Como configurar uma zona de procura inversa sub-recída em Windows NT, Windows 2000 ou Windows Server 2003


Resumo


Nota Criar zonas de procura inversa sub-recí proibidas delegadas não é uma tarefa trivial. É importante entender como as zonas de DNS funcionam antes de tentar criar zonas de pesquisa inversa sub-recímosas. Ao longo deste documento existem numerosas notas a que deve prestar muita atenção. Recomenda-se que tente primeiro estes procedimentos num ambiente de teste antes de os implementar numa rede em direto devido à facilidade com que podem ocorrer erros durante a configuração. O rápido crescimento da comunidade da Internet criou a necessidade de sub-rede de redes IP completas em porções menores. Num ambiente sub-rectado, os servidores DNS podem facilmente delegar autoridade de zonas de procura avançada porque são independentes da infraestrutura sub-reencaminhada subjacente. No entanto, devido à estrutura inversa das zonas de procura inversa e à sua estrita dependência da estrutura específica da sub-rede, a delegação destas zonas requer considerações especiais. A Força-Tarefa de Engenharia da Internet (IETF) criou o RFC 2317, "IN-ADDR sem classe. Delegação da ARPA", que aborda estas considerações. Delegando zonas de procura inversa sub-recímostas complementa a capacidade de delegar zonas de procura avançada. Esta flexibilidade na propriedade da zona permite-lhe, como administrador de um domínio-mãe, delegar o controlo de um subdomínio infantil e de uma sub-rede correspondente de endereços a outro administrador. Inversamente, como administrador de um domínio infantil, tem agora o controlo necessário para então fazer alterações nos registos do anfitrião DNS (A) ou no endereço IP (PTR) sem ter de fazer um pedido de alteração através do domínio dos pais. Este artigo discute como configurar zonas de pesquisa reversas sub-recítadas delegadas para um servidor DNS do Microsoft Windows.Nota Simplesmente porque o ambiente de rede está sub-rede não implica que o seu servidor DNS tenha de ser configurado da forma descrita neste artigo. A criação de zonas de procura inversa sub-recímosas delegadas é apenas uma escolha administrativa; não é ditado apenas pela infraestrutura sub-rede subjacente.

Mais Informações


Um esquema de endereçamento IP "de classe" é aquele que não quebra uma rede IP em segmentos menores. Por exemplo, um endereço de classe C de 192.168.1.0 com uma máscara de sub-rede de 255.255.255.0 é um esquema de endereçamento IP de classe. Um esquema de endereçamento IP "sem classe" é aquele que usa uma máscara de sub-rede para dividir um endereço IP em segmentos menores. Por exemplo, um endereço de classe C de 192.168.1.0 com uma máscara de sub-rede de 255.255.255.192 é um esquema de endereçamento IP sem classe. Juntamente com esta rede, também terá os seguintes endereços de rede IP: 192.168.1.64, 192.168.1.128 e 192.168.1.192.Quando a rede de sub-rede ip, são retiradas bits adicionais da parte hospedeira do endereço IP e entregues à parte da rede. Isto é definido adicionando bits adicionais à máscara de sub-rede. O valor 111111111.1111111.1111111.00000000000 mostra-nos uma máscara de sub-rede de classe C de 255.255.255.0, enquanto o valor 111111111.1111111.1111111.110000000 ilustra a máscara de sub-rede sem classe de 255.255.255.192. Portanto, pelo exemplo acima, sabemos que:
If the subnet mask is   The subnet mask bit-count is   ---------------------   ----------------------------   255.255.255.128          25   255.255.255.192          26   255.255.255.224          27   255.255.255.240          28   255.255.255.248          29   255.255.255.252          30   255.255.255.254          31 

A sintaxe

As zonas de procura inversa sub-recínceneas delegadas podem ser utilizadas para transferir o controlo administrativo entre qualquer pai e filho IN-ADDR. Zona ARPA no DNS. As configurações comuns envolvem um ISP (Pai) delegando a um Site de Cliente (Criança) ou uma Sede Corporativa (Parent) delegando para um Site Remoto Corporativo (Criança). Como o cenário ISP é mais típico, será usado no exemplo seguinte. Ao criar zonas de procura inversa sem classe, pode utilizar notação como:
<sub-rede>-<contagem de bits de máscara sub-rede>.100.168.192.in-addr.arpa ou<sub-rede>/<contagem de bits de máscara de sub-rede>.100.168.192.in-addr.arpa ou<sub-rede>.<bit de máscara de sub-rede contagem>.100.168.192.in-addr.arpa ou SubsubnetX<sub-rede>.100.168.192.in-addr.arpa (onde X é o número da sub-rede atribuído pelo progenitor) ou<sub-rede>.100.168.192.in-addr.arpa
Por exemplo:
64-26.100.168.192.in-addr.arpa or64/26.100.168.192.in-addr.arpa or64.26.100.168.192.in-addr.arpa orSubnet3.100.168.192.in-addr.arpa or64.100.168.192.in-addr.arpa
Isto indica que a zona de procura inversa sub-recítada é a sub-rede de 64 que está a usar 26 bits para a sua máscara de sub-rede.Nota Se estiver a realizar quaisquer Transferências de Zona, entre pais e filhos, tem de verificar a sintaxe dos ficheiros que serão transferidos entre servidores DNS. Nem todas as versões dos servidores DNS suportam os vários métodos de sintaxe definidos no RFC (o hífen, o corte, etc.). O DNS da Microsoft irá suportar qualquer um destes métodos.Nota Qualquer sintaxe escolhida no domínio dos pais DEVE ser idêntica à sintaxe utilizada no domínio Child.

A lista de verificação

O preenchimento da seguinte lista de verificação facilitará a passagem por este documento.
Parent Checklist                         Child Checklist ----------------                         --------------- <Parent DNS server name>                 <Child DNS server name> <Parent DNS server IP>                   <Child DNS server IP> <subnet mask>                            <subnet mask> <subnet><syntax><subnet mask bit count>  <subnet><syntax><subnet  mask bit                                           count> 
Aqui está o exemplo que iremos utilizar de um ISP que pegou numa gama de classe C e a subcotado em 4 sub-redes utilizando a máscara de sub-rede 255.255.255.192. As 4 subredes são 192.168.100.0, 192.168.100.64, 192.168.100.128 e 192.168.100.192. A sub-rede que está a ser delegada no Site do Cliente é a segunda gama, que é a rede 64 utilizando 65-126 para os endereços IP do anfitrião.
Parent Checklist       Child Checklist   ----------------       ---------------   NS.microsoft.com       NS1.msn.com   192.168.43.8           192.168.100.126   255.255.255.192        255.255.255.192   0-26                   64-26   64-26   128-26   192-26 

A passagem dos pais para ambientes Windows 2000 e Windows Server 2003

Lançar o DNS MMC (Consola de Gestão da Microsoft). Em vista, mude de vista padrão para avançado. Realce as Zonas de Procura inversa, clique à direita e selecione nova zona. Selecione Zone Type of Ative Directory Integrated or Standard Primary, clique em seguida. Digite o ID da rede não sub-recímos (por exemplo, 192.168.100) ou o nome da zona de procura inversa (por exemplo, 100.168.192.in-addr.arpa) para o endereço classe C não sub-recítado, clique em seguida. Se selecionou o padrão primário, pode criar um novo ficheiro de zona ou se houver um ficheiro de zona existente, pode colocá-lo no diretório %systemroot%\winnt\system32\dns e o servidor lê-o a partir desse diretório. Assim que a zona principal dos pais for criada, clique direito na zona recém-criada e selecione nova delegação. Adicione a convenção de nomeação que escolher como pai para a zona infantil delegada (por exemplo, 64-26). Certifique-se de que comunica essa convenção de nomeação ao administrador do domínio infantil. Veja os exemplos. Adicione o RR CNAME (ALIAS) (registos de recursos) para os dispositivos dentro de cada uma das sub-redes. Por exemplo:
65 CNAME 65.64-26.100.168.192.in-addr.arpa.
Nota As atualizações dinâmicas para as análises inversas sub-recímos não funcionam no Windows 2000. Os registos terão de ser adicionados manualmente. A utilização da caixa de verificação "Create Associated PTR record" não funcionará para a zona de procura inversa sub-recímosa quando o registo "A" (anfitrião) for criado através do GUI.

O passo dos pais para ambientes Windows NT 4.0

Nota O Gestor DNS da Microsoft pode ser utilizado para configurar a zona de procura inversa para esse servidor de nomes, bem como para a zona ou zonas de procura inversa sub-recímostas. Após a criação da zona in-addr.arpa e da zona(s) sub-recídato in addr.arpa, os ficheiros terão de ser editados manualmente para incluir os registos NS, CNAME e PTR em cada ficheiro de zona.Nota Neste exemplo, são assumidos vários pré-requisitos. Presume-se que o servidor DNS da Microsoft foi instalado e que as propriedades TCP/IP (Endereço IP, Máscara de Sub-rede, Gateway Padrão, e assim por diante) foram configuradas corretamente.
  1. Aplique o mais recente Microsoft Windows NT Service Pack.
  2. Reinicie o computador quando solicitado.
  3. Clique em Iniciar,selecione Programas,selecione Ferramentas Administrativase, em seguida, clique em DNS Manager.
  4. No menu DNS, clique em Novo Servidor,digite o endereço IP ou o nome de anfitrião do seu servidor DNS e, em seguida, clique em OK.
  5. Criar a zona de procura inversa não sub-recímosta utilizando os seguintes passos:
    1. Clique no servidor DNS e, em seguida, clique em Nova Zona no menu DNS.
    2. Clique no botão de rádio Primário na caixa de diálogo 'Criar Nova Zona' e, em seguida, clique em Seguinte.
    3. Digite 100.168.192.in-addr.arpa na caixa de texto 'Nome da zona' e, em seguida, prima TAB.
    4. A caixa de texto Zone File deve ser automaticamente povoada com 100.168.192.in-addr.arpa.dns.
    5. Clique em Concluir.
  6. Quando terminar de criar as zonas, pare o Servidor DNS utilizando qualquer um dos seguintes métodos:
    • Clique em Iniciar,aponte para Definições,clique em Painel de Controloe, em seguida, clique duas vezes no ícone Serviços. Selecione o Servidor DNS da Microsoft na lista de serviço e clique em Parar.
    • Digite o seguinte num pedido de comando e prima Enter:
      NET STOP DNS 
    Nota É importante parar o serviço DNS antes de editar os ficheiros Zone ou pode perder informações gravadas manualmente.
  7. Com um editor de texto, abra o ficheiro de zona de pesquisa inversa não sub-recítado que acaba de criar. Precisamos agora de adicionar um registo NS que delegará uma sub-rede para o servidor DNS infantil. Adicione o seguinte ao fim do ficheiro:
    ;  Begin Delegation comments;<subnet><syntax><subnet mask bit count>        NS     <Child DNS server name>;  End delegation 
    O nosso exemplo será assim:
    ;  Begin Delegation sub-zone:  64-26.100.168.192.in-addr.arpa.;64-26                   NSNS1.msn.com.;  End delegation 
  8. É agora necessário criar registos CNAME para cada endereço na gama sub-recíminada delegada. O nosso exemplo é o seguinte:
    65    CNAME    65.64-26.100.168.192.in-addr.arpa.      66    CNAME    66.64-26.100.168.192.in-addr.arpa.      67    CNAME    67.64-26.100.168.192.in-addr.arpa.      68    CNAME    68.64-26.100.168.192.in-addr.arpa.      69    CNAME    69.64-26.100.168.192.in-addr.arpa.      ...      126   CNAME    126.64-26.100.168.192.in-addr.arpa. 
    Nota A elipse, "...", indica os endereços IP exclusivos e anfitriões entre 67 e 126. As elipses não são válidas no ficheiro.
  9. Ao repetir os passos 7 e 8, pode delegar quaisquer zonas sub-recí proibidas adicionais.
  10. Depois de terem sido introduzidos os registos NS e CNAME, guarde e saia do ficheiro.
  11. Inicie o servidor DNS utilizando um dos seguintes métodos:
    • Clique em Iniciar,aponte para Definições,clique em Painel de Controloe, em seguida, clique duas vezes no ícone Serviços. Selecione o Servidor DNS da Microsoft na lista de serviço e clique em Iniciar.
    • Digite o seguinte num pedido de comando e prima Enter:
      NET START DNS 

A passagem infantil para ambientes windows 2000 e Windows Server 2003

  1. Lançar o DNS MMC (Consola de Gestão da Microsoft).
  2. Em vista, mude de vista padrão para avançado.
  3. Realce as Zonas de Procura inversa, clique à direita e selecione nova zona.
  4. Selecione Tipo de Zona de Diretório Ativo Integrado ou Primário Padrão, clique em seguida.
  5. Selecione a opção para o nome "Inverter o nome da zona de procuração". Digite o nome da zona de procura inversa (por exemplo, 64-26.100.168.192.in-addr.arpa) para o endereço de classe C sub-recímoso. Certifique-se de que utiliza a convenção de nomeação fornecida pelo administrador do domínio dos pais, clique em seguida.
  6. Se selecionou o padrão primário, pode criar um novo ficheiro de zona ou se houver um ficheiro de zona existente, pode colocá-lo no diretório %systemroot%\winnt\system32\dns e o servidor lê-o a partir desse diretório.
  7. Adicione manualmente o seu PTR (registos de ponteiro) como se fosse uma zona de procura inversa. Por exemplo:
    65 host65.msn.com PTR
  8. Pode ter de configurar o servidor DNS da criança, que está a hospedar a zona delegada, para encaminhar para os servidores DNS dos pais. Isto permite que os servidores DNS para crianças resolvam os registos nas zonas hospedadas pelos servidores DNS dos pais.

A passagem infantil para ambientes Windows NT 4.0

  1. Aplique o mais recente Microsoft Windows NT Service Pack.
  2. Reinicie o computador quando solicitado.
  3. Clique em Iniciar,selecione Programas,selecione Ferramentas Administrativase, em seguida, clique em DNS Manager.
  4. No menu DNS, clique em Novo Servidor,digite o endereço IP ou o nome de anfitrião do seu servidor DNS e, em seguida, clique em OK.
  5. Criar uma zona de procura inversa sub-recídata utilizando os seguintes passos:
    1. Clique no servidor DNS e, em seguida, clique em Nova Zona no menu DNS.
    2. Clique no botão de rádio Primário na caixa de diálogo 'Criar Nova Zona' e, em seguida, clique em Seguinte.
    3. Dependendo da sintaxe escolhida no Parent, selecione um dos pares listados abaixo. Para o nosso exemplo, escreveremos "64-26.100.168.192.in-addr.arpa" (sem as aspas) na caixa de texto 'Zone Name' e, em seguida, pressionaremos o separador.
      Zone Name: 64-26.100.168.192.in-addr.arpa         Zone File: 64-26.100.168.192.in-addr.arpa.dns or         Zone Name: 64/26.100.168.192.in-addr.arpa         Zone File: 64.26.100.168.192.in-addr.arpa.dns or         Zone Name: 64.26.100.168.192.in-addr.arpa         Zone file: 64.26.100.168.192.in-addr.arpa.dns or         Zone Name: 64.100.168.192.in-addr.arpa         Zone file: 64.100.168.192.in-addr.arpa.dns or         Zone Name: Subnet64.100.168.192.in-addr.arpa         Zone file: Subnet64.100.168.192.in-addr.arpa.dns or 
      Nota O Administrador DNS da Microsoft preencherá automaticamente o campo Nome de Ficheiros ao criar zonas. Se utilizar a sintaxe "/", certifique-se de alterar o nome de ficheiro e substituir o caracteres "/" porque o sistema de ficheiros subjacente não permitirá um "/" no nome do ficheiro. Basta substituir o carácter de corte no nome de ficheiro por outro personagem, como o sugerido no segundo exemplo acima (64.26.100.168.192.in-addr.arpa.dns).
    4. A caixa de texto Zone File deve ser automaticamente povoada com 64-26.100.168.192.in-addr.arpa.dns.
    5. Clique em Concluir.
    6. Repita os passos a através de e, para que quaisquer sub-redes adicionais sejam delegadas a si.
  6. Quando terminar de criar as zonas, pare o servidor DNS utilizando qualquer um dos seguintes métodos:
    • Clique em Iniciar,selecione Definições,clique em Painel de Controloe, em seguida, clique duas vezes no ícone Serviços. Selecione o Servidor DNS da Microsoft na lista de serviço e clique em Parar.
    • Digite o seguinte num pedido de comando e prima Enter:
      NET STOP DNS 
    Nota É importante parar o serviço DNS antes de editar os ficheiros Zone ou pode perder informações gravadas manualmente.
  7. Abra o ficheiro de zona de procura inversa sub-rectado utilizando um editor de texto. É agora necessário criar os registos PTR para cada endereço na gama sub-rede delegada. Adicione o seguinte ao fim do ficheiro:
    65                      PTR     host65.msn.com.      66                      PTR     host66.msn.com.      67                      PTR     host67.msn.com.      ...      126                     PTR     host126.msn.com. 
    Nota A elipse, "...", indica os endereços IP exclusivos e anfitriões entre 67 e 126. As elipses não são válidas no ficheiro.
  8. Depois de os registos PTR terem sido introduzidos, guarde e saia do ficheiro.
  9. Reinicie o servidor DNS utilizando um dos seguintes métodos:
    • Clique em Iniciar, aponte para Definições, clique em Painel de Controlo e, em seguida, clique duas vezes no ícone Serviços. Selecione o Servidor DNS da Microsoft na lista de serviço e clique em Iniciar.
    • Digite o seguinte num pedido de comando e prima Enter:
      NET START DNS 
  10. Os anfitriões na Internet devem agora ser capazes de realizar uma pesquisa inversa para endereços IP na zona de pesquisa reversa delegada. Uma última série de passos é necessária para que os anfitriões que utilizam o DNS do Site do Cliente possam realizar corretamente as pesquisas inversas. É necessário que uma cópia da zona não sub-recída em rede esteja presente no servidor DNS de domínio infantil. A maneira mais fácil de o fazer é tornar-se uma zona secundária para o ISP. Criar a zona secundária utilizando os seguintes passos:
    1. Clique no servidor DNS e, em seguida, clique em Nova Zona no menu DNS.
    2. Clique no botão de rádio secundário na caixa de diálogo Creating New Zone.
    3. Para a Zona: introduza 100.168.192.in-addr.arpa e para Server: introduza o> IP do servidor <DOS Pais DNS. Para nós, o 192.168.43.8. Clique em Seguinte.
    4. Para o Nome da Zona: insira 100.168.192.in-addr.arpa e para o Ficheiro de Zona: insira 100.168.192.in-addr.arpa.dns. Clique em Seguinte.
    5. No campo IP Masters, introduza novamente o> IP do servidor <DS. Para nós, o 192.168.43.8. Clique em Adicionar,Clique em Seguintee, em seguida, Clique em Terminar.
  11. Pode ter de configurar o servidor DNS da criança, que está a hospedar a zona delegada, para encaminhar para os servidores DNS dos pais. Isto permite que os servidores DNS para crianças resolvam os registos nas zonas hospedadas pelos servidores DNS dos pais.

Ficheiros de zona de amostra

Parent sub-recnetted reverse lookup zone file

;;  Database file 100.168.192.in-addr.arpa.dns for 100.168.192.in-addr.arpa zone.;      Zone version:  4;@                       IN  SOA NS.microsoft.com. administrator.microsoft.com. (                        4           ; serial number                        3600        ; refresh                        600         ; retry                        86400       ; expire                        3600      ) ; minimum TTL;;  Zone NS records;@                       NSNS.microsoft.com.;;  Zone records;;;  Delegated sub-zone:  64-26.100.168.192.in-addr.arpa.;64-26                   NSNS1.msn.com.;  End delegation65                      CNAME65.64-26.100.168.192.in-addr.arpa.66                      CNAME66.64-26.100.168.192.in-addr.arpa.67                      CNAME67.64-26.100.168.192.in-addr.arpa....126                    CNAME67.64-26.100.168.192.in-addr.arpa. 
Nota A elipse, "...", indica os endereços IP exclusivos e anfitriões entre 67 e 126. As elipses não são válidas no ficheiro.

Criança sub-recímos ficheiro de zona de pesquisa inversa

;;  Database file 64-26.100.168.192.in-addr.arpa.dns for 64-26.100.168.192.in-addr.arpa zone.;      Zone version:  1;@                       IN  SOA NS1.msn.com. administrator.msn.com. (                        1           ; serial number                        3600        ; refresh                        600         ; retry                        86400       ; expire                        3600      ) ; minimum TTL;;  Zone NS records;@                       NSNS1.msn.com.;;  Zone records;65                      PTR     host65.msn.com.66                      PTR     host66.msn.com.67                      PTR     host67.msn.com....126                    PTR     host126.msn.com. 
Nota Mais uma vez, nos exemplos acima, as elipses indicam os endereços IP omitidos entre 67 e 126. As elipses não são válidas no ficheiro.

Referências


Para obter informações adicionais sobre o DNS, consulte o seguinte livro branco disponível no servidor ftp anónimo da Microsoft:File Name: Dnswp.exeLocation: Título: "DNS e Microsoft Windows NT 4.0" Para mais informações sobre IN-ADDR sem classe. Delegação ARPA, ver RFC 2317. Para obter mais informações sobre como obter este RFC, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento da Microsoft:
185262 Como obter documentos de pedido de comentários da Internet