NSNS1.msn.com.

;
; Enregistrements de zone
;

65 PTR host65.msn.com.
66 PTR host66.msn.com.
67 PTR host67.msn.com.
...
126 PTR host126.msn.com.

Remarque

Là encore, dans les exemples ci-dessus, les points de suspension indiquent les adresses IP omises comprises entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.