Настройка обратного просмотра DNS в Windows Server 2008

Прямой просмотр нужен для разрешения доменных имен в ІР-адреса, обратный просмотр – для разрешения ІР-адресов в доменные имена.

В каждом сегменте сети должна быть зона обратного просмотра. В частности, если у вас есть подсети 192.168.10.0, 192.168.11.0 и 192.168.12.0, у вас должно быть три зоны обратного просмотра.

Стандартное имя зоны обратного просмотра составляется из идентификатора сети, выстроенного в обратном порядке, и суффикса in-addr.arpa. Зоны обратного просмотра из предыдущего примера будут называться 10.168.192. in-addr.arpa, 11.168.192.in-addr.arpa и 12.168.192.in-addr.arpa. Записи зон обратного и прямого просмотра должны быть синхронизированы. В случае сбоя синхронизации в домене может произойти сбой проверки подлинности.

Чтобы создать зону обратного просмотра, выполните следующие действия:

1. Откройте, консоль Диспетчер DNS (DNS Manager) и подключитесь к нужному серверу.

2. Щелкните правой кнопкой элемент сервера и выберите команду Создать новую зону (New Zone). Откроется Мастер создания новой зоны (New-Zone Wizard). Щелкните Далее (Next).

3. Если вы настраиваете основной сервер, интегрированный с Active Directory, установите переключатель Основная зона (Primary Zone) и убедитесь, что установлен флажок Сохранять зону в Active Directory (Store The Zone In Active Directory). Если вы не хотите интегрировать DNS в Active Directory, установите переключатель Основная зона (Primary Zone) и сбросьте флажок Сохранять зону в Active Directory (Store The Zone In Active Directory). Щелкните Далее (Next).

4. Если вы настраиваете зону обратного просмотра для дополнительного сервера, установите переключатель Дополнительная зона (Secondary Zone)

и щелкните Далее (Next).

5. Если вы интегрируете зону с Active Directory, выберите одну из следующих стратегий репликации:

• Для всех DNS-серверов в этом лесу (То All DNS Servers In This Forest) Это обширнейшая стратегия репликации. Помните, что лес Active Directory включает все деревья доменов, использующие данные каталога совместно с текущим доменом.

• Для всех DNS-серверов в этом домене (То All DNS Servers In This Domain) Выберите эту стратегию, чтобы реплицировать информацию DNS внутри текущего домена и его дочерних доменов.

• Для всех контроллеров домена в этом домене (То All Domain Controllers In This Domain) Выберите эту стратегию, если хотите реплицировать информацию DNS на все контроллеры домена внутри текущего домена и его дочерних доменов. Хотя эта стратегия обеспечивает более широкую репликацию информации DNS внутри домена, не каждый контроллер домена является DNS-сервером (вам и не нужно настраивать каждый контроллер домена как DNS-сервер).

6. Установите переключатель Зона обратного просмотра (Reverse Lookup Zone). Щелкните Далее (Next).

7. Укажите, для каких адресов вы хотите создать зону обратного просмотра (IPv4 или IPv6) и щелкните Далее (Next). Выполните одно из следующих действий:

• Если вы проводите настройку для IPv4, введите идентификатор сети для зоны обратного просмотра. Вводимые значения определяют стандартное имя зоны обратного просмотра. Щелкните Далее (Next).

• Если вы проводите настройку для IPv6, введите префикс сети для зоны обратного просмотра. Имена зон автоматически генерируются на основе вводимых значений. В зависимости от введенного префикса вы можете создать до восьми зон. Щелкните

Далее (Next).

8. Если вы настраиваете основной или дополнительный сервер, не интегрированный в Active Directory, задайте имя файла зоны. Стандартное имя файла для БД зоны DNS должно быть уже введено. Оставьте его неизменным или введите новое имя. Щелкните Далее (Next).

9. Укажите, следует ли разрешить динамические обновления. У вас есть три возможности:

• Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates) Если зона интегрирована в Active Directory, вы можете воспользоваться списками ACL, чтобы ограничить круг клиентов, которые могут выполнять динамические обновления. Если вы установите этот переключатель, динамически обновлять записи ресурсов смогут только клиенты с учетными записями компьютеров, прошедшими проверку, и одобренными ACL.

• Разрешить любые динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates)

Установите этот переключатель, чтобы позволить любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

• Запретить динамические обновления (Do Not Allow Dynamic Updates) Этот переключатель отключает динамические обновления DNS. Его следует использовать только при отсутствии интеграции зоны с Active Directory.

10.Щелкните Далее (Next), затем щелкните Готово (Finish), чтобы завершить процесс. Новая зона добавляется на сервер, и автоматически создаются базовые DNS-записи.

После установки зон обратного просмотра необходимо убедится в правильности обработки делегирования для зоны. Свяжитесь с информационным отделом или поставщиком услуг Интернета, чтобы проверить регистрацию зон в родительском домене.

Создание в Windows Server обратной DNS-зоны с нестандартной маской

Привет.   Оригинальная статья написана Димой Макаровым несколько лет назад – и, увы, при смене домена и переезде иллюстрации от неё потерялись. Поэтому я (Ruslan V. Karmanov) чуть актуализовал материал, добавил дополнительный и сделал новые картинки. Материал статьи работоспособен на всех серверных версиях Windows, от 2000й до Windows 10, которая Threshold (на ней и сделаны скриншоты).   Давайте представим ситуацию, когда провайдер делегирует управление доменом клиенту. Плюс, чтобы не заморачиваться, сразу же и делегирует ему же управление обратной зоной – ну, выделил клиенту диапазон IP-адресов, и не хочет постоянно менять или исправлять записи в reverse lookup зоне. Клиент ведь может легко делать это сам – достаточно просто перенаправлять reverse lookup-запросы, которые приходят к провайдеру снаружи, но относятся к клиентскому диапазону, на клиентский DNS-сервер(а). Казалось бы, всё просто – бери да делай. Вот так например: Но вот незадача, клиент использует Windows Server, а подсеть клиента – не классовая, а, допустим, /26. Т.е. маска – VLSM-ная. В штатном интерфейсе создать такую зону не получится никак. Давайте смоделируем эту ситуацию и посмотрим, что можно сделать.   Для организации тестового полигона воспользуемся Microsoft Windows Server 2012 R2 со всеми обновлениями на январь 2015 года. Нам понадобится 2 сервера. Первый –

dc1 мы будем считать провайдером. IPv4 адрес у него будет 192.168.160.1 / 24. Второй, dc2, будем считать NS-сервером клиента, которому провайдер делегирует кусочек адресного пространства. IPv4 адрес 192.168.160.2 / 24.   Будем считать, что AS провайдера содержит сеть 10.11.12.0 / 24, а клиенту необходимо делегировать обработку второй четвертинки этой сети – т.е. 10.11.12.64 / 26.   Создадим reverse lookup-зону на провайдере: Замечу, что размер зоны некритичен – просто штатным способом в Microsoft DNS Server мы сможем создать только зону с “классовой” маской – 8, 16 или 24 бита. Остальные параметры так же некритичны – поэтому я создал её как файл, и без динамических обновлений (забегая вперёд, динамические обновления для PTR-записей, находящихся в reverse-зонах с нестандартной маской, все равно не работают). Вот что у меня вышло:   Теперь нам надо создать в этой “провайдерской” зоне запись о том, что все запросы про адреса с

10.11.12.64 по 10.11.12.127 (именно так, ведь это с точки зрения DNS будет просто диапазоном адресов, а не сетью, поэтому никакой спец.обработки адреса сети и широковещательного адреса не планируется) будут передаваться на сервер dc2.   Через штатный механизм (MMC-оснастку DNS Server и меню New Delegation…) создаём в reverse lookup-зоне 12.11.10.in-addr.arpa новое делегирование. Его параметры будут следующими – NS-сервер, на который будут перенаправляться запросы – dc2, а вот имя делегируемой зоны мы можем выбрать различное. Microsoft обычно предлагает что-то вида:   последний октет ID подсети–количество бит в маске подсети   или   последний октет ID подсети /количество бит в маске подсети   Мне нравится первый вариант, потому что всё ж слэш – он не входит в любимые всеми DNS-серверами символы, а минус – вполне.   Так как мы договорились отдавать клиенту вторую четвертинку сети 10.11.12.0 / 24, а это 10.11.12.64 / 26, то результат в нашем случае таков: ОК, заготовка на сервере есть. Отдельно остановлюсь на простом и неприятном моменте. Суть в том, что никакой хитрой фильтрации запросов, уходящих в делегированные зоны, сервер Microsoft DNS не производит совсем. То есть то, что мы создали – это просто некая именованная дочерняя DNS-зона, самостоятельно перенаправлять в неё запросы сервер не будет. Чтобы он их перенаправлял, и именно в неё, и именно нужные, надо регистрировать CNAME-записи – столько, сколько будет делегированных адресов. Я создам одну такую запись и на её примере покажу, какой все они будут иметь вид: Т.е. это CNAME, указывающий на то, что если кто-то запросит reverse lookup и этот запрос попадёт на наш “провайдерский” сервер, то сервер сообразит, что это – что-то внутри зоны

10.11.12.0 / 24, а раз reverse lookup, то ищем запрашиваемый 10.11.12.100 внутри имеющейся на сервере зоны 12.11.10.in-addr.arpa. Искомое будет иметь полный вариант написания вида 100.12.11.10.in-addr.arpa, заметьте – ни про какое делегирование или Хитрую Логику Отбора Запросов речи нет, данную запись просто будут искать в зоне, не найдут – отправят отказ. Так вот, чтобы её находили, нужно создать alias (CNAME, говоря по-DNS’овскому), который укажет, что если кто-то ищет запись 100.12.11.10.in-addr.arpa, то на самом деле ему надо выдать 100.64-26.12.11.10.in-addr.arpa. Как понимаете, получив такой ответ, цепочка разрешения имени продолжится, уже штатно обработав запись о существовании делегирования на зону 64-26.12.11.10.in-addr.arpa внутри зоны 12.11.10.in-addr.arpa . И вот тогда запрос уйдёт по цепочке делегирования зон дальше, на dc2, где и будет обработан.   Такие вот костыли.   Выше я упоминал, что при reverse-lookup зонах с не-классовой маской не работает динамическая регистрация PTR. Думаю, теперь понятно, что удивительно, если бы она в таком механизме работала.   Т.е. – провайдеру надо не только прописать делегирование на сервер клиента некоей зоны со спец.названием – ему надо ещё прописать пачкой все хосты как CNAME’ы, чтобы перенаправлять нормальные запросы в эту специфичную дочернюю зону (в нашем случае 64-26, это 64 CNAME’а).   Теперь переключаемся на клиента. На нём надо будет создать зону (опять же с настройками по-умолчанию, reverse lookup, IPv4), которая будет называться так же, как и предполагает сервер – т.е. так как Microsoft даёт несколько вариантов именования, не забудьте, что во взаимодействующих серверах неплохо бы использовать одинаковые. 🙂   Это будет выглядеть как-то так: Казалось бы, теперь только добавить записи. У меня получилось как-то так: Ну а теперь тестируем. Делаем это просто – берём nslookup, зацепляемся за dc1, указываем, что хотим PTR-запись, и спрашиваем адрес 10.11.12.100. Работает! Хотя странно, если бы не работало – зона как зона, делегирование как делегирование, разве что всё внутри reverse lookup.   Но, в общем, в случае использования исключительно Microsoft DNS и необходимости, допустим, делегировать на разные NS-сервера управление небольшими кусочками адресного пространства, данный способ реально рабочий. А разово создать CNAME’ы и PTR’ы – не такая и проблема, можно открыть в блокноте или WordPad файл зоны и сделать это сразу массово: Главное, точки после FQDN у PTR-записей не забудьте поставить, а то клиент, запрашивающий разрешение адреса в имя, слегка удивится результату: Не пугайтесь, кстати, что ответов несколько – PTR-то один, поэтому софт, который запрашивает именно PTR, будет нормально воспринимать эту схему, хоть в ответе и будет видеть дополнительную CNAME.   Вкратце всё. Удачного использования!

Дата последнего редактирования текста: 2013-10-05T07:13:58+08:00

Возможно, вам будет также интересно почитать другие статьи про DNS на нашей Knowledge Base

Добавление зоны обратного просмотра

Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств. Несмотря на то что зоны обратного просмотра не являются обязательными в большинстве сетей, они могут оказаться полезными для определенных приложений безопасности, нуждающихся в подтверждении по IP-адресу. Дополнительные сведения см. в разделе Общее представление о типах зон.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.

Чтобы добавить зону обратного просмотра с помощью интерфейса Windows

1. Откройте диспетчер DNS.

2. В дереве консоли щелкните правой кнопкой мыши DNS-сервер и выберите Новая зона для запуска мастера создания зоны.

3. Чтобы создать зону обратного просмотра, выполните все инструкции.

Дополнительные сведения

• Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.

Чтобы добавить зону обратного просмотра с помощью командной строки

1. Откройте окно командной строки.

2. Введите указанную ниже команду и нажмите клавишу ВВОД.

dnscmd <ServerName> /ZoneAdd <ZoneName> {/Primary|/DsPrimary} [/file <FileName>] [/load] [/a <AdminEmail>] [/DP <FQDN>]

Параметр	Описание
dnscmd	Средство командной строки для управления DNS-серверами.
<Имя_сервера>	Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).
/ZoneAdd	Обязательный компонент. Добавление зоны.
<Имя_зоны>	Обязательный компонент. Полное доменное имя домена in-addr.arpa для этой зоны, например: 20.1.168.192.in-addr.arpa.
/Primary|/DsPrimary	Обязательный компонент. Определение типа зоны. Чтобы указать зону-заглушку, интегрированную в Active Directory, введите /DsPrimary.
/file	Обязательно для /Primary. Указание файла для новой зоны. Этот параметр недопустим для типа зоны /DsPrimary.
<Имя_файла>	Требуется для параметра /Primary. Определяет имя файла зоны. Этот параметр недопустим для типа зоны /DsPrimary.
/load	Загрузка существующего файла зоны. Если этот параметр не определен, записи зоны по умолчанию создаются автоматически. Этот параметр неприменим к /DsPrimary.
/a	Добавление адреса электронной почты администратора зоны.
<Эл.почта_администратора>	Определение адреса электронной почты администратора зоны.
/DP	Добавление зоны в раздел каталога приложений. Также можно использовать один из следующих параметров. /DP /domain — для раздела каталога домена (репликация на все DNS-серверы домена). /DP /forest — для раздела каталога леса (репликация на все DNS-серверы леса). /DP /legacy — для устаревшего раздела каталога (репликация на все контроллеры домена в домене). С помощью этого параметра поддерживаются домены, контроллеры которых работают под управлением устаревшей операционной системы Windows 2000 Server.
<Полное_доменное_имя>	Указание полного доменного имени каталога раздела.

Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:

Дополнительная информация

• Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

Доменные имена в обратной зоне DNS (reverse DNS) в работе почтового сервера

Система доменных имён — основа современного интернета. Люди не желают затруднять себя запоминанием набора цифр 63.245.217.105, а хотят чтобы по имени mozilla.org компьютер соединил их с указанным узлом. Этим и занимается DNS: переводит запросы людей в понятный компьютерам цифровой формат. Однако в некоторых случаях может потребоваться обратное (reverse) преобразование IP-адрес → DNS-имя. Их также называют PTR-записи (PoinTeR, англ. — указатель). О таких именах и пойдёт речь ниже.

Для чего нужно?

Наличие корректно настроенного rDNS адреса совершенно необходимо, чтобы отправлять сообщения с вашего собственного сервера корпоративной почты. Практически все почтовые серверы отвергнут приём сообщения ещё на стадии начала сессии, если у IP-адреса вашего отсутствует запись в обратной зоне DNS. Причина отказа удалённым почтовым хостом будет, скорее всего, указана такой:
550-«IP address has no PTR (address to name) record in the DNS, or when the PTR record does not have a matching A (name to address) record. Pls check and correct your DNS record.»

или
550-There’s no corresponding PTR for your IP address (IP-address), which is 550 required. Sorry, bye.

или просто
550 Your IP has no PTR Record

Число 550 во всех трёх случаях является стандартным кодом SMTP, сообщающим о критической ошибке, которая непреодолимо препятствует дальнейшей работе в рамках данной почтовой сессии. Надо сказать, что вообще все ошибки серии 500 являются критическими и продолжение передачи почты после их появления невозможно. Текст же поясняет причину отказа более подробно и сообщает, что администратор сервера-получателя настроил его на проверку наличия у сервера-отправителя записи в обратной зоне DNS (rDNS) и в случае её отсутствия получатель обязан отказывать отправителю в соединении (SMTP-ошибки серии 5XX).

Как настроить и использовать?

Правами на настройку обратной зоны DNS (reverse DNS) обладает лишь владелец соответствующего блока IP-адресов, которой эта зона соответствует. Как правило этим владельцем оказывается провайдер, владеющий собственной автономной системой. Подробнее о регистрации своей автономной системы (AS) и блока IP-адресов можно прочитать в этой статье. Если кратко, то оператору блока IP-адресов для регистрации обратной зоны DNS необходимо зарегистрировать в своём личном кабинете на сайте RIPE объект типа «domain», указать адрес DNS-серверов, которые будут поддерживать зону rDNS и настроить поддержку зоны вида 3.2.1.in-addr.arpa на них. За ресурсы в обратной зоне отвечает указатель (pointer) — запись типа PTR. К ней-то и идут запросы о разрешении IP-адреса в имя хоста.

Если же вы не являетесь счастливым обладателем автономной системы, то настройка rDNS для IP-адреса или адресов почтового сервера для вас начинается и заканчивается запросом в службу поддержки провайдера или хостера. В обоих случаях имя IP-адресу почтового сервера, а особенно корпоративного почтового сервера, следует давать осмысленно.

Примеры хороших имён для сервера почты:

mail.domain.ru
mta.domain.ru
mx.domain.ru

Примеры плохих имён:

host-192-168-0-1.domain.ru
customer192-168-0-1.domain.ru
vpn-dailup-xdsl-clients.domain.ru

и подобные. Такие имена с высокой вероятностью попадут под фильтр как назначенные клиентским компьютерам, на которых не может быть установлен почтовый сервер, следовательно с них рассылается спам.

С успехом использовать запросы к обратным зонам DNS можно и нужно сразу после запуска почтового сервера. Для этого необходимо произвести лишь небольшую настройку ПО. В разных почтовых серверах настройка проверки rDNS делается по-разному:

так для почтового сервера Postfix необходимо включить опцию
reject_unknown_client

в другом популярном почтовом сервере Exim
verify = reverse_host_lookup

MS Exchange Server
В оснастке Exgange Server перейти в раздел Servers далее выбрать сервер в развернутом списке, выбрать Protocols, далее протокол SMTP, в правом окне выделить SMTP сервер и по клику правой клавишей мыши выбрать из списка Properties. Далее закладка Delivery → Perform reverse DNS lookup on incoming messages

Теперь все сообщения с IP-адресов не имеющих обратной записи в DNS (записей типа PTR) будут отвергаться, поток спама, значительно сократится. Пожалуй, это самый простой, действенный и наименее ресурсоёмкий из всех методов фильтрации спама: проверкой reverse DNS отсекается подавляющее большинство спама, рассылаемого с заражённых компьютеров обычных пользователей, составляющих ботнеты спамеров.

Затрудняетесь с самостоятельной настройкой почтового сервера? Поручите все заботы профессионалам — хостинг корпоративной почты с круглосуточной поддержкой.

Частые вопросы

DNS-сервер в Windows Server 2012-2016 » Блог Андрея Бондаренко

Приветствую Вас, уважаемые читатели. Сегодня у нас тема: «DNS-сервер в Windows Server 2012-2016». И опять две ОС в одной статье. Статья о добавлении роли DNS-сервера, и создании зон просмотра.

В этой статье мы пройдем по тем же шагам, что и в предыдущей статье, только произведём все действия на другой операционной системе.

Установка DNS-сервера в Windows Server 2012-2016

Подготовительные действия

Так же как и в статье о Windows Server 2008, убеждаемся, что сетевой адаптер у Вас настроен должным образом. (Ip адресс, маска подсети, основной шлюз, DNS-сервера)

• В свойствах системы, заходим в «Изменить параметры», и в открывшемся окне жмём на «Изменить».

• В следующем окне, даём имя серверу (на Ваше усмотрение), и жмём на «Дополнительно».

Открывается следующее окно.

• Прописываем основной DNS-суффикс компьютера.(Имя домена Вашей сети)
• Жмём «ОК».

• В окне, изменения имени компьютера, так же жмём «ОК».

Выходит сообщение, о необходимости перезагрузить компьютер.

• Перезагружаем компьютер.

Добавление роли DNS-сервера

• После загрузки системы, открываем диспетчер сервера, и заходим в «Добавить роли и компоненты».

• Жмём «Далее», в окне памятке мастера.

• В окне, типа установки, нас интересует «Установка ролей и компонентов».
• Жмём «Далее».

В следующем окне нам нужно выбрать целевой сервер.

• Выбираем нужный сервер или виртуальный диск.
• Жмём «Далее».

Следующий шаг, это выбор ролей сервера.

• Выбираем DNS-сервер.

• Появляется окно с компонентами, необходимыми для функционала данной роли.
• Жмём «Добавить компоненты».

• И в окне, выбора ролей, жмём «Далее».

В следующем окне, можно выбрать дополнительные компоненты.

• Если что то нужно, выбираем.
• Жмём «Далее».

Окно с информацией о DNS-сервере.

• Выходит сводка, устанавливаемых компонентов.
• Если ничего не забыли, то жмём «Установить».

• Ждём окончания установки.
• По окончании, жмём «Закрыть».

Настройка DNS-сервера

• Заходим в диспетчер сервера, в списке выбираем «DNS».
• В панели мониторинга появляется наш сервер, кликаем по нему правой кнопкой мышки, и выбираем «Диспетчер DNS».

• Открывается оснастка, выбираем наш сервер, кликаем правой кнопкой мышки, и выбираем «Настроить DNS-сервер».

• Открывается мастер.
• Жмём «Далее».

Открывается окно выбора действия.

• Выбираем «Создание зон прямого и обратного просмотра».
• Жмём «Далее».

• В следующем окне, выбираем «Да, создать зону прямого просмотра».
• Жмём «Далее».

Следующее окно, это выбор типа зоны.

• Выбираем «Основная».
• Жмём «Далее».

• Теперь нужно задать имя зоны.
• Задаём имя, и жмём «Далее».

Следующий шаг, это создание файла зоны.

• Выбираем «Создать новый», и жмём «Далее».

• В следующем окне, запрещаем динамические обновления. Мы будем сами обновлять информацию на сервере.
• Жмём «Далее».

• Далее нам предлагают создать зону обратного просмотра, ведь мы выбрали это в предыдущих шагах.
• Выбираем «Да, создать зону обратного просмотра сейчас».
• Жмём «Далее».

• В выборе типа зоны, выбираем «Основная».
• Жмём «Далее».

Далее окно выбора версии протокола, для зоны.

• Выбираем «Зона обратного просмотра IPv4».

• В открывшемся окне, указываем идентификатор зоны, и жмём «Далее».

Окно создания файла зоны.

• Выбираем «Создать новый файл», и жмём «Далее».

• Так же, как и при создании зоны прямого просмотра, запрещаем динамические обновления.
• Жмём «Далее».

• Сервер у нас в сети будет один, так что в следующем окне, выбираем вариант «Нет, не пересылать запросы».
• Жмём «Далее».

• Система начинает поиск корневых ссылок.

У нас нет подключения к интернету, поэтому результата не будет.

• Появляется окно, завершения настройки, жмём «Готово».

• Выходит сообщение, о неудаче в поиске корневых ссылок.
• Жмём «ОК».

Проверяем созданные зоны

• В диспетчере DNS, открываем вкладку «Зоны прямого просмотра», и видим созданную нами зону.

• Открываем вкладку «Зоны обратного просмотра», и так же видим зону, которую мы создали.

Сегодня мы рассмотрели тему: «DNS-сервер в Windows Server 2012-2016». Добавили роль DNS-сервера, и создали зону прямого, и зону обратного просмотра.

Надеюсь статья была вам полезна. До встречи в новых статьях.

✍

С уважением, Андрей Бондаренко.

---

Видео на тему «DNS-сервер в Windows Server 2016»:

Использование обратных зон в современных приложениях | Windows IT Pro/RE

Как известно, основное предназначение службы DNS, на которой базируются современные сети, — разрешение имен компьютеров (хостов) в IP-адреса. Но помимо этой задачи служба DNS выполняет еще и обратную процедуру, т. е. так называемую обратную проверку (reverse lookup), а именно определяет по IP-адресу имя компьютера. Данная операция используется для проверки компьютера, выполняющего подключение к какому-либо сетевому приложению, и это сетевое приложение может запросить у службы DNS разрешение IP-адреса, с которого выполняется подключение, в имя. Поскольку в современных сетях при формировании запроса можно указать любое имя, но указать чужой IP-адрес в большинстве случаев не получится, данный способ проверки обладает определенной степенью надежности. Ведь привязать имя к IP-адресу так, чтобы служба DNS разрешила этот IP-адрес именно в это имя, может только тот, кто официально владеет данным IP-адресом.

Примером приложения, использующего обратную проверку, может служить почтовый сервер Microsoft Exchange Server, причем любая его версия. Мы рассмотрим Exchange Server 2003. В указанном продукте обратная проверка, т. е. разрешение IP-адреса в имя, применяется сервером Exchange для формирования списков SMTP-серверов, от которых нельзя принимать подключения (см. экран 1), а также при настройке ограничений на сервере пересылки почты (open relay; см. экран 2).

В этих механизмах обратная проверка позволяет принимать решение на основе того, к какому DNS-домену принадлежит компьютер, выполняющий подключение. Так, например, подключение сервера может быть принято, если он принадлежит домену nwtraders.com, и наоборот, подключение может быть отклонено, если компьютер зарегистрирован в домене contoso.com. Кроме того, некоторые почтовые системы могут использовать механизм обратной проверки для проверки имени SMTP-сервера, которое тот указал в команде EHLO/HELO. Последняя возможность используется в качестве одного из элементов в системе противодействия рассылке спама, что весьма актуально при нынешней ситуации в почтовых системах. Однако для этого типа проверки обычно используются операции прямого просмотра (forward lookup), поскольку злоумышленник, рассылающий спам через свой почтовый сервер, скорее всего, имеет доступ к его общедоступному IP-адресу и серверу DNS и, следовательно, сможет менять имя, в которое разрешается его IP-адрес, по своему желанию. Поэтому тот же сервер Exchange, несмотря на то что параметр, включающий проверку имени из команды EHLO/HELO, называется Perform reverse lookup on incoming messages (см. экран 3), для проверки имени использует прямой просмотр.

Таким образом, использование обратной проверки предоставляет определенные возможности администраторам почтовых систем и налагает некоторые обязательства. Если администратор хочет избежать проблем при отправке почты, он должен в обратной зоне, к которой принадлежит IP-адрес его почтового сервера, создать запись типа PTR. В этой записи нужно привязать IP-адрес почтового сервера к имени, которое сервер использует в команде EHLO. Однако при выполнении всех этих настроек администратор столкнется с рядом сложностей, о которых и пойдет речь ниже.

Обратные зоны для бесклассовых диапазонов

Классические обратные зоны DNS-серверов позволяют оперировать только классовыми диапазонами IP-адресов. Соответственно, минимальным диапазоном, для которого можно создать обратную зону, является класс C. Однако большинство предприятий использует гораздо меньшие диапазоны — 4, 8, 16 IP-адресов. В этом случае поддержку обратных зон Internet-провайдеру приходится брать на себя. Тем самым снижается гибкость в управлении адресами для потребителей и повышается нагрузка на администраторов провайдера. Для делегирования пользователям полномочий управления обратным разрешением их IP-адресов в имена требуется использовать бесклассовые обратные зоны.

В первую очередь нужно сказать, что DNS явно не поддерживает создание и делегирование бесклассовых обратных зон. Для решения этой задачи будут использоваться стандартные механизмы сервера DNS, но нестандартным способом. Кроме того, объем работы по созданию бесклассовых обратных зон будет достаточно громоздким, но позволяет достичь цели — разделить диапазон IP-адресов обратной зоны на подсети и делегировать их на другие серверы DNS.

Второй аспект — обратные зоны работают с теми же доменами, что и прямые зоны, только домены обратных зон похожи на IP-адреса, но именно похожи. Поэтому уточним задачу: необходимо разделить обратную зону для диапазона 192.168.1.0 между двумя клиентами пополам.

Первым делом на серверах DNS клиентов создадим обратные зоны для доменов subnet1.1.168.192.in-addr.arpa., на одном сервере для первого клиента, и subnet2.1.168.192.in-addr.arpa., на втором сервере DNS для второго клиента.

Затем на сервере DNS провайдера в домене 1.168.192.in-addr.arpa создадим делегирование для этих дочерних доменов на серверы DNS клиентов.

Далее в зоне домена 1.168.192.in-addr.arpa создадим записи типа CNAME для каждого адреса хоста, который будет ссылаться на запись PTR в дочернем домене, делегированном клиенту. Имя компьютера, указанное в этой записи, и будет возвращаться в ответ на запрос, а указывать имя будет администратор компании-клиента.

Сама запись будет выглядеть так:

1 CNAME 1.subnet1.1.168.192.in-addr.arpa

На сервере DNS клиента в зоне, поддерживающей дочерний домен subnet1, создадим обычную запись PTR, например:

1 PTR server.domain.ru

Основная сложность заключается в том, что нужно будет создать псевдонимы для всех адресов, поэтому проще эту задачу выполнять, редактируя файлы зон напрямую.

Теперь давайте рассмотрим пример практической реализации изложенных принципов посредством графического интерфейса сервера DNS из состава операционной системы Windows Server.

Первый шаг: создаем обычную обратную зону для диапазона 192.168.1.0/24, как показано на экране 4.

Затем командой New Alias (CNAME) из контекстного меню зоны или меню Action в этой зоне создаем псевдонимы (см. экран 5).

В результате получаем описание зоны, представленное на экране 6.

Далее командой New Delegation из контекстного меню обратной зоны 192.168.1.0/24 выполняем делегирование для дочернего домена subnet1 на сервер DNS клиента (экраны 7 и 8). На экране 9 показано, как теперь будет выглядеть сама обратная зона для диапазона 192.168.1.0/24.

Все, что осталось, так это на сервере DNS клиента создать обратную зону для домена subnet1.1.168.192.in-addr.arpa. Для этого запускаем обычный мастер создания обратных зон, но в окне Reverse Lookup Zone Name выбираем переключатель, позволяющий непосредственно указать имя новой обратной зоны (см. экран 10). В результате получаем на сервере клиента такую обратную зону, как показано на экране 11.

Цель достигнута, теперь администратор клиента может создавать на своем сервере DNS обычные обратные записи (PTR) для IP-адресов своих компьютеров, например так, как на экране 12.

Если теперь попробовать разрешить IP-адрес в имя, используя сервер DNS, на котором находится обратная зона диапазона 192.168.1.0/24, то результат будет, как на экране 13.

Как и было сказано выше, делегирование обратных зон для бесклассовых диапазонов выполняется посредством нестандартного использования обычных возможностей сервера DNS. Фактически предложенный метод выполняет делегирование каждого отдельно взятого IP-адреса. Для каждого адреса администратор сервера DNS провайдера посредством псевдонима должен указать, где искать имя, соответствующее данному IP-адресу. Каких-либо расчетов, связанных с идентификаторами сети и идентификаторами хоста в делегируемых IP-адресах, выполнять нет никакой необходимости, поскольку диапазон адресов в этом методе не делится, просто перебираются все IP-адреса и каждому вместо имени ставится в соответствие ссылка на другой сервер DNS. Ну а если какие-то адреса остаются у провайдера, то он для них создает традиционные обратные записи вместо псевдонимов. Дочерние домены, в данном примере subnet1 и subnet2, как раз представляют собой ссылки на серверы DNS клиентов, которым выделяются бесклассовые диапазоны IP-адресов. Когда какому-то клиенту выделяются те или иные адреса, для него в обратной зоне соответствующего классового диапазона создается дочерний домен, который делегируется на сервер DNS клиента, с именем, например, subnetN, где N — номер клиента, и IP-адресам, выделенным этому клиенту, ставятся в соответствие псевдонимы, ссылающиеся на этот домен. А в созданном дочернем диапазоне клиент становится полновластным хозяином и самостоятельно решает, в какие имена будут разрешаться его адреса.

Дмитрий Иванов ([email protected] ) — преподаватель сертифицированного учебного центра Microsoft «Академия корпоративных систем», специализация Microsoft Exchange Server

Использование обратных зон в современных приложениях

Поделитесь материалом с коллегами и друзьями

Опрос IP-диапазонов

Опрос IP-диапазонов

Развернуть все | Свернуть все

Kaspersky Security Center пытается выполнить обратное преобразование имен: для каждого IP-адреса из указанного диапазона выполнить преобразование в DNS-имя с помощью стандартных DNS-запросов. Если данная операция завершается успешно, сервер отправляет запрос ICMP ECHO REQUEST (аналог команды ping) на полученное имя. Если устройство отвечает, информация об этом устройстве добавляется в базу данных Kaspersky Security Center. Обратное преобразование имен необходимо для исключения сетевых устройств, которые могут иметь IP-адреса, но не являются компьютерами, таких как сетевые принтеры или роутеры.

Этот способ опроса основывается на правильно настроенной локальной службе DNS. Для его использования должна быть настроена зона обратного просмотра DNS. Если эта зона не настроена, опрос IP-подсети не даст результатов. В сетях, в которых используется Active Directory, такая зона поддерживается автоматически. Но в таких сетях опрос IP-подсети не предоставляет дополнительной информации, помимо информации из опроса Active Directory. Кроме того, администраторы малых сетей часто не выполняют настройку зон обратного просмотра DNS, поскольку это не является необходимым для работы многих сетевых служб. Из-за этих причин опрос IP-подсети по умолчанию отключен.

Исходно Kaspersky Security Center получает IP-диапазоны для опроса из сетевых параметров устройства, на которое он установлен. Если адрес устройства 192.168.0.1, а маска подсети – 255.255.255.0, Kaspersky Security Center автоматически включит сеть 192.168.0.0/24 в список адресов для опроса. Kaspersky Security Center выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254.

Не рекомендуется использовать опрос IP-диапазонов, если вы используете опрос сети Windows и / или опрос Active Directory.

Просмотр и изменение параметров опроса IP-диапазонов

Чтобы просмотреть и изменить параметры опроса IP-диапазонов, выполните следующие действия:

1. Перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → IP-диапазоны.
2. Нажмите на кнопку Свойства.

   Откроется окно свойств опроса IP-диапазонов.

3. Включите или выключите опрос IP-диапазонов, используя переключатель Разрешить опрос.
4. Настройте расписание опроса. По умолчанию опрос IP-диапазонов запускается каждые 420 минут (семь часов).

   При указании интервала опроса убедитесь, что его значение не превышает значения параметра время действия IP-адреса. Если IP-адрес не подтвержден при опросе в течение времени действия IP-адреса, он автоматически удаляется из результатов опроса. По умолчанию срок существования запросов составляет 24 часа, поскольку динамические IP-адреса, назначенные по протоколу DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации сетевого узла), меняются каждые 24 часа.

   Варианты расписания опроса:

   • Каждый N день

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • Дни недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

5. Нажмите на кнопку Сохранить.

Параметры будут сохранены и применены ко всем IP-диапазонам.

Запуск опроса вручную

Чтобы запустить проверку немедленно,

нажмите на кнопку Начать опрос.

В начало

Настройка зон обратного просмотра DNS и записей PTR (Windows Server 2016)

В этом руководстве я покажу вам пошаговые инструкции по настройке зон обратного просмотра DNS и записей PTR в Windows Server 2016.

Зоны обратного просмотра используются для преобразования IP-адресов в имя хоста. Для работы зон обратного просмотра они используют запись PTR, которая обеспечивает сопоставление IP-адреса в зоне с именем хоста.

Например, я могу найти IP 10.1.2.88 и видите, что оно разрешается в имя хоста «nodaway». Без зоны обратного просмотра и записи PTR я бы не смог этого сделать.

Вам действительно нужны зоны обратного просмотра и записи PTR?

Все сети разные, поэтому все зависит от них. Если у вас нет собственного почтового сервера или приложения, которое требует, возможно, это не потребуется.

Даже если у вас нет требований к ним, я все равно рекомендую настроить их, потому что они очень полезны при устранении неполадок.Вы можете узнать больше об этом в моем руководстве по лучшим методам работы с DNS.

Как настроить зоны обратного просмотра в Windows Server 2016

Эти шаги очень похожи на другие серверные версии всех версий (2008, 2012).

Шаг 1. Откройте консоль управления DNS

В Windows Server 2016 просто введите DNS в поле поиска, чтобы быстро найти консоль DNS.

Шаг 2: Создание новой зоны обратного просмотра

В консоли DNS щелкните правой кнопкой мыши «Зоны обратного просмотра» и выберите «Новая зона».

Это запустит мастер новой зоны.

Шаг 3: Выберите тип зоны (мастер создания новой зоны)

На странице Типа зоны выберите Первичную зону

.

Выберите репликацию на все DNS-серверы, работающие на контроллерах домена в этом домене.

Выберите IPv4 или IPv6, для этой демонстрации я настраиваю IPv4.

Теперь введите начало диапазона подсети вашей сети.

Для этой демонстрации я настраиваю зону для подсети 192.168.0.0/24.

Выберите вариант динамического обновления.

Я рекомендую выбрать первый вариант «Разрешить только безопасные динамические обновления»

Мастер завершает работу, нажмите «Готово»

Проверить зону обратного просмотра

Снова в консоли DNS нажмите «Зона обратного просмотра»

Теперь я вижу новую зону в списке. Подсеть будет отображаться в обратном порядке, что нормально.

Теперь я нажму на зону 0.168.192.in.addr.arpa, чтобы просмотреть reocrds

Пока у меня есть только записи ресурсов SOA и NS, записей PTR нет.

Как только клиенты начнут динамически обновлять свои DNS, записи PTR должны начать заполняться. Вы также можете вручную создавать записи PTR для систем, которые не настроены на динамическое обновление.

Как создавать записи PTR

Давайте рассмотрим создание записи PTR вручную. Это необходимо только в том случае, если система не настроена на динамическое обновление. Это может быть в случае систем со статическими IP-адресами, таких как серверы.

Щелкните правой кнопкой мыши зону и выберите «Новый указатель (PTR)».

Введите IP-адрес хоста и Имя хоста и нажмите OK.

Я создаю запись для IP 192.168.0.206 с именем хоста pc1.

Вернувшись в консоль DNS, я вижу запись PTR в списке.

Как проверить работу записи PTR

Чтобы убедиться, что запись PTR работает, откройте PowerShell (также подойдет командная строка).

введите nslookup, а затем IP, который вы хотите найти.

На картинке выше видно, что IP-адрес возвращает имя хоста PC1.

Вот и все.

Довольно просто, правда?

Зона обратного просмотра — обзор

Цели экзамена Часто задаваемые вопросы

Следующие часто задаваемые вопросы, на которые ответили авторы этой книги, предназначены как для оценки вашего понимания целей экзамена, представленных в этой главе, так и для того, чтобы помочь вам с реальной реализацией этих концепций. Вы также получите доступ к тысячам других часто задаваемых вопросов на ITFAQnet.com.

Q : Разве имена хостов и имена NetBIOS не совпадают в Windows Server 2003?

A : По умолчанию имя хоста, назначенное компьютеру, используется в качестве имени NetBIOS в Windows Server 2003.Однако при желании компьютеру может быть присвоено другое имя NetBIOS. Даже если имя хоста и имя NetBIOS совпадают, их функции и методы их разрешения различаются.

Q : Ожидается ли, что на экзамене я буду знать все различные домены верхнего уровня?

A : Нет. Важно, чтобы вы понимали, что такое обозначения доменов верхнего уровня и как они используются в Интернете. Однако вопросы экзамена будут сосредоточены на применении знаний о доменах верхнего уровня в сценариях.В таких случаях вам необходимо понимать, что корень не имеет имени и обозначается точкой (.). Вам также необходимо понимать, что домены верхнего уровня, а также домены второго уровня управляются таким образом, что каждая комбинация гарантированно будет уникальным во всем мире.

Q : Какая связь между рекурсивными и итеративными запросами, а также прямым и обратным поиском?

A : Рекурсивные и итерационные запросы указывают, какие результаты являются приемлемыми. Рекурсивный запрос требует возврата либо информации, либо ошибки.Итеративный запрос требует возврата либо информации, либо указателя. Когда DNS-сервер пытается разрешить запрос, рекурсивный или итеративный, он сначала запрашивает свой собственный кеш и зоны. Может быть определен прямой и обратный поиск. Зоны прямого просмотра предоставляют информацию, необходимую для разрешения имен в домене, а зоны обратного просмотра предоставляют информацию об обратном поиске, преобразовании IP-адреса в имя.

Q : Что такое тупиковая зона?

A : зона-заглушка — это копия зоны, которая содержит только три записи ресурсов: SOA, NS и клей A для делегированной зоны.Зона-заглушка обычно используется для того, чтобы родительская зона знала об авторитетных DNS-серверах для дочерних зон, чтобы поддерживать эффективность разрешения имен DNS. Подобно тому, как вторичная зона является копией первичной зоны, тупиковая зона также является копией, но не содержит всех записей RR, а только тех, которые используются для определения полномочных DNS-серверов для дочерних зон.

Q : Должен ли я понимать BIND на экзамене?

A : экзамены Microsoft посвящены технологиям Microsoft и, в частности, нововведениям в этих технологиях.В связи с этим вы не ожидаете увидеть вопросы о BIND. Однако технологии Microsoft часто используются вместе с технологиями сторонних производителей. Там, где они пересекаются или взаимодействуют, вы должны обладать базовыми знаниями. В отношении формата BIND важно понимать, что, хотя Microsoft не использует его, DNS-серверы UNIX и Linux используют. Если вы импортируете файлы, вам нужно понять, как они взаимодействуют и соотносятся с соглашением Microsoft.

Q : Что мне нужно знать о типах записей ресурсов, поддерживаемых в Windows Server 2003?

A : Важно понимать стандартные зоны RR, такие как A, PTR, CNAME, SOA, NS, MX и SRV.В таблице 5.5 перечислены наиболее часто используемые RR. Понимание того, что каждый из них делает и какая информация в них содержится, поможет вам не только на экзамене, но и на работе. Возможно, вас попросят добавить ручные RR, и вам нужно будет понять, какой эффект они будут иметь. Консоль управления DNS предоставляет параметры для каждого типа RR, поэтому вам не нужно запоминать эти данные. Вам необходимо уметь распознавать и понимать стандартные RR, используемые в Windows Server 2003.

Q : Нужно ли мне много знать об Интернет-протоколе версии 6 для этого экзамена?

A : Интернет-протокол версии 6 (IPv6) — это последняя версия IP-протокола, которая обеспечивает поддержку 128-битных IP-адресов, поэтому вам необходимо знать этот протокол и то, как он реализован в Windows Server 2003.Эта тема выходит за рамки данной главы. В рамках этой области вам необходимо знать типы RR, используемые для поддержки IPv6, а также то, как разрешаются адреса IPv6 (используя либо AAAA для поиска имени, либо IP6.ARPA для обратного поиска). Для получения дополнительной информации о IPv6 вы можете посетить веб-сайт IETF для получения информации о стандартах IPv6 или посетить веб-сайт Microsoft Windows Server 2003 для получения информации о IPv6 и о том, как установить и маршрутизировать IPv6.

Как добавить зону обратного просмотра DNS в Windows Server 2019

Введение

В мире DNS зоны обратного просмотра запрашивают полное доменное имя (FQDN), соответствующее IP-адресу.Когда вы запрашиваете IP-адрес, обратный поиск помогает вам получить полное доменное имя, связанное с этим IP-адресом. Это то, что мы собираемся настроить на DNS-сервере, который мы установили ранее в разделе «Установка и настройка DNS-сервера на Windows Server 2019».

Шаг 1: Откройте окно настройки DNS

Загрузите диспетчер серверов и откройте DNS из инструментов.

Откроется окно, как показано ниже.

Шаг 2: Откройте новую зону

Щелкните правой кнопкой мыши имя вашего сервера и выберите « New Zone .. ». Это откроет Мастер новой зоны.

Шаг 3. Следуйте подсказкам мастера.

Щелкните « Next » в первом окне.

Шаг 4: Выберите «

первичная зона » и нажмите « Next »

Шаг 5: Добавьте зону обратного просмотра

Мы добавляем здесь « Forward Lookup Zone ». Выберите этот переключатель и нажмите « Next »

Шаг 6: Выберите зону обратного просмотра IPv4

Шаг 7: Введите NetworkID

На этом шаге вы можете ввести NetworkID или имя зоны обратного просмотра.Для ясности объяснения находятся в том же окне.

Шаг 8: Входная зона Имя файла

Для этого шага достаточно автоматически созданного имени файла. Вы можете оставить это так, если только вам действительно не нужно его менять.

Шаг 9: Решите, хотите ли вы динамическое обновление

. Просто нажмите « Next », чтобы сохранить значения по умолчанию, если вас не устраивают другие настройки.

Шаг 10: Завершите установку

Просто нажмите « Finish »

Шаг 11: Подтвердите настройки

Перейдите в диспетчер DNS и проверьте зоны обратного просмотра, если то, что мы настроили, добавлено.

Для добавления записей проверьте:

Как добавить запись DNS A / PTR в Windows Server 2019

Заключение

Мы надеемся, что ваша зона обратного просмотра работает хорошо, и вам понравился этот сеанс. Проверьте ниже другие руководства, похожие на это.

Установка и настройка Windows Admin Center на Windows Server 2019 / Windows 10

Как добавить FTP-сайт на Windows Server 2019

Как добавить локальную учетную запись пользователя в Windows Server 2019

Установить и настроить FTP-сервер на Windows Server 2019

Установка и настройка сервера OpenSSH на Windows Server 2019

Настройка зоны обратного просмотра — Windows Server 2016 · ReadAndExecute

Это руководство по настройке зон обратного просмотра для DNS с помощью диспетчера DNS.Чтобы сделать это с помощью PowerShell, см. Раздел Настройка зоны обратного просмотра с помощью PowerShell — Windows Server Core 2016.

Практическое руководство

Предварительные требования

Перед запуском у вас должна быть установлена ​​роль DNS. Чтобы установить роль DNS, см. Одну из следующих статей:

Установка роли DNS с помощью PowerShell — Windows Server Core 2016

Установка роли DNS с помощью диспетчера сервера — Windows Server 2016

Предположения

В этом руководстве я буду настраивать зону обратного просмотра для первичной зоны IPv4.Эта основная зона подключена к Active Directory. Однако этот процесс можно легко адаптировать для других типов зон обратного просмотра.

1) Откройте диспетчер DNS

Откройте окно «Выполнить» с помощью Win + R, введите dnsmgmt.msc и нажмите OK

2) Откройте Мастер создания новой зоны

Щелкните правой кнопкой мыши Зоны обратного просмотра под выбранным вами сервером, затем выберите Новая зона…

3) Нажмите Далее

4) Выберите тип зоны

Выберите соответствующий тип зоны. В этом примере мы создаем зоны обратного просмотра, подключенные к основной зоне, которая связана с Active Directory.

Нажмите Далее

5) Выберите репликацию в лес или домен

Выберите, хотите ли вы, чтобы эта зона реплицировалась на все контроллеры домена в лесу или в домене. В моем случае я выбираю все контроллеры домена в домене.

Нажмите Далее

6) Выберите IPv4 или IPv6

Выберите IPv4 или IPv6, затем нажмите Далее

7) Введите идентификатор сети

Введите сетевой идентификатор зоны, он должен соответствовать первичной зоне, которая уже была создана

8) Выберите тип динамического обновления

В этом случае мы будем использовать значение по умолчанию (Разрешить только безопасные динамические обновления)

Это защищает от клиентов, злонамеренно обновляющих записи неправильно

Нажмите Далее

9) Нажмите Готово

10) Просмотрите диспетчер DNS

Теперь вы должны увидеть зону обратного просмотра в диспетчере DNS

Зоны прямого и обратного просмотра DNS

: нужны ли вам и те, и другие?

Вот несколько распространенных примеров записей DNS:

Запись DNS	Функция
A	A Записи являются самым основным типом записи DNS.Записи используются для указания домена или субдомена на IP-адрес.
CNAME	Записи CNAME используются для указания домена или поддомена на другое имя хоста.
MX	Записи почтового обменника (MX) используются для маршрутизации электронной почты. Записи MX отличаются от записей A и CNAME тем, что для них также требуется значение «приоритета» как часть их записи.
TXT	Запись TXT используется для хранения текстовой информации (например,g., для хранения данных SPF и подтверждения владения доменом).

Способ их хранения полностью зависит от программного обеспечения DNS. Microsoft DNS Server — популярное программное обеспечение DNS, особенно для топологий, в которых уже есть Active Directory. Серверы MS DNS могут хранить эти файлы в виде простого текста, как и большинство программного обеспечения, такого как BIND (самое популярное программное обеспечение для серверов имен).

В качестве альтернативы DNS-серверы как часть топологии AD могут хранить записи в AD. Другое программное обеспечение, такое как PowerDNS, может хранить эти записи в SQL.Вам понадобится хорошее понимание DNS для новой сертификации CMMC.

Зоны и поддомены DNS

Зоны DNS охватывают все записи для домена. Например, зона для xzy.com может содержать такие записи, как www.xzy.com, запись MX для xzy.com и, возможно, другие записи, такие как mail.xzy.com.

Субдомены обычно используются для разделения автономных дочерних доменов, чтобы позволить административный контроль над этим субдоменом другому управляющему объекту. Например, у вас может быть hq.xzy.com, где находятся все записи DNS головного офиса. Примером может быть server01.hq.xzy.com или server02.hq.xzy.com. Поддомены позволяют сегментировать зоны DNS, как правило, с помощью административных функций.

Файлы зоны DNS

Файл зоны DNS — это текстовый файл, в котором сопоставляются имена доменов и IP-адреса. Одним из примеров файла зоны является главный файл DNS, который точно описывает зону. Текстовые файлы зоны DNS определены в RFC 1034 и 1035. Они читаются и редактируются человеком. В них есть некоторая вариативность: некоторые администраторы предпочитают помещать полные записи в каждую строку, а некоторые предпочитают использовать сокращенную запись.

Эти типы различий также есть между управляющим программным обеспечением, таким как Microsoft DNS GUI, и другими, такими как Webmin. Пока файл зоны работает и легко читается, обычно лучше сохранить то же форматирование, что и уже существует. Это станет более очевидным в примерах ниже.

Когда используются зоны DNS

На зону DNS возлагается административная ответственность за пространство доменных имен в DNS. Зоны DNS используются каждый раз, когда доменное имя желает иметь записи DNS.Организации нередко имеют внутренние зоны, которые не являются общедоступными и размещаются только на внутренних DNS-серверах. Active Directory — яркий пример внутренней зоны, которая не является общедоступной.

Существует два типа зон DNS: зона прямого просмотра и зона обратного просмотра.

Что такое зона прямого просмотра DNS?

Зона прямого просмотра обычно в какой-то момент преобразует имя в IP-адрес или другое имя. Однако важно то, что вы начинаете с имени.В конце концов, это имя в большинстве случаев преобразуется в IP-адрес. Эта зона содержит все записи доменных имен на их IP-адреса.

Когда использовать зоны прямого просмотра DNS

Вы будете использовать зону прямого просмотра каждый раз, когда у вас есть имя, которое вы хотите использовать вместо IP-адреса. Вы можете создать запись о том, как имя отображается на IP-адрес в зоне прямого просмотра.

$ TTL 86400; 24 часа $ ORIGIN xzy.local. @ 1D IN SOA ns1.xzy.local. hostmaster.xzy.local. ( 2020081001; серийный номер 1500; обновить 600; повторить 1209600; истечь 3600); TTL по умолчанию NS ns1.xzy2.local. NS ns2.xzy2.местный. A 192.168.0.11 MX 10 mail.xzy.local.mail A 192.168.0.10 A 192.168.0.11

В указанном выше файле зоны у нас довольно много строк. Начало полномочий (SOA) определяет несколько вещей о зоне. Это метаданные, например, кто имеет полномочия (основной сервер имен и адрес электронной почты администратора). Он также определяет записи, связанные с его серийным номером и продолжительностью кэширования записей.

Далее у нас есть записи NS, которые определяют серверы имен, на которых размещен этот домен. В самом верху мы определили $ ORIGIN, что означает, что все записи, не завершенные полностью с завершающей точкой, получают добавление $ ORIGIN к ним, например, «mail» A Record.

Что такое зона обратного просмотра DNS?

Зона обратного просмотра содержит все записи IP-адресов для их доменных имен. Было бы слишком легко определить обратный поиск как противоположность прямого, но это правда.Зона обратного просмотра используется каждый раз, когда вы хотите преобразовать IP-адрес в имя.

Когда использовать зоны обратного просмотра DNS

Зоны обратного просмотра должны быть реализованы везде, где это возможно. Внедрение может быть затруднено, если IP-адреса являются общедоступными, поскольку вам потребуется либо владелец IP-пространства, чтобы предоставить вам услуги обратного просмотра, либо делегирование подсети вам, если у вас достаточно большое адресное пространство.

Во многих случаях наличие зон обратного просмотра может быть полезным для устранения неполадок или исследования проблем.Спам-фильтры, многие из которых находятся в облаке, могут использовать обратный поиск, чтобы помочь обнаружить корпоративные IP-адреса по сравнению с подключениями домашних пользователей. Они делают это одним из двух способов. Во-первых, если обратного просмотра нет, они могут его заблокировать. Во-вторых, если обратный поиск приводит к определенным ключевым словам, они могут заблокировать его. Ключевые слова, которые могут вызвать блокировку, включают слова в имени, которые не соответствуют служебному адресу.

Пример зоны обратного просмотра DNS

Следующая зона обратного просмотра предназначена для 192.168.0.0 / 24 или 192.168.0.X. Важно отметить, что на самом деле имя зоны — 0.168.192.in-addr.arpa. При поиске IP-адрес меняется на противоположный, так что последний октет легко подставить для IP-адреса.

$ TTL 86400; 24 часа @ IN SOA ns1.xzy.local. hostmaster.xzy.local. ( 2020081001; серийный номер 900; обновить 600; повторить 86400; истечь 3600); по умолчанию TTL @ NS ns1.openhospitality.com. @ NS ns2.openhospitality.com. 2 PTR ns1.xzy.local. 3 PTR ns2.xzy.local. 10 PTR mail.xzy.local. 11.0.168.192.in-addr.arpa. PTR www.xzy.local.

Эта обратная зона имеет типичные шаблонные записи вверху.Мясо этого в конце. Этого можно добиться двумя способами. Вы можете указать последний октет в качестве числового значения или поставить полное имя записи с точкой в ​​конце.

Прямые и обратные записи: связанные, но не синхронизированные

Один важный факт, который необходимо понимать в отношении записей прямого и обратного просмотра, заключается в том, что они представляют собой отдельные файлы зоны. В сочетании с этим фактом, отношение прямого к обратному — много к одному, в то время как отношение обратного к прямому — один к одному.

В принципе, вы можете сопоставить множество разных имен одному IP-адресу, и они будут правильно разрешаться. С другой стороны, вы можете эффективно сопоставить любой заданный IP-адрес только с единственным именем. В записях DNS, когда есть ключи с несколькими значениями, DNS использует функцию, называемую циклическим перебором, для случайного возврата значения.

Например, если у вас есть две обратные записи, которые сопоставляют 192.168.0.1 с test1.xzy.local и test2.xzy.local, в половине случаев вы выполняете обратный поиск на 192.168.0.1, он вернет test1, а другая половина вернет test2.

Все это для того, чтобы сказать, что иногда обратные записи не полностью совпадают с прямыми записями, и это один из сценариев, который объясняет, почему.

Зоны прямого и обратного поиска DNS: нужны ли вам и то, и другое?

Обычно, когда вам нужны службы DNS, ваша первая и единственная мысль — преобразовать имена в IP-адреса с помощью прямого просмотра. Обратный поиск обычно является запоздалой мыслью или чем-то, что не поддерживается в хорошем состоянии.Для работы прямого просмотра не требуется, но, как упоминалось выше, некоторые службы могут полагаться на него, например, почтовые службы, которые запрашивают записи обратного просмотра, чтобы определить, является ли источник спамером. В других случаях для таких вещей, как traceroutes, может быть полезно увидеть имя, связанное с IP-адресом.

Общие сведения о зонах прямого и обратного просмотра в DNS

Когда вы устанавливаете роль DNS-сервера в среде Windows , вы сможете создавать новые зоны в зонах прямого или обратного просмотра .Эти две зоны служат разным целям. Первый и наиболее часто применяемый — это зоны прямого просмотра , в которых выполняется преобразование строки имени хоста в IP-адрес . Второй — Зоны обратного просмотра , где выполняет , противоположное первому. Общие сведения о зонах прямого и обратного просмотра в DNS является ключом к успешной настройке и помогает обеспечить правильную реализацию DNS-сервера.

Общие сведения о зонах прямого и обратного просмотра в DNS

Важно понять , как хранятся записи DNS , прежде чем понимать зоны прямого и обратного просмотра в DNS.В таблице ниже показан пример того, как записи хранятся на DNS-сервере:

Имя	Данные
AS-DCO001.mustbegeek.com	192.168.0.7
AS-DNS001.mustbegeek.com	192.168.0.5
example.mustbegeek.com	192.168.0.6

В приведенной выше таблице мы видим, что DNS-сервер хранит запись, содержащую строку имени хоста , значение в столбце « Имя », а также значение , связанное с IP-адресом в столбце « Data ».

Прямой поиск

Когда от клиента поступает запрос DNS , DNS-сервер работает, просматривая строку имени хоста значение в столбце « Имя », затем возвращает значение IP-адреса в столбце « Data » в качестве ответа на запрос. Этот процесс можно проиллюстрировать на следующем рисунке:

Так, например, клиент спрашивает: « Какой IP-адрес у AS-DCO001.mustbegeek.com? »по его запросу.Затем DNS-сервер ищет значение в столбце «Данные», где значение «Имя» равно AS-DCO001.mustbegeek.com , и в результате в качестве ответа будет получен адрес 192.168.0.7 . Процесс поиска IP-адреса на основе имени хоста в DNS называется прямым поиском .

Обратный поиск

Теперь проблема возникает, когда требуется, чтобы узнал имя хоста на основе IP-адреса , например, клиент спрашивает: « Какое имя хоста использует IP-адрес 192.168.0.7? “. К сожалению, это ограничение по дизайну , что DNS-сервер не может просто искать значение в столбце « Data », чтобы найти значение , связанное с «Name» . Для этого необходимо создать другую запись в таблице, где значение IP-адреса хранится в столбце « Имя », а строка имени хоста хранится в столбце « Данные ». Обновленная таблица для этой цели представлена ​​ниже:

Имя	Данные
AS-DCO001.mustbegeek.com	192.168.0.7
AS-DNS001.mustbegeek.com	192.168.0.5
example.mustbegeek.com	192.168.0.6
192.168.0.7	AS-DCO001.mustbegeek.com

Таким образом, DNS-сервер теперь может ответить на вышеуказанный клиентский запрос, выбрав значение в столбце «Данные», где значение «Имя» равно 192.168.0.7 , как показано на рисунке ниже:

Результат поиска: AS-DCO001.mustbegeek.com в качестве ответа. Теперь этот процесс поиска имени хоста на основе IP-адреса в DNS называется обратным поиском .

Зоны прямого и обратного просмотра в Windows DNS Server

В приведенных выше примерах показан процесс поиска DNS в целом. Если вы установите роль DNS-сервера в Windows Server 2012 R2 , он разделит таблицу , используемую для прямого и обратного просмотра, и поэтому вы увидите обе зоны прямого просмотра и зоны обратного просмотра в Диспетчер DNS .

Заключение

В заключение, Зоны прямого просмотра содержат зоны, в которых выполняется прямой просмотр . Другими словами, зоны в зонах прямого просмотра хранят строку имени хоста в столбце «Имя» и IP-адрес в столбце «Данные» . Например, зона mustbegeek.com ниже является зоной прямого просмотра:

Напротив, Зоны обратного просмотра содержат зоны, в которых выполняется обратный поиск .Другими словами, зоны в зонах обратного просмотра хранят IP-адрес в столбце «Имя» и строку имени хоста в столбце «Данные» . Зона обратного просмотра обычно имеет формат имени x.x.x.in-addr.arpa , где x.x.x — это первые три октета IP-адреса в обратном порядке . Например, зона 0.168.192.in-addr.arpa ниже является зоной обратного просмотра:

Обычно достаточно реализовать зону прямого просмотра.Но иногда есть приложения, которым требуется зона обратного просмотра. Наличие зоны обратного просмотра в сети также иногда помогает процессу устранения неполадок. Следовательно, важно понимать зоны прямого и обратного просмотра в DNS.

Следующие две вкладки изменяют содержимое ниже.

Я практикующий ИТ-специалист со специализацией в сетевой и серверной инфраструктуре. У меня есть многолетний опыт проектирования, анализа, эксплуатации и оптимизации инфраструктурных решений для сетей масштаба предприятия.Вы можете отправить мне сообщение в LinkedIn или электронное письмо по адресу [email protected], чтобы узнать подробнее о материалах, которые я написал, или о возможности сотрудничества в проекте.

Как выполнить обратный поиск DNS

Что такое обратный DNS?

Назначение DNS обычно используется для преобразования доменного имени в IP-адрес. Это действие известно как прямое разрешение и выполняется каждый раз, когда вы посещаете сайт в Интернете.Обратный DNS (или rDNS), как следует из названия, представляет собой метод преобразования IP-адреса обратно в доменное имя.

Использование обратного DNS

Причина, по которой мы используем обратный DNS, та же, что и причина, по которой мы используем стандартный (прямой) DNS. Доменное имя легче запомнить и идентифицировать, чем строку чисел. rDNS менее важен, чем прямой DNS, поскольку для разрешения веб-сайта требуются прямые DNS-записи. Домены по-прежнему будут загружаться без обратной записи DNS.

Серверы электронной почты обычно используют rDNS для блокировки входящих сообщений спама.Многие почтовые серверы настроены на автоматическое отклонение сообщений с IP-адреса, на котором отсутствует rDNS. Хотя запись rDNS может блокировать спам, это ненадежный метод и используется в основном как дополнительный уровень защиты. Также важно отметить, что простое включение rDNS может по-прежнему приводить к отклонению сообщений по разным причинам. Кроме того, rDNS также используется в аналитике и ведении журналов, чтобы предоставлять удобочитаемые данные, а не журналы, полностью состоящие из IP-адресов.

Процесс обратного поиска DNS

Поскольку прямой DNS сопоставляет имя хоста с IP-адресом, rDNS (или обратный DNS) указывает, что мы сопоставляем IP-адрес сервера обратно с именем хоста. При использовании rDNS IP-адрес меняется на противоположный, а затем в конец добавляется in-addr.arpa . Например, если мы используем IPv4-адрес 67.227.187.136, используя rDNS, он станет 136.187.227.67.in-addr.arpa.

Этот метод обратного DNS-разрешения IP-адреса использует запись PTR.Запись PTR включает в себя « имя хоста пересылки » местоположения, где IP используется в обычном или прямом сопоставлении DNS. Если в домене есть запись PTR, мы можем выполнить поиск rDNS, используя один из методов, указанных ниже.

Следует также отметить, что настройки rDNS установлены не серверами имен домена конкретно, а скорее владельцем пространства IP через ARPA. Это эффективно извлекает PTR-запись из файла зоны in-addr.arpa с одного из назначенных им серверов имен.

Выполнение поиска rDNS

Для выполнения поиска rDNS можно использовать множество онлайн-инструментов. Ниже приведены ссылки на несколько примеров этих онлайн-инструментов:

Вы также можете выполнить поиск в rDNS вручную из командной строки. В Linux вы бы использовали команду «копать» с добавленным флагом «-x».

Если вы работаете на компьютере с Windows, вы обычно используете команду «nslookup», хотя вы также можете использовать «ping -a». Пример команды Linux и ее выходные данные показаны ниже:

 ; << >> DiG 9.9.4-RedHat-9.9.4-61.el7 << >> -x 8.8.8.8
 ;; глобальные параметры: + cmd
 ;; Получил ответ:
 ;; - >> HEADER << - код операции: QUERY, статус: NOERROR, id: 36810
 ;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 1, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНО: 1
;; ОПТИЧЕСКАЯ ПСЕВДОЗЕКЦИЯ:
; EDNS: версия: 0, флаги :; UDP: 512
;; РАЗДЕЛ ВОПРОСА:
;; 8.8.8.8.in-addr.arpa. В PTR
;; РАЗДЕЛ ОТВЕТА:
8.8.8.8.in-addr.arpa. 21599 IN PTR google-public-dns-a.google.com.
;; Время запроса: 19 мсек.
;; СЕРВЕР: 8.8.8.8 # 53 (8.8.8.8)
;; КОГДА: среда, 18 июля, 11:58:54 EDT 2018
;; РАЗМЕР СООБЩЕНИЯ rcvd: 93  

Вы можете увидеть полную запись PTR rDNS для этого IP-адреса в строке « ANSWER SECTION » в начале 8.8.8.8 обратно в субдомен Google, google-public-dns-a.google.com:

  8.8.8.8.in-addr.arpa. 21599 IN PTR google-public-dns-a.google.com.  

Настройка rDNS

Liquid Web упрощает настройку и управление rDNS для IP-адресов серверов. Просто выполните действия, описанные в соответствующей статье базы знаний.

Настройка обратной записи DNS проста и может быть полезной для гарантии того, что IP действительно принадлежит домену, на который он претендует.Если вы не уверены, кто ваш DNS-провайдер, следуйте нашему полезному руководству, чтобы определить, куда следует добавить запись rDNS.

Мы гордимся тем, что являемся самыми полезными людьми в Hosting ™!

Наша служба поддержки всегда готова помочь с любыми вопросами, связанными с этой статьей, 24 часа в сутки, 7 дней в неделю, 365 дней в году.