Настройка зоны обратного подстановки

  • Статья

В этой статье описывается настройка зоны обратного просмотра подсети.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 174419

Сводка

Примечание.

Создание делегированных зон обратного подсети не является простой задачей. Важно понять, как работают зоны DNS, прежде чем пытаться создать зоны обратного просмотра с подсетью. В этом документе есть множество примечаний, на которые следует обратить пристальное внимание. Рекомендуется сначала выполнить эти процедуры в тестовой среде, прежде чем развертывать их в динамической сети, так как во время настройки могут возникать ошибки.

Быстрый рост интернет-сообщества создал необходимость подсети полных IP-сетей на более мелкие части. В подсетной среде DNS-серверы могут легко делегировать полномочия зон прямого просмотра, так как они не зависят от базовой инфраструктуры подсети. Однако из-за обратной структуры зон обратного просмотра и их строгой зависимости от конкретной структуры подсети делегирование этих зон требует особых соображений. Целевая группа по разработке Интернета (IETF) создала RFC 2317 , "Бесклассовый IN-ADDR. Делегирование ARPA", в котором рассматриваются эти вопросы.

Делегирование зон обратного просмотра подсети дополняет возможность делегирования зон прямого просмотра. Такая гибкость владения зонами позволяет как администратору родительского домена делегировать управление дочерним поддоменом и соответствующей подсетью адресов другому администратору. И наоборот, как администратор дочернего домена, теперь у вас есть необходимый контроль, чтобы внести изменения в записи узла DNS (A) или IP-адреса (PTR) без запроса на изменение через родительский домен.

В этой статье описывается настройка делегированных зон обратного подсети для DNS-сервера Microsoft Windows.

Примечание.

Просто потому, что ваша сетевая среда является подсетью, не означает, что DNS-сервер должен быть настроен таким образом, как описано в этой статье. Создание делегированных зон обратного подсети — это только административный выбор; это не только продиктовано базовой инфраструктурой подсети.

Дополнительная информация

Схема "классной" IP-адресации — это схема, которая не разбивает IP-сеть на более мелкие сегменты. Например, адрес класса C 192.168.1.0 с маской подсети 255.255.255.0 является схемой классной IP-адресации.

Схема "бесклассовой" IP-адресации — это схема, которая использует маску подсети для разделения IP-адреса на более мелкие сегменты. Например, адрес класса C 192.168.1.0 с маской подсети 255.255.255.192 является схемой ip-адресации без классов. Наряду с этой сетью у вас также будут следующие IP-адреса: 192.168.1.64, 192.168.1.128 и 192.168.1.192.

При подсети IP-сетей дополнительные биты берутся из части узла IP-адреса и отправляются в сетевую часть. Это определяется путем добавления дополнительных битов в маску подсети. Значение 11111111.11111111.111111.00000000000 для сети класса C 255.255.255.0. значение 11111111.1111111.1111111.1100000000 иллюстрирует маску подсети 255.255.255.255.192. Таким образом, из приведенного выше примера мы знаем, что:

Если маска подсети имеет значение Число битов маски подсети
255.255.255.128 25
255.255.255.192 26
255.255.255.224 27
255.255.255.240 28
255.255.255.248 29
255.255.255.252 30
255.255.255.254 31

Синтаксис

Делегированные зоны обратного просмотра с подсетью можно использовать для передачи административного управления между любым родительским и дочерним in-ADDR. Зона ARPA в DNS. Общие конфигурации включают в себя поставщик услуг Интернета (родитель), делегируя сайту клиента (дочернему) или корпоративному штаб-квартире (родительскому) делегирование корпоративному удаленному сайту (дочернему сайту). Так как сценарий ISP является наиболее типичным, он будет использоваться в следующем примере.

При создании зон обратного просмотра без классов можно использовать следующие нотации:

<subnet-subnet>< mask bit count.100.168.192.in-addr.arpa> или

<subnet>/<subnet mask bit count.100.168.192.in-addr.arpa> или

<подсеть>.<bit count.100.168.192.in-addr.arpa> или

SubnetX<subnet.100.168.192.in-addr.arpa> (где X — это номер подсети, назначенный родительским) или

<subnet.100.168.192.in-addr.arpa> Например: 64-26.100.168.192.in-addr.arpa или

64/26.100.168.192.in-addr.arpa или

64.26.100.168.192.in-addr.arpa или

Subnet3.100.168.192.in-addr.arpa или

64.100.168.192.in-addr.arpa
Это означает, что зона обратного подсети — это 64 подсети, которая использует 26 бит для маски подсети.

Примечание.

Если вы будете выполнять передачу между зонами, между родительским и дочерним необходимо проверка синтаксис файлов, которые будут передаваться между DNS-серверами. Не все версии DNS-серверов поддерживают различные методы синтаксиса, определенные в RFC (дефис, косая черта и т. д.). Microsoft DNS будет поддерживать любой из этих методов.

Примечание.

Любой синтаксис, выбранный в родительском домене, должен быть идентичен синтаксису, используемому в дочернем домене.

Контрольный список

Заполнение следующего контрольного списка упрощает прохождение этого документа.

Родительский контрольный список Контрольный список дочерних элементов
<Имя родительского DNS-сервера> <Имя дочернего DNS-сервера>
<IP-адрес родительского DNS-сервера> <IP-адрес дочернего DNS-сервера>
<маска подсети> <маска подсети>
<подсети><синтаксиса><подсети: число бит маски подсети> <подсети><синтаксиса><подсети: число бит маски подсети>

Ниже приведен пример использования isp, который взял диапазон класса C и превратил его в четыре подсети с помощью маски подсети 255.255.255.192. Четыре подсети: 192.168.100.0, 192.168.100.64, 192.168.100.128 и 192.168.100.192. Подсеть, делегированная сайту клиента, является вторым диапазоном, то есть сетью 64, использующими 65–126 для IP-адресов узла.

Родительский контрольный список Контрольный список дочерних элементов
NS.microsoft.com NS1.msn.com
192.168.43.8 192.168.100.126
255.255.255.192 255.255.255.192
0-26 64-26
64-26
128-26
192-26

Родительское пошаговое руководство для сред Windows 2000 и Windows Server 2003

Запустите DNS MMC (консоль управления Майкрософт). В представлении измените стандартное представление на расширенное. Выделите Зоны обратного просмотра, щелкните правой кнопкой мыши и выберите создать зону. Выберите Тип зоны интегрированной или стандартной основной службы Active Directory и нажмите кнопку Далее. Введите идентификатор сети без подсети (например, 192.168.100) или имя зоны обратного просмотра (например, 100.168.192.in-addr.arpa) для адреса класса C, не относящемся к подсети, и нажмите кнопку Далее. Если выбран стандартный основной файл, можно либо создать файл зоны, либо при наличии существующего файла зоны можно поместить его в каталог %systemroot%\winnt\system32\dns, и сервер считывает его из этого каталога. После создания основной родительской зоны щелкните созданную зону правой кнопкой мыши и выберите новое делегирование. Добавьте соглашение об именовании, выбранное в качестве родительского элемента для делегированной дочерней зоны, например 64–26. Не забудьте сообщить об этом соглашении об именовании администратору дочернего домена. См. примеры. Добавьте CNAME (ALIAS) RR (записи ресурсов) для устройств в каждой из подсетей. Например:

65 CNAME 65.64-26.100.168.192.in-addr.arpa.

Примечание.

Динамические обновления для обратных подсетей не работают в Windows 2000. Записи необходимо добавить вручную. Использование флажка "Создать связанную запись PTR" не будет работать для зоны обратного просмотра подсети, если запись "A" (узел) создается с помощью графического интерфейса пользователя.

Родительское пошаговое руководство для сред Windows NT 4.0

Примечание.

Microsoft DNS Manager можно использовать для настройки зоны обратного поиска для этого сервера имен, а также зоны или зон обратного просмотра с подсетью. После создания зоны in-addr.arpa и подсети в зонах in-addr.arpa файлы необходимо будет изменить вручную, чтобы включить записи NS, CNAME и PTR в каждом файле зоны.

Примечание.

В этом примере предполагается несколько предварительных требований. Предполагается, что dns-сервер Microsoft установлен и что свойства TCP/IP (IP-адрес, маска подсети, шлюз по умолчанию и т. д.) настроены правильно.

  1. Примените последнюю версию пакета обновления Microsoft Windows NT.

  2. При появлении запроса перезагрузите компьютер.

  3. Нажмите кнопку Пуск, выберите Программы, Администрирование, а затем — Диспетчер DNS.

  4. В меню DNS выберите Новый сервер, введите IP-адрес или имя узла DNS-сервера, а затем нажмите кнопку ОК.

  5. Создайте зону обратного подстановки без подсети, выполнив следующие действия.

    1. Щелкните СВОЙ DNS-сервер, а затем щелкните Создать зону в меню DNS.
    2. Нажмите переключатель Основной в диалоговом окне Создание новой зоны и нажмите кнопку Далее.
    3. Введите 100.168.192.in-addr.arpa в текстовом поле Имя зоны и нажмите клавишу TAB.
    4. Текстовое поле Файл зоны должно быть автоматически заполнено 100.168.192.in-addr.arpa.dns.
    5. Нажмите кнопку "Готово".

  6. Завершив создание зон, остановите DNS-сервер с помощью любого из следующих методов:

    • Нажмите кнопку Пуск, наведите указатель на пункт Параметры, щелкните панель управления, а затем дважды щелкните значок Службы. Выберите Microsoft DNS Server в списке Службы и нажмите кнопку Остановить.
    • Введите следующую команду в командной строке и нажмите клавишу ВВОД:
      NET STOP DNS

    Примечание.

    Важно остановить службу DNS перед редактированием файлов зоны, иначе вы можете потерять записанные вручную сведения.

  7. В текстовом редакторе откройте созданный файл зоны обратного подстановки без подсети. Теперь необходимо добавить запись NS, которая будет делегировать подсеть дочернему DNS-серверу. Добавьте в конец файла следующее:

    ; Начать делегирование примечания
    ;
    <Подсети><синтаксис><подсети маска битов число> NS <Дочерний DNS-сервер имя>
    ; Завершение делегирования

    Наш пример будет выглядеть следующим образом:

    ; Начальная подзона делегирования: 64-26.100.168.192.in-addr.arpa.
    ;
    64-26 NSNS1.msn.com.
    ; Завершение делегирования

  8. Теперь необходимо создать запись CNAME для каждого адреса в диапазоне делегированных подсетей. Наш пример выглядит следующим образом:

    65 CNAME 65.64-26.100.168.192.in-addr.arpa.
    66 CNAME 66.64-26.100.168.192.in-addr.arpa.
    67 CNAME 67.64-26.100.168.192.in-addr.arpa.
    68 CNAME 68.64-26.100.168.192.in-addr.arpa.
    69 CNAME 69.64-26.100.168.192.in-addr.arpa.
    ...
    126 CNAME 126.64-26.100.168.192.in-addr.arpa.

    Примечание.

    Многоточие "...", указывает на уникальные IP-адреса и узлы в диапазоне от 67 до 126. В файле недопустимы многоточие.

  9. Повторяя шаги 7 и 8, можно делегировать любые дополнительные зоны подсети.

  10. После ввода записей NS и CNAME сохраните файл и закройте его.

  11. Запустите DNS-сервер одним из следующих методов:

    • Нажмите кнопку Пуск, наведите указатель на пункт Параметры, щелкните панель управления, а затем дважды щелкните значок Службы. Выберите Microsoft DNS Server в списке Служб и нажмите кнопку Пуск.
    • Введите следующую команду в командной строке и нажмите клавишу ВВОД:
      NET START DNS

Дочернее пошаговое руководство для сред Windows 2000 и Windows Server 2003

  1. Запустите DNS MMC (консоль управления Майкрософт).

  2. В представлении измените стандартное представление на расширенное.

  3. Выделите Зоны обратного просмотра, щелкните правой кнопкой мыши и выберите новую зону.

  4. Выберите Тип зоны интегрированной или стандартной основной службы Active Directory и нажмите кнопку Далее.

  5. Выберите параметр "Имя зоны обратного подстановки". Введите имя зоны обратного просмотра, например 64-26.100.168.192.in-addr.arpa для адреса класса C с подсетью. Обязательно используйте соглашение об именовании, предоставленное администратором родительского домена, и нажмите кнопку Далее.

  6. Если выбран стандартный основной файл, можно либо создать файл зоны, либо при наличии существующего файла зоны можно поместить его в каталог %systemroot%\winnt\system32\dns, и сервер считывает его из этого каталога.

  7. Добавьте PTR (записи указателя) вручную так же, как и любую зону обратного просмотра.

    Например:
    65 PTR host65.msn.com

  8. Может потребоваться настроить дочерние DNS-серверы, на которых размещена делегированная зона, для перенаправления на родительские DNS-серверы. Этот процесс позволяет дочерним DNS-серверам разрешать записи в зонах, размещенных на родительских DNS-серверах.

Дочернее пошаговое руководство для сред Windows NT 4.0

  1. Примените последнюю версию пакета обновления Microsoft Windows NT.

  2. При появлении запроса перезагрузите компьютер.

  3. Нажмите кнопку Пуск, выберите Программы, Администрирование, а затем — Диспетчер DNS.

  4. В меню DNS выберите Новый сервер, введите IP-адрес или имя узла DNS-сервера, а затем нажмите кнопку ОК.

  5. Создайте зону обратного просмотра с подсетью, выполнив следующие действия.

    1. Щелкните СВОЙ DNS-сервер, а затем щелкните Создать зону в меню DNS.

    2. Нажмите переключатель Основной в диалоговом окне Создание новой зоны и нажмите кнопку Далее.

    3. В зависимости от синтаксиса, выбранного в родительском элементе, выберите одну из пар, перечисленных ниже. В нашем примере мы введем "64-26.100.168.192.in-addr.arpa" (без кавычек) в текстовом поле Имя зоны и нажмите клавишу TAB.

      Имя зоны: 64-26.100.168.192.in-addr.arpa Zone File: 64-26.100.168.192.in-addr.arpa.dns или

      Имя зоны: 64/26.100.168.192.in-addr.arpa Zone File: 64.26.100.168.192.in-addr.arpa.dns или

      Имя зоны: 64.26.100.168.192.in-addr.arpa Файл зоны: 64.26.100.168.192.in-addr.arpa.dns или

      Имя зоны: файл зоны 64.100.168.192.in-addr.arpa: 64.100.168.192.in-addr.arpa.dns или

      Имя зоны: Файл зоны Subnet64.100.168.192.in-addr.arpa: Subnet64.100.168.192.in-addr.arpa.dns или

      Примечание.

      Администратор MICROSOFT DNS автоматически заполнит поле Имя файла при создании зон. Если вы используете синтаксис "/", обязательно измените имя файла и замените символ "/", так как базовая файловая система не будет разрешать "/" в имени файла. Просто замените символ косой черты в имени файла другим символом, например, предложенным во втором примере выше (64.26.100.168.192.in-addr.arpa.dns).

    4. Текстовое поле Файл зоны должно быть автоматически заполнено 64-26.100.168.192.in-addr.arpa.dns.

    5. Нажмите кнопку "Готово".

    6. Повторите шаги от a до e, чтобы все дополнительные подсети были делегированы вам.

  6. Завершив создание зон, остановите DNS-сервер с помощью любого из следующих методов:

    • Нажмите кнопку Пуск, выберите Параметры, щелкните панель управления, а затем дважды щелкните значок Службы. Выберите Microsoft DNS Server в списке Службы и нажмите кнопку Остановить.
    • Введите следующую команду в командной строке и нажмите клавишу ВВОД:
      NET STOP DNS

    Примечание.

    Важно остановить службу DNS перед редактированием файлов зоны, иначе вы можете потерять записанные вручную сведения.

  7. Откройте файл зоны обратного подстановки с помощью текстового редактора. Теперь необходимо создать записи PTR для каждого адреса в диапазоне делегированных подсетей. Добавьте в конец файла следующее:

    65 PTR host65.msn.com.
    66 PTR host66.msn.com.
    67 PTR host67.msn.com.
    ...
    126 PTR host126.msn.com.

    Примечание.

    Многоточие "...", указывает на уникальные IP-адреса и узлы в диапазоне от 67 до 126. В файле недопустимы многоточие.

  8. После ввода записей PTR сохраните файл и выйдите из него.

  9. Перезапустите DNS-сервер одним из следующих способов:

    • Нажмите кнопку Пуск, наведите указатель на пункт Параметры, щелкните панель управления, а затем дважды щелкните значок Службы. Выберите Microsoft DNS Server в списке Служб и нажмите кнопку Пуск.
    • Введите следующую команду в командной строке и нажмите клавишу ВВОД: NET START DNS

  10. Узлы в Интернете теперь должны иметь возможность выполнять обратный поиск IP-адресов в делегированной зоне обратного просмотра. Последняя серия шагов необходима, чтобы узлы, использующие DNS сайта клиента, могли правильно выполнять обратный поиск. Необходимо, чтобы на DNS-сервере дочернего домена присутствовала копия не-подсети зоны. Самый простой способ сделать это — стать вторичной зоной для провайдера. Создайте вторичную зону, выполнив следующие действия.

    1. Щелкните СВОЙ DNS-сервер, а затем щелкните Создать зону в меню DNS.
    2. Нажмите переключатель Вторичная в диалоговом окне Создание новой зоны.
    3. В поле Зона введите 100.168.192.in-addr.arpa, а в поле Server введите IP-адрес родительского <DNS-сервера>. В нашем примере это 192.168.43.8. Нажмите кнопку "Далее".
    4. В поле Имя зоны введите 100.168.192.in-addr.arpa, а в поле Файл зоны введите 100.168.192.in-addr.arpa.dns. Нажмите кнопку "Далее".
    5. В поле Главные IP-адреса снова введите IP-адрес родительского <DNS-сервера>. В нашем примере это 192.168.43.8. Нажмите кнопку Добавить, Нажмите кнопку Далее, а затем нажмите кнопку Готово.

  11. Может потребоваться настроить дочерние DNS-серверы, на которых размещена делегированная зона, для перенаправления на родительские DNS-серверы. Этот процесс позволяет дочерним DNS-серверам разрешать записи в зонах, размещенных на родительских DNS-серверах.

Примеры файлов зоны

Файл зоны обратного просмотра с родительской подсетью

;
; Файл базы данных 100.168.192.in-addr.arpa.dns для зоны 100.168.192.in-addr.arpa.
; Версия зоны: 4
;

@ IN SOA NS.microsoft.com. administrator.microsoft.com. (
4 ; серийный номер
3600 ; Обновить
600 ; Повторить
86400 ; Истекает
3600 ); минимальный срок жизни

;
; Записи NS зоны
;

@ NSNS.microsoft.com.

;
; Записи зоны
;

;
; Делегированная подзона: 64-26.100.168.192.in-addr.arpa.
;
64-26 NSNS1.msn.com.
; Завершение делегирования

65 CNAME65.64-26.100.168.192.in-addr.arpa.
66 CNAME66.64-26.100.168.192.in-addr.arpa.
67 CNAME67.64-26.100.168.192.in-addr.arpa.
...
126 CNAME67.64-26.100.168.192.in-addr.arpa.

Примечание.

Многоточие "...", указывает на уникальные IP-адреса и узлы в диапазоне от 67 до 126. В файле недопустимы многоточие.

Дочерний файл зоны обратного просмотра с подсетью

;
; Файл базы данных 64-26.100.168.192.in-addr.arpa.dns для зоны 64-26.100.168.192.in-addr.arpa.
; Версия зоны: 1
;

@ IN SOA NS1.msn.com. administrator.msn.com. (
1 ; серийный номер
3600 ; Обновить
600 ; Повторить
86400 ; Истекает
3600 ); минимальный срок жизни

;
; Записи NS зоны
;

@ NSNS1.msn.com.

;
; Записи зоны
;

65 PTR host65.msn.com.
66 PTR host66.msn.com.
67 PTR host67.msn.com.
...
126 PTR host126.msn.com.

Примечание.

Опять же, в приведенных выше примерах многоточие указывает на опущенные IP-адреса в диапазоне от 67 до 126. В файле недопустимы многоточие.