Dns зона обратного просмотра – Для чего служит обратная зона в dns. Что такое обратная зона в DNS. Что такое PTR запись. Служба пространство имен, домены

Содержание

Для чего служит обратная зона в dns. Что такое обратная зона в DNS. Что такое PTR запись. Служба пространство имен, домены

В доменах Windows информация о необходимых для работы систем службах хранит DNS. И основное количество проблем функционирования домена (службы каталогов) связано именно с неверной настройкой администраторами службы DNS. Поэтому стоит рассмотреть сервер DNS более подробно.

Термины DNS

DNS (Domain Name System, система доменных имен) - это служба разрешения имен в сетях на основе протокола TCP/IP.

Зоны DNS

Зона DNS - это часть пространства имен, для которого DNS-сервер может выполнять операции разрешения имен. Существуют зоны прямого и обратного просмотра, которые на практике для удобства называют прямой и обратной зонами.

Прямая зона позволяет по имени системы получать ее IP-адрес, обратная - по IP-адресу "выдает" информацию об имени хоста. Поэтому если нужно по имени компьютера узнать его адрес, то говорят о прямом разрешении имени. Если по IP-адресу хотят получить имя компьютера, то в этом случае происходит обратное разрешение имени. Строго говоря, если в DNS зарегистрировано прямое разрешение имени, то должно быть зарегистрировано и обратное.

Отсутствие обратного разрешения имени является достаточно частой ошибкой в Интернете. Обычно владельцами прямой зоны данного домена и обратной зоны, которая соответствует этому имени, являются разные люди (организации), поэтому в процессе регистрации новых DNS-записей часто забывают создать соответствующую запись обратной зоны.

Фактически прямые зоны соответствуют доменам некоторого уровня. Например, зона ask.ru позволяет разрешить все запросы имен, относящихся к домену ask.ru.
Для разрешения обратных имен в домене самого верхнего уровня создана зона in-addr.arpa. Названия зон обратного просмотра формируются добавлением к этому имени слева имени трех октетов адреса сети в обратном порядке. Например, для сети 195.161.192.0/24 имя обратной зоны будет 192.161.195.in-addr.arpa.

В большинстве случаев отсутствие регистрации в обратной зоне не мешает нормальной работе в Сети. Однако оно может и привести к ошибкам в тех случаях, когда необходимо установить по IP-адресу имя сервера. Например, при обмене почтовыми сообщениями в настоящее время принято проверять принадлежность сервера к тому домену, от имени которого он передает почту. Если обратное разрешение имени не будет проведено, то система может получить отказ в приеме почты.

Первичная и вторичная зоны

У создаваемых записей DNS должен быть один "хозяин". Чтобы все записи были корректны, их необходимо вносить на одном DNS-сервере. В этом случае говорят, что на таком DNS-сервере расположена первичная зона. Для отказоустойчивости на других серверах можно создать копии этой зоны: такие зоны будут называться вторичными зонами. Вторичная зона содержит те же записи, что и первичная, но в нее нельзя вносить изменения или добавлять новые записи. Эти операции можно делать только для первичной зоны.

Серверы имен зоны

Для каждой первичной зоны можно создать сколько угодно копий на других серверах. Обычно в настройках DNS-серверов предусматриваются специальные механизмы оповещений, которые обеспечивают синхронность записей первичной зоны и ее копий на вторичных серверах. Но, если это не запрещено настройками DNS-сервера, вы можете создать на своем сервере вторичную зону, обновления которой будут производиться по некоему графику. В результате записи такой копии могут оказаться неактуальны. Поэтому принято для домена определять серверы имен, информация которых "официальна". Такие серверы называют NS-записями соответствующего домена. Обычно для каждого домена создается два или три NS-сервера. Если ответ на запрос разрешения имени получен от NS-сервера, то он считается авторизованным, другие серверы возвращают неавторизованные ответы.

Это не значит, что в этом случае возвращаются неверные данные. DNS-сервер разрешит запрос клиента на основании данных своей копии только в том случае, если эти данные не устарели. Но если срок жизни записей на сервере имен был установлен, например, равным неделе, то в случае внесения изменений в первичную зону необходимо быть готовым к тому, что еще до недели после смены информации на NS-сервере другие серверы DNS могут возвращать ста В случае домена Windows 2000 и использования зоны DNS. интегрированной со службой каталогов, изменения можно вносить на любом DNS-сервере такой зоны.

Верные значения

То есть вы столкнетесь с ситуацией, когда часть систем уже получила правильные данные об имени, а часть - нет. Поэтому перед предполагаемой сменой записей DNS необходимо уменьшить время их жизни и выждать период, равный старому времени жизни. Это позволит сократить период такой неопределенности в разрешении имен. После выполнения операции настройки следует вернуться к старым величинам, чтобы снизить нагрузку на сеть и DNS-серверы. Если вы предполагаете, что копия DNS-записей на сервере DNS неактуальна, то следует выполнить операцию очистки кэша для соответствующей зоны. Для этого необходимо в консоли управления сервером включить опцию отображения дополнительных параметров, найти нужную зону среди структуры кэша и выполнить для нее очистку. При следующем запросе данных из этой зоны сервер загрузит копию с того сервера DNS, на который настроена пересылка запросов. Поэтому и эта операция также не гарантирует получение актуальной копии записей. При рассмотрении проблемных ситуаций следует выяснить на официальных ресурсах адреса NS-серверов данного домена и проверить записи с помощью утилиты

nslookup , подключаясь к соответствующему NS-серверу.

Для обновления записей DNS на клиентских компьютерах следует очистить кэш DNS-записей (ipconfig /flushdns).

Передача зон

Так называется специальная операция копирования всех записей данной зоны с одного DNS-сервера на другой. По соображениям безопасности передача зон обычно разрешается только на заранее определенный администратором системы список IP-адресов DNS-серверов. Если операция передачи зоны запрещена, то вы не сможете создать на своем DNS-сервере вторичную зону для данного домена.

Делегирование зон

Если на DSN-сервере создана, например, прямая зона для домена test.local , то запись о домене третьего уровня level3.test.local должна содержаться на этом же сервере. Если географически домен level3.test.local удален от основного домена, то поддержание записей в его зоне на DNS-сервере становится не очень удобным. Проще поручить администратору этого домена вносить изменения в DNS-записи самостоятельно, для чего используется процесс делегирования зоны. При делегировании зоны DNS-сервер создает у себя запись, указывающую, что запросы разрешения имени для этой зоны должны перенаправляться на другой DNS-сервер, на который произведено делегирование зоны.

Stub-зона (зона-заглушка)

При делегировании зоны на исходном сервере сохраняется информация о MS-сервере делегированной зоны. Поскольку администратор делегированной зоны может изменять ее DNS-записи, то он может сменить и записи NS-сервера. Если соответствующее изменение не будет внесено на сервер,который осуществляет делегирование, то процесс разрешения имен будет нарушен (основной сервер попрежнему будет отправлять запросы на уже не существующий адрес, и в результате будет формироваться неверный ответ). Для исправления подобной ситуации в DNS-сервере Windows Server 2003 введены stub-зоны. При создании stub-зоны в ней определяются NS-записи делегированной зоны. Причем если администратор делегированной зоны меняет эти записи, то соответствующие изменения вносятся и в записи stub-зоны. В результате гарантируется целостность процесса разрешения имен.

Зона "точка"

Домен самого верхнего уровня, как уже писалось, принято называть именем "точка". Если в DNS создать зону "точка", то это будет фактически означать, что данный сервер является корневым в структуре DNS, т. е. он должен разрешать самостоятельно любые запросы имен. Если этот DNS-сервер не может разрешить имя, то его ответ будет гласить, что такого хоста не существует.

При необходимости пересылки запросов DNS на другие серверы зону "точка" следует удалить, после чего появится возможность настройки пересылки запросов DNS.

Типы запросов

Для разрешения имен в DNS предусмотрено два типа запросов: итеративный и рекурсивный. Итеративный запрос служит для получения от DNS-сервера, которому он направлен, наилучшего ответа, который может быть получен без обращения к другим DNS-серверам. Рекурсивный запрос предполагает, что сервер DNS должен выполнить все операции для разрешения имени. Обычно для Зона с таким именем создается при установке службы каталогов с одновременной установкой к настройкой сервера DNS.

Порядок разрешения имен в DNS

Последовательность разрешения DNS-имен. Процесс определения имени с использованием итеративных запросов весьма трудоемок. Нужно найти NS-сервер для данного домена и затем запросить от него данные по требуемому имени. Обычно клиенты все эти операции "возлагают" на DNS-серверы, отправляя им рекурсивный запрос. DNS-сервер после получения реку

geekpad.ru

Что такое обратная зона в DNS. Что такое PTR запись

Что такое обратная зона в DNS. Что такое PTR запись.

Что такое обратная зона в DNS. Что такое PTR запись.

Добрый день, уважаемые читатели и постоянные подписчики, IT блога Pyatilistnik.org. В прошлый раз мы разобрали, что такое DNS-сервер, его принципы работы, основные записи и много другое. Кто пропустил заметку, советую ознакомиться. В сегодняшней публикации я хочу рассмотреть вопрос, о обратных зонах и их применении.

Обратный запрос DNS — особая доменная зона, предназначенная для определения имени узла по его IPv4-адресу c помощью PTR-записи. Адрес узла AAA.BBB.CCC.DDD переводится в обратной нотации и превращается в DDD.CCC.BBB.AAA.in-addr.arpa. Благодаря иерархической модели управления именами появляется возможность делегировать управление зоной владельцу диапазона IP-адресов. Для этого в записях авторитетного DNS-сервера указывают, что за зону CCC.BBB.AAA.in-addr.arpa (то есть за сеть AAA.BBB.CCC.000/24) отвечает отдельный сервер.

PTR-запись (от англ. pointer – указатель) связывает IP хоста с его каноническим именем. Запрос в домене in-addr.arpa на IP хоста в обратной форме вернёт имя данного хоста. Например, (на момент написания), для IP адреса 192.0.34.164: запрос записи PTR 164.34.0.192.in-addr.arpa вернет его каноническое имя referrals.icann.org.in-addr.arpa

in-addr.arpa — специальная доменная зона, предназначенная для определения имени хоста по его IPv4-адресу, используя PTR-запись. Адрес хоста AAA.BBB.CCC.DDD транслируется в обратной нотации и превращается в DDD.CCC.BBB.AAA.in-addr.arpa. Благодаря иерархической модели управления именами появляется возможность делегировать управление зоной владельцу диапазона IP адресов. Для этого в записях авторитативного DNS-сервера указывают, что за зону CCC.BBB.AAA.in-addr.arpa (то есть за сеть AAA.BBB.CCC/24) отвечает отдельный сервер.

Использование

В целях уменьшения объёма нежелательной почтовой корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии.

Как настроить обратную зону в windows server 2008R2 тут.

С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org, остались вопросы, то пишите их в комментариях.

Иван Семин

pyatilistnik.org

Создание зоны обратного просмотра dns. Создание и настройка зон DNS

Что такое запись обратной зоны DNS?

Обычные DNS-запросы определяют неизвестный IP-адрес для известного имени хоста. Это необходимо когда, например, браузеру нужно установить TCP-соединение с сервером по введённому в адресном поле URL.

Forum.hetzner.de --> 213.133.106.33

Обратный DNS работает в другом направлении - запрос определяет имя хоста, принадлежащее IP-адресу.

213.133.106.33 --> dedi33.your-server.de

Как вы видите, именам хоста при прямом и обратном запросах необязательно совпадать!

Каково предназначение записи обратной зоны DNS?

  • traceroute показывает не только IP-адреса, но и человекочитаемые имена узлов. Это значительно облегчает диагностику ошибок.
  • Большое количество почтовых серверов принимает письма только если у IP-адреса отправителя есть обратная DNS-запись.
  • Обратные DNS-записи могут использоваться в SPF-записях (Sender Policy Framework ; технология, предотвращающая рассылку спама и вирусов с поддельных email-адресов).

Как технически работает обратное преобразование на DNS-серверах?

Как я могу назначить несколько имён на мой IP-адрес, если различные домены размещены на моём сервере?

Это невозможно. Только одно имя назначается на каждый IP-адрес.

Более того, неважно какие обратные зоны прописаны для сервера. Для обращения к сайту браузеру достаточно провести лишь прямое преобразование (Имя --> IP). Здесь, конечно, может быть несколько имён, например несколько записей типа A или несколько записей типа CNAME, которые указывают на A-запись.

Для работы почтовых серверов необязательно иметь несколько имён хоста на один IP-адрес. Обратная DNS-запись должна соответствовать имени хоста SMTP-сервера (обратитесь к настройками соответствующего SMTP-сервера).

Если несколько доменов управляются через IP-адрес (достаточно частый случай), можно использовать нейтральное имя, не связанное с доменами пользователей. Спам-фильтры всего-лишь проверяют соответствует ли обратная DNS-запись имени в ответе на команду HELO. Это никак не влияет на доменные имена и почтовые адреса в передаваемых письмах.

  • Обратная DNS-запись должна соответствовать имени почтового сервера или строиться на основании IP-адреса.
  • Обратная DNS-запись должна также резолвиться "вперёд" - на тот-же IP-адрес.
  • Обратная DNS-запись не должна быть похожа на автоматические-сгенерированную, например "162-105-133-213-static.hetzner.de", так так часто такие имена отрицательно оцениваются спам-фильтрами.
  • Даваемое имя должно существовать. Пожалуйста, не используйте несуществующие доменные имена.

Пример хорошей записи:

Srv01.grossefirma.de --> 213.133.105.162 213.133.105.162 --> srv01.grossefirma.de > telnet 213.133.105.162 25 220 srv01.grossefirma.de ESMTP ready

Я задаю PTR на моём DNS-сервере. Почему это не работает?

Ваш DNS-сервер отвечает лишь за прямое преобразование.

Владелец блока IP-адресов (например, Hetzner Online GmbH) является ответственным за поддержание авторитативных DNS-серверов для обратных записей.

Обратные DNS-записи можно создавать только при помощи соответствующей функции панели Robot (левое меню -> "Servers" -> щелчок по серверу -> "IPs" -> щелчок по текстовому полю рядом с IP-адресом).

Обратная запись для моего сервера отличается от HELO моего почтового сервер. Является ли это проблемой?

Пример: обратная DNS-запись для IP-адреса сервера "www.grossefirma.de". В ответ на команду HELO почтовый сервер отвечает "mail.grossefirma.de".

Некоторые спам-фильтры расценивают письма от таких отправителей как "спам". Подобные несоответствия должны быть исправлены. Обратная DNS-запись и имя почтового сервера должны быть одинаковыми. В примере выше они могут быть, например, "srv01.grossefirma.de". Имя "www.grossefirma.de" может быть безо всяких последствий перенаправлено на srv01.grossefirma.de" при помощи CNAME-записи.

Подробное тестирование DNS-записей можно провести воспользовавшись

Историческая справка : Систему доменных имен разработал в 1983 году Пол Мокапетрис. Тогда же было проведено первое успешное тестирование DNS, ставшей позже одним из базовых компонентов сети Internet. С помощью DNS стало возможным реализовать масштабируемый распределенный механизм, устанавливающий соответствие между иерархическими именами сайтов и числовыми IP-адресами.

В 1983 году Пол Мокапетрис работал научным сотрудником института информатики (Information Sciences Institute, ISI ), входящего в состав инженерной школы университета Южной Калифорнии (USC ). Его руководитель, Джон Постел, предложил Полу придумать новый механизм, устанавливающий связи между именами компьютеров и адресами Internet, - взамен использовавшемуся тогда централизованному каталогу имен и адресов хостов, который поддерживала калифорнийская компания SRI International.

"Все понимали, что старая схема не сможет работать вечно, - вспоминает Мокапетрис. - Рост Internet становился лавинообразным. К сети, возникшей на основе проекта ARPANET, инициированного Пентагоном, присоединялись все новые и новые компании и исследовательские институты".

Предложенное Мокапетрисом решение - DNS - представляло собой распределенную базу данных, которая позволяла организациям, присоединившимся к Internet, получить свой домен.

"Как только организация подключалась к сети, она могла использовать сколь угодно много компьютеров и сама назначать им имена", - подчеркнул Мокапетрис. Названия доменов компаний получили суффикс.com, университетов - .edu и так далее.

Первоначально DNS была рассчитана на поддержку 50 млн. записей и допускала безопасное расширение до нескольких сотен миллионов записей. По оценкам Мокапетриса, сейчас насчитывается около 1 млрд. имен DNS, в том числе почти 20 млн. общедоступных имен. Остальные п

offlink.ru

Размещение зон обратного просмотра DNS в Azure DNS

  • Время чтения: 6 мин

В этой статье

Примечание

Эта статья была изменена и теперь содержит сведения о новом модуле Az для Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Вы по-прежнему можете использовать модуль AzureRM, исправления ошибок для которого будут продолжать выпускаться как минимум до декабря 2020 г.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Дополнительные сведения о совместимости модуля Az с AzureRM см. в статье Introducing the new Azure PowerShell Az module (Знакомство с новым модулем Az для Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Инструкции по установке модуля Az см. в статье об установке Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

В этой статье описано размещение зон обратного просмотра DNS для назначенных диапазонов IP-адресов в Azure DNS.This article explains how to host the reverse DNS lookup zones for your assigned IP ranges in Azure DNS. Диапазоны IP-адресов, представленные зонами обратного просмотра, должны быть назначены организации (как правило, поставщиком услуг Интернета).The IP ranges represented by the reverse lookup zones must be assigned to your organization, typically by your ISP.

Сведения о настройке обратного просмотра DNS для принадлежащего Azure IP-адреса, назначенного службе Azure, см. в статье Настройка обратного просмотра DNS для размещенных в Azure служб.To configure reverse DNS for an Azure-owned IP address that's assigned to your Azure service, see Configure reverse DNS for services hosted in Azure.

Перед прочтением этой статьи ознакомьтесь со статьей Основные сведения об обратной зоне DNS и ее поддержке в Azure.Before you read this article, you should be familiar with the overview of reverse DNS and support in Azure.

Эта статья поможет вам создать свою первую зону обратного просмотра и обратную запись DNS с помощью Azure CLI, портала Azure, Azure PowerShell или классического Azure CLI.This article walks you through the steps to create your first reverse lookup DNS zone and record by using the Azure portal, Azure PowerShell, Azure classic CLI, or Azure CLI.

Создание зоны обратного просмотра DNSCreate a reverse lookup DNS zone

  1. Войдите на портале Azure.Sign in to the Azure portal.

  2. В главном меню выберите Создать > Сети, а затем выберите пункт Зона DNS.On the Hub menu, select New > Networking, and then select DNS zone.

  3. На панели Создание зоны DNS укажите имя зоны DNS.In the Create DNS zone pane, name your DNS zone. Для префиксов IPv4 и IPv6 имя зоны формируется по-разному.The name of the zone is crafted differently for IPv4 and IPv6 prefixes. Чтобы указать имя зоны, выполните инструкции для IPv4 или IPv6.Use the instructions for IPv4 or IPv6 to name your zone. Когда закончите, нажмите кнопку Создать, чтобы создать зону.When you're finished, select Create to create the zone.

IPv4IPv4

Имя зоны обратного просмотра IPv4 формируется на основе диапазона IP-адресов, которые она представляет.The name of an IPv4 reverse lookup zone is based on the IP range that it represents. Имя должно быть указано в формате <IPv4 network prefix in reverse order>.in-addr.arpa.It should be in the following format: <IPv4 network prefix in reverse order>.in-addr.arpa. Примеры см. в обзоре обратной зоны DNS и ее поддержке в Azure.For examples, see Overview of reverse DNS and support in Azure.

Примечание

Создавая бесклассовую зону обратного просмотра DNS в Azure DNS, в имени зоны необходимо использовать дефис (-) вместо косой черты (/).When you're creating classless reverse DNS lookup zones in Azure DNS, you must use a hyphen (-) rather than a forward slash (/) in the zone name.

Например, для диапазона IP-адресов 192.0.2.128/26 в качестве имени зоны нужно использовать 128-26.2.0.192.in-addr.arpa, а не 128/26.2.0.192.in-addr.arpa.For example, for the IP range 192.0.2.128/26, you must use 128-26.2.0.192.in-addr.arpa as the zone name instead of 128/26.2.0.192.in-addr.arpa.

Несмотря на то что в стандартах DNS поддерживаются оба метода, Azure DNS не поддерживает зоны с именами, содержащими символ косой черты (/).Although the DNS standards support both methods, Azure DNS doesn't support DNS zone names that contain for forward slash (/) character.

В примере ниже показано, как создать зону обратного просмотра DNS класса C с именем 2.0.192.in-addr.arpa в Azure DNS при помощи портала Azure:The following example shows how to create a Class C reverse DNS zone named 2.0.192.in-addr.arpa in Azure DNS via the Azure portal:

Значение поля Расположение группы ресурсов определяет расположение группы ресурсов.Resource group location defines the location for the resource group. Оно не влияет на зону DNS.It has no impact on the DNS zone. Расположение зоны DNS всегда является глобальным и не отображается.The DNS zone location is always "global," and is not shown.

Ниже приведены примеры выполнения этой задачи с помощью Azure PowerShell и Azure CLI.The following examples show how to complete this task by using Azure PowerShell and Azure CLI.

PowerShellPowerShell
New-AzDnsZone -Name 2.0.192.in-addr.arpa -ResourceGroupName MyResourceGroup
Классический Azure CLIAzure classic CLI
azure network dns zone create MyResourceGroup 2.0.192.in-addr.arpa
Интерфейс командной строки AzureAzure CLI
az network dns zone create -g MyResourceGroup -n 2.0.192.in-addr.arpa

IPv6IPv6

Имя зоны обратного просмотра IPv6 должно быть указано в формате <IPv6 network prefix in reverse order>.ip6.arpa.The name of an IPv6 reverse lookup zone should be in the following form: <IPv6 network prefix in reverse order>.ip6.arpa. Примеры см. в обзоре обратной зоны DNS и ее поддержке в Azure.For examples, see Overview of reverse DNS and support in Azure.

В примере ниже показано, как создать зону обратного просмотра DNS IPv6 с именем 0.0.0.0.d.c.b.a.8.b.d.0.1.0.0.2.ip6.arpa в Azure DNS при помощи портала Azure:The following example shows how to create an IPv6 reverse DNS lookup zone named 0.0.0.0.d.c.b.a.8.b.d.0.1.0.0.2.ip6.arpa in Azure DNS via the Azure portal:

Значение поля Расположение группы ресурсов определяет расположение группы ресурсов.Resource group location defines the location for the resource group. Оно не влияет на зону DNS.It has no impact on the DNS zone. Расположение зоны DNS всегда является глобальным и не отображается.The DNS zone location is always "global," and is not shown.

Ниже приведены примеры выполнения этой задачи с помощью Azure PowerShell и Azure CLI.The following examples show how to complete this task by using Azure PowerShell and Azure CLI.

PowerShellPowerShell
New-AzDnsZone -Name 0.0.0.0.d.c.b.a.8.b.d.0.1.0.0.2.ip6.arpa -ResourceGroupName MyResourceGroup
Классический Azure CLIAzure classic CLI
azure network dns zone create MyResourceGroup 0.0.0.0.d.c.b.a.8.b.d.0.1.0.0.2.ip6.arpa
Интерфейс командной строки AzureAzure CLI
az network dns zone create -g MyResourceGroup -n 0.0.0.0.d.c.b.a.8.b.d.0.1.0.0.2.ip6.arpa

Делегирование зоны обратного просмотра DNSDelegate a reverse DNS lookup zone

Создав зону обратного просмотра DNS, необходимо убедиться, что она делегирована из родительской зоны.Now that you've created your reverse DNS lookup zone, you must ensure that the zone is delegated from the parent zone. Делегирование DNS позволяет процессу разрешения имен DNS находить серверы имен, на которых размещена зона обратного просмотра DNS.DNS delegation enables the DNS name resolution process to find the name servers that host your reverse DNS lookup zone. Затем эти серверы имен могут отвечать на обратные запросы DNS для IP-адресов в указанном диапазоне.Those name servers can then answer DNS reverse queries for the IP addresses in your address range.

Для зон прямого просмотра делегирование зоны DNS описано в разделе Делегирование домена в Azure DNS.For forward lookup zones, the process of delegating a DNS zone is described in Delegate your domain to Azure DNS. Делегирование для зон обратного просмотра выполняется аналогичным образом.Delegation for reverse lookup zones works the same way. Единственное различие — серверы имен настраиваются с помощью поставщика услуг Интернета, предоставившего вам диапазон IP-адресов, а не с помощью регистратора доменных имен.The only difference is that you need to configure the name servers with the ISP that provided your IP range, rather than your domain name registrar.

Создание записи DNS типа PTRCreate a DNS PTR record

IPv4IPv4

Следующий пример демонстрирует создание записи типа PTR для зоны обратного просмотра DNS в Azure DNS.The following example walks you through the process of creating a PTR record in a reverse DNS zone in Azure DNS. Сведения о других типах записей и об изменении существующих записей см. в статье Управление записями и наборами записей DNS с помощью портала Azure.For other record types and to modify existing records, see Manage DNS records and record sets by using the Azure portal.

  1. В верхней части панели Зона DNS щелкните + Набор записей, чтобы открыть панель Добавление набора записей.At the top of the DNS zone pane, select + Record set to open the Add record set pane.

  2. Имя набора записей для записи типа PTR должно представлять собой оставшуюся часть адреса IPv4 в обратном порядке.The name of the record set for a PTR record needs to be the rest of the IPv4 address in reverse order.

    В этом примере первые три октета уже указаны как часть имени зоны (.2.0.192).In this example, the first three octets are already populated as part of the zone name (.2.0.192). Таким образом, в поле Имя содержится только последний октет.Therefore, only the last octet is supplied in the Name box. Например, для ресурса с IP-адресом 192.0.2.15 можно назвать набор записей 15.For example, you might name your record set 15 for a resource whose IP address is 192.0.2.15.

  3. В поле Тип выберите значение PTR.For Type, select PTR.

  4. В поле Доменное имя введите полное доменное имя ресурса, использующего IP-адрес.For DOMAIN NAME, enter the fully qualified domain name (FQDN) of the resource that uses the IP.

  5. Чтобы создать запись DNS, нажмите кнопку ОК в нижней части панели.Select OK at the bottom of the pane to create the DNS record.

Ниже приведены примеры выполнения этой задачи с помощью PowerShell или Azure CLI.The following examples show how to complete this task by using PowerShell or Azure CLI.

PowerShellPowerShell
New-AzDnsRecordSet -Name 15 -RecordType PTR -ZoneName 2.0.192.in-addr.arpa -ResourceGroupName MyResourceGroup -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Ptrdname "dc1.contoso.com")
Классический Azure CLIAzure classic CLI
azure network dns record-set add-record MyResourceGroup 2.0.192.in-addr.arpa 15 PTR --ptrdname dc1.contoso.com  
Интерфейс командной строки AzureAzure CLI
    az network dns record-set ptr add-record -g MyResourceGroup -z 2.0.192.in-addr.arpa -n 15 --ptrdname dc1.contoso.com

IPv6IPv6

Следующий пример демонстрирует процесс создания записи типа PTR.The following example walks you through the process of creating new PTR record. Сведения о других типах записей и об изменении существующих записей см. в статье Управление записями и наборами записей DNS с помощью портала Azure.For other record types and to modify existing records, see Manage DNS records and record sets by using the Azure portal.

  1. В верхней части панели Зона DNS щелкните + Набор записей, чтобы открыть панель Добавление набора записей.At the top of the DNS zone pane, select + Record set to open the Add record set pane.

  2. Имя набора записей для записи типа PTR должно представлять собой оставшуюся часть адреса IPv6 в обратном порядке.The name of the record set for a PTR record needs to be the rest of the IPv6 address in reverse order. Сжатие за счет нулей не должно использоваться.It must not include any zero compression.

    В этом примере первые 64 бита IPv6 уже указаны как часть имени зоны (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa).In this example, the first 64 bits of the IPv6 are already populated as part of the zone name (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa). Таким образом, в поле Имя содержатся только последние 64 бита.Therefore, only the last 64 bits are supplied in the Name box. Последние 64 бита IP-адреса вводятся в обратном порядке, в качестве разделителя между каждым шестнадцатеричным числом используется точка.The last 64 bits of the IP address are entered in reverse order, with a period as the delimiter between each hexadecimal number. Например, для ресурса с IP-адресом 2001:0db8:abdc:0000:f524:10bc:1af9:405e набор записей можно назвать e.5.0.4.9.f.a.1.c.b.0.1.4.2.5.f.For example, you might name your record set e.5.0.4.9.f.a.1.c.b.0.1.4.2.5.f for a resource whose IP address is 2001:0db8:abdc:0000:f524:10bc:1af9:405e.

  3. В поле Тип выберите значение PTR.For Type, select PTR.

  4. В поле Доменное имя введите полное доменное имя ресурса, использующего IP-адрес.For DOMAIN NAME, enter the FQDN of the resource that uses the IP.

  5. Чтобы создать запись DNS, нажмите кнопку ОК в нижней части панели.Select OK at the bottom of the pane to create the DNS record.

Ниже приведены примеры выполнения этой задачи с помощью PowerShell или Azure CLI.The following examples show how to complete this task by using PowerShell or Azure CLI.

PowerShellPowerShell
New-AzDnsRecordSet -Name "e.5.0.4.9.f.a.1.c.b.0.1.4.2.5.f" -RecordType PTR -ZoneName 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa -ResourceGroupName MyResourceGroup -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Ptrdname "dc2.contoso.com")
Классический Azure CLIAzure classic CLI
azure network dns record-set add-record MyResourceGroup 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa e.5.0.4.9.f.a.1.c.b.0.1.4.2.5.f PTR --ptrdname dc2.contoso.com 
Интерфейс командной строки AzureAzure CLI
    az network dns record-set ptr add-record -g MyResourceGroup -z 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa -n e.5.0.4.9.f.a.1.c.b.0.1.4.2.5.f --ptrdname dc2.contoso.com

Просмотр записейView records

Чтобы просмотреть созданные записи, перейдите к зоне DNS на портале Azure.To view the records that you created, browse to your DNS zone in the Azure portal. В нижней части панели Зона DNS содержатся записи для зоны DNS,In the lower part of the DNS zone pane, you can see the records for the DNS zone. в частности записи типа NS и SOA по умолчанию, а также созданные вами записи.You should see the default NS and SOA records, plus any new records that you've created. Записи типа NS и SOA создаются в каждой зоне.The NS and SOA records are created in every zone.

IPv4IPv4

На панели Зона DNS отображаются записи IPv4 типа PTR:The DNS zone pane shows the IPv4 PTR records:

В примерах ниже показано, как просмотреть записи типа PTR с помощью PowerShell или Azure CLI.The following examples show how to view the PTR records by using PowerShell or Azure CLI.

PowerShellPowerShell
Get-AzDnsRecordSet -ZoneName 2.0.192.in-addr.arpa -ResourceGroupName MyResourceGroup
Классический Azure CLIAzure classic CLI
    azure network dns record-set list MyResourceGroup 2.0.192.in-addr.arpa
Интерфейс командной строки AzureAzure CLI
    azure network dns record-set list -g MyResourceGroup -z 2.0.192.in-addr.arpa

IPv6IPv6

На панели Зона DNS отображаются записи IPv6 типа PTR:The DNS zone pane shows the IPv6 PTR records:

В примерах ниже показано, как просмотреть записи с помощью PowerShell или Azure CLI.The following examples show how to view the records by using PowerShell or Azure CLI.

PowerShellPowerShell
Get-AzDnsRecordSet -ZoneName 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa -ResourceGroupName MyResourceGroup
Классический Azure CLIAzure classic CLI
    azure network dns record-set list MyResourceGroup 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa
Интерфейс командной строки AzureAzure CLI
    azure network dns record-set list -g MyResourceGroup -z 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa

часто задаваемые вопросыFAQ

Можно ли разместить зоны обратного просмотра DNS для блоков IP-адресов, назначенных поставщиком услуг Интернета, в DNS Azure?Can I host reverse DNS lookup zones for my ISP-assigned IP blocks on Azure DNS?

Да.Yes. Размещение зон обратного просмотра DNS для пользовательских диапазонов IP-адресов в Azure DNS полностью поддерживается.Hosting the reverse lookup (ARPA) zones for your own IP ranges in Azure DNS is fully supported.

Создайте зону обратного просмотра в Azure DNS, как описано в этой статье, а затем делегируйте ее с помощью поставщика услуг Интернета.Create the reverse lookup zone in Azure DNS as explained in this article, and then work with your ISP to delegate the zone. Вы можете управлять записями типа PTR для каждого обратного просмотра точно так же, как и другими записями другого типа.You can then manage the PTR records for each reverse lookup in the same way as other record types.

Сколько стоит размещение зоны обратного просмотра DNS?How much does hosting my reverse DNS lookup zone cost?

Размещение зоны обратного просмотра DNS в Azure DNS для блока IP-адресов, назначенного поставщиком услуг Интернета, оплачивается по стандартным тарифам Azure DNS.Hosting the reverse DNS lookup zone for your ISP-assigned IP block in Azure DNS is charged at standard Azure DNS rates.

Можно ли разместить в Azure DNS зоны обратного просмотра DNS для адресов IPv4 и IPv6?Can I host reverse DNS lookup zones for both IPv4 and IPv6 addresses in Azure DNS?

Да.Yes. В этой статье объясняется, как создать зоны обратного просмотра DNS для адресов IPv4 и IPv6 в Azure DNS.This article explains how to create both IPv4 and IPv6 reverse DNS lookup zones in Azure DNS.

Можно ли импортировать существующую зону обратного просмотра DNS?Can I import an existing reverse DNS lookup zone?

Да.Yes. Вы можете импортировать существующие зоны DNS в Azure DNS при помощи Azure CLI.You can use Azure CLI to import existing DNS zones into Azure DNS. Этот метод работает как с зонами прямого просмотра, так и с зонами обратного просмотра.This method works for both forward lookup zones and reverse lookup zones.

Дополнительные сведения см. в статье Импорт и экспорт файла зоны DNS с помощью Azure CLI 1.0.For more information, see Import and export a DNS zone file using Azure CLI.

Дополнительная информацияNext steps

Дополнительные сведения см. в статье Википедии об обратном просмотре DNS.For more information on reverse DNS, see reverse DNS lookup on Wikipedia.
Узнайте, как управлять записями обратной зоны DNS для служб Azure.Learn how to manage reverse DNS records for your Azure services.

docs.microsoft.com

Создание в Windows Server обратной DNS-зоны с нестандартной маской

Привет.
 
Оригинальная статья написана Димой Макаровым несколько лет назад – и, увы, при смене домена и переезде иллюстрации от неё потерялись. Поэтому я (Ruslan V. Karmanov) чуть актуализовал материал, добавил дополнительный и сделал новые картинки. Материал статьи работоспособен на всех серверных версиях Windows, от 2000й до Windows 10, которая Threshold (на ней и сделаны скриншоты).
 
Давайте представим ситуацию, когда провайдер делегирует управление доменом клиенту. Плюс, чтобы не заморачиваться, сразу же и делегирует ему же управление обратной зоной – ну, выделил клиенту диапазон IP-адресов, и не хочет постоянно менять или исправлять записи в reverse lookup зоне. Клиент ведь может легко делать это сам – достаточно просто перенаправлять reverse lookup-запросы, которые приходят к провайдеру снаружи, но относятся к клиентскому диапазону, на клиентский DNS-сервер(а). Казалось бы, всё просто – бери да делай. Вот так например:
Простой пример создания reverse lookup-зоны
Но вот незадача, клиент использует Windows Server, а подсеть клиента – не классовая, а, допустим, /26. Т.е. маска – VLSM-ная. В штатном интерфейсе создать такую зону не получится никак. Давайте смоделируем эту ситуацию и посмотрим, что можно сделать.
 
Для организации тестового полигона воспользуемся Microsoft Windows Server 2012 R2 со всеми обновлениями на январь 2015 года. Нам понадобится 2 сервера. Первый – dc1 мы будем считать провайдером. IPv4 адрес у него будет 192.168.160.1 / 24. Второй, dc2, будем считать NS-сервером клиента, которому провайдер делегирует кусочек адресного пространства. IPv4 адрес 192.168.160.2 / 24.
 
Будем считать, что AS провайдера содержит сеть 10.11.12.0 / 24, а клиенту необходимо делегировать обработку второй четвертинки этой сети – т.е. 10.11.12.64 / 26.
 
Создадим reverse lookup-зону на провайдере:
Создаём reverse lookup зону для делегирования подмножества IP-адресов
Замечу, что размер зоны некритичен – просто штатным способом в Microsoft DNS Server мы сможем создать только зону с “классовой” маской – 8, 16 или 24 бита. Остальные параметры так же некритичны – поэтому я создал её как файл, и без динамических обновлений (забегая вперёд, динамические обновления для PTR-записей, находящихся в reverse-зонах с нестандартной маской, все равно не работают). Вот что у меня вышло:
Reverse lookup зона на базе DNS Server на платформе Windows Server 2012 R2
 
Теперь нам надо создать в этой “провайдерской” зоне запись о том, что все запросы про адреса с 10.11.12.64 по 10.11.12.127 (именно так, ведь это с точки зрения DNS будет просто диапазоном адресов, а не сетью, поэтому никакой спец.обработки адреса сети и широковещательного адреса не планируется) будут передаваться на сервер dc2.
 
Через штатный механизм (MMC-оснастку DNS Server и меню New Delegation…) создаём в reverse lookup-зоне 12.11.10.in-addr.arpa новое делегирование. Его параметры будут следующими – NS-сервер, на который будут перенаправляться запросы – dc2, а вот имя делегируемой зоны мы можем выбрать различное. Microsoft обычно предлагает что-то вида:
 
последний октет ID подсетиколичество бит в маске подсети
 
или
 
последний октет ID подсети/количество бит в маске подсети
 
Мне нравится первый вариант, потому что всё ж слэш – он не входит в любимые всеми DNS-серверами символы, а минус – вполне.
 
Так как мы договорились отдавать клиенту вторую четвертинку сети 10.11.12.0 / 24, а это 10.11.12.64 / 26, то результат в нашем случае таков:
Делегирование субдомена в reverse-lookup зоне
ОК, заготовка на сервере есть. Отдельно остановлюсь на простом и неприятном моменте. Суть в том, что никакой хитрой фильтрации запросов, уходящих в делегированные зоны, сервер Microsoft DNS не производит совсем. То есть то, что мы создали – это просто некая именованная дочерняя DNS-зона, самостоятельно перенаправлять в неё запросы сервер не будет. Чтобы он их перенаправлял, и именно в неё, и именно нужные, надо регистрировать CNAME-записи – столько, сколько будет делегированных адресов. Я создам одну такую запись и на её примере покажу, какой все они будут иметь вид:
reversedns7
Т.е. это CNAME, указывающий на то, что если кто-то запросит reverse lookup и этот запрос попадёт на наш “провайдерский” сервер, то сервер сообразит, что это – что-то внутри зоны 10.11.12.0 / 24, а раз reverse lookup, то ищем запрашиваемый 10.11.12.100 внутри имеющейся на сервере зоны 12.11.10.in-addr.arpa. Искомое будет иметь полный вариант написания вида 100.12.11.10.in-addr.arpa, заметьте – ни про какое делегирование или Хитрую Логику Отбора Запросов речи нет, данную запись просто будут искать в зоне, не найдут – отправят отказ. Так вот, чтобы её находили, нужно создать alias (CNAME, говоря по-DNS’овскому), который укажет, что если кто-то ищет запись 100.12.11.10.in-addr.arpa, то на самом деле ему надо выдать 100.64-26.12.11.10.in-addr.arpa. Как понимаете, получив такой ответ, цепочка разрешения имени продолжится, уже штатно обработав запись о существовании делегирования на зону 64-26.12.11.10.in-addr.arpa внутри зоны 12.11.10.in-addr.arpa. И вот тогда запрос уйдёт по цепочке делегирования зон дальше, на dc2, где и будет обработан.
 
Такие вот костыли.
 
Выше я упоминал, что при reverse-lookup зонах с не-классовой маской не работает динамическая регистрация PTR. Думаю, теперь понятно, что удивительно, если бы она в таком механизме работала.
 
Т.е. – провайдеру надо не только прописать делегирование на сервер клиента некоей зоны со спец.названием – ему надо ещё прописать пачкой все хосты как CNAME’ы, чтобы перенаправлять нормальные запросы в эту специфичную дочернюю зону (в нашем случае 64-26, это 64 CNAME’а).
 
Теперь переключаемся на клиента. На нём надо будет создать зону (опять же с настройками по-умолчанию, reverse lookup, IPv4), которая будет называться так же, как и предполагает сервер – т.е. так как Microsoft даёт несколько вариантов именования, не забудьте, что во взаимодействующих серверах неплохо бы использовать одинаковые. 🙂
 
Это будет выглядеть как-то так:
Создание клиентской reverse lookup-зоны
Казалось бы, теперь только добавить записи. У меня получилось как-то так:
Добавляем PTR-записи в reverse lookup зону
Ну а теперь тестируем. Делаем это просто – берём nslookup, зацепляемся за dc1, указываем, что хотим PTR-запись, и спрашиваем адрес 10.11.12.100.
Тестирование работоспособности reverse lookup для зоны с нестандартной маской
Работает! Хотя странно, если бы не работало – зона как зона, делегирование как делегирование, разве что всё внутри reverse lookup.
 
Но, в общем, в случае использования исключительно Microsoft DNS и необходимости, допустим, делегировать на разные NS-сервера управление небольшими кусочками адресного пространства, данный способ реально рабочий. А разово создать CNAME’ы и PTR’ы – не такая и проблема, можно открыть в блокноте или WordPad файл зоны и сделать это сразу массово:
Вручную добавляем записи в reverse lookup зону
Главное, точки после FQDN у PTR-записей не забудьте поставить, а то клиент, запрашивающий разрешение адреса в имя, слегка удивится результату:
Как не надо делать reverse lookup
Не пугайтесь, кстати, что ответов несколько – PTR-то один, поэтому софт, который запрашивает именно PTR, будет нормально воспринимать эту схему, хоть в ответе и будет видеть дополнительную CNAME.
 
Вкратце всё. Удачного использования!

Дата последнего редактирования текста: 2013-10-05T07:13:58+08:00

Возможно, вам будет также интересно почитать другие статьи про DNS на нашей Knowledge Base

www.atraining.ru

Как создать обратную зону в windows server 2008R2

О том что такое обратная зона можно почитать тут, а мы с вами начнем создавать свою. Открываем оснастку DNS, через пуск-Администрирование или в пуске введите dnsmgmt.msc эффект будет тот же.

Как создать обратную зону в windows server 2008R2-01

Выбираем пункт обратные зоны и щелкаем по нему правым кликом, откроется контекстное меню в котором выбираем создать.

Как создать обратную зону в windows server 2008R2-02

Откроется мастер, жмем Далее.

Как создать обратную зону в windows server 2008R2-03

Оставляем тип основная и жмем далее.

Как создать обратную зону в windows server 2008R2-04

Выбираем на каком уровне будет происходить репликация зоны, жмем далее.

Как создать обратную зону в windows server 2008R2-05

Оставляем ipv4 если вам нужна ipv6 выбирайте ее

Как создать обратную зону в windows server 2008R2-06

Задаем идентификатор сети, то есть первые 3 актета сетки

Как создать обратную зону в windows server 2008R2-07

Для большей безопасности разрешим только безопасные динамические обновления.

Как создать обратную зону в windows server 2008R2-08

Готово.

Как создать обратную зону в windows server 2008R2-09

Видим что у нас появилась наша зона, обратите внимание, что она начинается с идентификатора сети и всегда заканчивается на in-addr.arpa.

Как создать обратную зону в windows server 2008R2-10

Теперь проверим, что все работает и днс разрешает ip в имена. Открываем cmd и вводим nslookup 10.10.1.1. Видим, что ip правильно разрешился в имя.

Как создать обратную зону в windows server 2008R2-11

 

 

pyatilistnik.org

Обратная зона днс в связке Windows Server Primary(master) DNS and Linux Secondary(slave) DNS

В связке принимают участие Windows Server 2012R2 и Ubuntu 14.04.5. Первоначальной задачей была необходимость отображения имен вместо ip адресов в приложение SARG (анализатор лог-файлов) на Linux системе. Так как в нашем случае настроен домен, первичным ДНС выступает Windows.

Локальная сеть 10.10.12.0/24

Primary DNS 10.10.12.2

Secondary DNS 10.10.12.1

Первый этап:

Добавление обратной зоны Windows Server Primary DNS.

1. Открываем DNS

Панель управления - > Администрирование -> DNS

2. Нажимаем правой кнопкой мыши на Зоны обратного просмотра и выбираем Создать новую зону

3. На 2-ом шаге "Тип зоны" выбираем Основная зона и ставим галочку на Сохранять зону в Active Directory (доступна только для DNS-сервера, являющегося доступным для записи контроллером домена)


4. На 3-ем шаге выбираем Для всех DNS-серверов, работающих на контроллерах домена в этом домене (ваш домен)


5. Обратная зона будет у нас для IPv4. Выбираем на 4-ом шаге.

6. Далее указываем идентификатор сети

7. На следующем шаге выбираем

Разрешить только безопасные динамические обновления (рекоменд. для AD)

8. Создание обратной зоны выполнено.

Записи PTR автоматически появятся в списке.

9. Дальше нам нужно разрешить передачу зон на Secondary DNS

Заходим в свойства зоны и переходим на вкладку Передачи зон

Ставим галочку на против Разрешить передачи зон:

только на серверы из этого списка

Ниже нажимаем на Изменить и добавляем ip адрес Secondary DNS


Второй этап:

Добавление обратной зоны на Ubuntu Secondary DNS

Первоначальную установку пакета описывать не буду, сразу перейдем к настройке.

1. Открываем файл /etc/bind/named.conf.options

после строчки

directory "/var/cache/bind";

добавляем

allow-query { any; };
version "Super DNS server";
allow-recursion { none; };

ниже находим строчку dnssec-validation auto;

её нужно за комментировать

сохраняем.

2. Открываем файл /etc/bind/named.conf.local

добавляем туда

zone "12.10.10.in-addr.arpa" IN {
type slave;
file "/var/cache/bind/12.10.10.in-addr.arpa";
masters { 10.10.12.1; };
};

сохраняем.

3. Перезапускаем сервис bind

service bind9 restart

или

/etc/init.d/bind9 restart

Готово.

worldadmin.ru

Отправить ответ

avatar
  Подписаться  
Уведомление о