Comment configurer une zone de recherche inversée sous-réseau
Cet article explique comment configurer une zone de recherche inversée sous-réseau.
Numéro de base de connaissances d’origine : 174419
Résumé
Note
La création de zones de recherche inversées sous-réseau déléguées n’est pas une tâche triviale. Il est important de comprendre comment fonctionnent les zones DNS (Domain Name System) avant de tenter de créer des zones de recherche inversées sous-réseau. Il existe de nombreuses notes tout au long de ce document auxquels vous devez prêter une attention particulière. Il est recommandé de commencer par essayer ces procédures dans un environnement de test avant de les déployer sur un réseau en direct en raison de la facilité avec laquelle les erreurs peuvent se produire pendant la configuration.
La croissance rapide de la communauté Internet a créé la nécessité de sous-réseaux de réseaux IP complets en plus petites parties. Dans un environnement sous-réseau, les serveurs DNS peuvent facilement déléguer l’autorité des zones de recherche directe, car ils sont indépendants de l’infrastructure sous-réseau sous-jacente. Toutefois, en raison de la structure inverse des zones de recherche inverse et de leur dépendance stricte sur la structure de sous-réseau spécifique, la délégation de ces zones nécessite des considérations particulières. Internet Engineering Task Force (IETF) a créé RFC 2317, « Classless IN-ADDR. Délégation ARPA, qui traite de ces considérations.
La délégation de zones de recherche inversées sous-réseau complète la possibilité de déléguer des zones de recherche vers l’avant. Cette flexibilité dans la propriété de zone vous permet, en tant qu’administrateur d’un domaine parent, de déléguer le contrôle d’un sous-domaine enfant et d’un sous-réseau correspondant d’adresses à un autre administrateur. À l’inverse, en tant qu’administrateur d’un domaine enfant, vous avez maintenant le contrôle nécessaire pour apporter des modifications aux enregistrements d’hôte DNS (A) ou aux enregistrements PTR (IP) sans avoir à effectuer de demande de modification via le domaine parent.
Cet article explique comment configurer des zones de recherche inversées sous-réseau déléguées pour un serveur DNS Microsoft Windows.
Note
Simplement parce que votre environnement réseau est sous-réseau n’implique pas que votre serveur DNS doit être configuré de la manière décrite dans cet article. La création de zones de recherche inversées sous-réseau déléguées est un choix administratif uniquement ; elle n’est pas uniquement dictée par l’infrastructure sous-réseau sous-jacente.
Plus d’informations
Un schéma d’adressage IP « classful » est un schéma qui ne décompose pas un réseau IP en segments plus petits. Par exemple, une adresse C de classe 192.168.1.0 avec un masque de sous-réseau de 255.255.255.0 est un schéma d’adressage IP classful.
Un schéma d’adressage IP « sans classe » est un modèle qui utilise un masque de sous-réseau pour diviser une adresse IP en segments plus petits. Par exemple, une adresse C de classe 192.168.1.0 avec un masque de sous-réseau de 255.255.255.192 est un schéma d’adressage IP sans classe. Outre ce réseau, vous disposez également des adresses RÉSEAU IP suivantes : 192.168.1.64, 192.168.1.128 et 192.168.1.192.
Lors de la mise en sous-réseau des réseaux IP, des bits supplémentaires sont extraits de la partie hôte de l’adresse IP et fournies à la partie réseau. Cela est défini en ajoutant des bits supplémentaires au masque de sous-réseau. La valeur 111111111.11111111.11111111.00000000 nous montre un masque de sous-réseau classique pour un réseau C de classe de 255.255.255.0, alors que la valeur 11111111.1111111.11111111.11000000 illustre le masque de sous-réseau sans classe de 255.255.255.255.192. Par conséquent, dans l’exemple ci-dessus, nous savons que :
| Si le masque de sous-réseau est | Le nombre de bits du masque de sous-réseau est |
|---|---|
| 255.255.255.128 | 25 |
| 255.255.255.192 | 26 |
| 255.255.255.224 | 27 |
| 255.255.255.240 | 28 |
| 255.255.255.248 | 29 |
| 255.255.255.252 | 30 |
| 255.255.255.254 | 31 |
Syntaxe
Les zones de recherche inversée sous-réseau déléguées peuvent être utilisées pour transférer le contrôle administratif entre n’importe quel parent et enfant IN-ADDR. Zone ARPA dans le DNS. Les configurations courantes impliquent une délégation d’isp (parent) vers un site client (enfant) ou un siège social d’entreprise (parent) délégué à un site distant d’entreprise (enfant). Étant donné que le scénario ISP est le plus courant, il sera utilisé dans l’exemple suivant.
Lors de la création de zones de recherche inversées sans classe, vous pouvez utiliser la notation comme les suivantes :
<subnet-subnet>< mask bit count.100.168.192.in-addr.arpa> ou
<subnet/<subnet> mask bit count.100.168.192.in-addr.arpa> ou
<sous-réseau>.<sous-réseau masque bit count.100.168.192.in-addr.arpa> ou
SubnetX<subnet.100.168.192.in-addr.arpa> (où X est le numéro de sous-réseau attribué par parent) ou
<subnet.100.168.192.in-addr.arpa> Par exemple :64-26.100.168.192.in-addr.arpa ou
64/26.100.168.192.in-addr.arpa ou
64.26.100.168.192.in-addr.arpa ou
Subnet3.100.168.192.in-addr.arpa ou
64.100.168.192.in-addr.arpa
Cela indique que la zone de recherche inversée sous-réseau est le sous-réseau 64 qui utilise 26 bits pour son masque de sous-réseau.
Note
Si vous effectuez des transferts de zone, entre le parent et l’enfant, vous devez vérifier la syntaxe des fichiers qui seront transférés entre les serveurs DNS. Toutes les versions des serveurs DNS ne prennent pas en charge les différentes méthodes de syntaxe définies dans le RFC (trait d’union, barre oblique, etc.). Microsoft DNS prend en charge l’une de ces méthodes.
Note
Quelle que soit la syntaxe choisie dans le domaine parent doit être identique à la syntaxe utilisée dans le domaine enfant.
Liste de contrôle
Le remplissage de la liste de contrôle suivante facilite la marche à pas de ce document.
| Liste de contrôle parent | Liste de contrôle enfant |
|---|---|
| <Nom du serveur DNS parent> | <Nom du serveur DNS enfant> |
| <ADRESSE IP du serveur DNS parent> | <Adresse IP du serveur DNS enfant> |
| <masque de sous-réseau> | <masque de sous-réseau> |
| <Nombre de bits du masque de sous-réseau de la syntaxe><de sous-réseau><> | <Nombre de bits du masque de sous-réseau de la syntaxe><de sous-réseau><> |
Voici l’exemple que nous allons utiliser un isP qui a pris une plage C de classe et le sous-réseau dans quatre sous-réseaux à l’aide du masque de sous-réseau 255.255.255.192. Les quatre sous-réseaux sont 192.168.100.0, 192.168.100.64, 192.168.100.128 et 192.168.100.192. Le sous-réseau délégué au site client est la deuxième plage, c’est-à-dire le réseau 64 utilisant 65-126 pour les adresses IP hôtes.
| Liste de contrôle parent | Liste de contrôle enfant |
|---|---|
NS.microsoft.com |
NS1.msn.com |
| 192.168.43.8 | 192.168.100.126 |
| 255.255.255.192 | 255.255.255.192 |
| 0-26 | 64-26 |
| 64-26 | |
| 128-26 | |
| 192-26 |
Procédure pas à pas parente pour les environnements Windows DNS Server
Lancez le composant logiciel enfichable DNS dans microsoft Management Console (MMC).
Sous Affichage, passez de l’affichage standard à Avancé.
Cliquez avec le bouton droit sur Zones de recherche inversée, puis sélectionnez Nouvelle zone.
Sélectionnez Type de zone d’Active Directory Intégré ou Principal Standard, cliquez sur Suivant.
Tapez l’ID réseau non sous-réseau (par exemple, 192.168.100) ou le nom de zone de recherche inverse (par exemple, 100.168.192.in-addr.arpa) pour l’adresse C de la classe non sous-réseau, sélectionnez Suivant.
Si vous avez sélectionné un fichier principal standard, vous pouvez créer un fichier de zone ou s’il existe un fichier de zone existant, vous pouvez le placer dans le répertoire %systemroot%\system32\dns et le serveur le lit à partir de ce répertoire.
Une fois la zone parente principale créée, cliquez avec le bouton droit sur la zone nouvellement créée, puis sélectionnez Nouvelle délégation. Ajoutez la convention d’affectation de noms que vous choisissez comme parent de la zone enfant déléguée, par exemple, 64-26. Veillez à communiquer cette convention d’affectation de noms à l’administrateur du domaine enfant. Consultez les exemples.
Ajoutez le NOM CNAME (ALIAS) RR (enregistrements de ressources) pour les appareils au sein de chacun des sous-réseaux. Par exemple :
65 CNAME 65.64-26.100.168.192.in-addr.arpa.Note
Les mises à jour dynamiques pour les recherches inversées sous-réseau ne fonctionnent pas. Les enregistrements doivent être ajoutés manuellement. La case à cocher « Créer un enregistrement PTR associé » ne fonctionne pas pour la zone de recherche inversée sous-réseau lorsque l’enregistrement « A » (hôte) est créé via l’interface utilisateur graphique.
Procédure pas à pas enfant pour les environnements Windows DNS Server
- Lancez le composant logiciel enfichable DNS dans microsoft Management Console (MMC).
- Sous Affichage, passez de l’affichage standard à Avancé.
- Cliquez avec le bouton droit sur Zones de recherche inversée, puis sélectionnez Nouvelle zone.
- Sélectionnez le type de zone : Intégré à Active Directory ou Principal standard, puis sélectionnez Suivant.
- Sélectionnez l’option pour le nom de la zone de recherche inverse. Entrez le nom de la zone de recherche inverse, par exemple,
64-26.100.168.192.in-addr.arpapour l’adresse C de classe sous-réseau. Veillez à suivre la convention d’affectation de noms fournie par l’administrateur du domaine parent. Cliquez sur Suivant. - Si vous avez sélectionné Standard Primary, vous pouvez :
- Créer un fichier de zone ou
- Utilisez un fichier de zone existant en le plaçant dans le
%systemroot%\system32\dnsrépertoire, où le serveur le lit.
- Ajoutez manuellement vos enregistrements PTR (pointeur) à la zone de recherche inverse. Par exemple :
65 PTR host65.msn.com - Si nécessaire, configurez le serveur DNS enfant (hébergeant la zone déléguée) pour transférer des demandes aux serveurs DNS parents. Cela permet aux serveurs DNS enfants de résoudre les enregistrements dans les zones hébergées par les serveurs DNS parents.
Configuration de zone de recherche inversée
Si la zone de recherche inverse n’est pas une zone intégrée à Active Directory (zone basée sur un fichier), vous pouvez ouvrir le fichier de zone situé à l’emplacement %systemroot%\system32\dns*Zonename.in-addr.arpa*. Le fichier apparaît comme indiqué dans l’exemple suivant :
Exemples de fichiers de zone
Fichier de zone de recherche inversée sous-réseau parent
;
; Fichier de base de données 100.168.192.in-addr.arpa.dns pour la zone 100.168.192.in-addr.arpa.
; Version de zone : 4
;@ DANS SOA
NS.microsoft.com.administrator.microsoft.com. (
4 ; matricule
3600 ; rafraîchir
600 ; réessayer
86400 ; expirer
3600 ); durée de vie minimale;
; Enregistrements NS de zone
;@
NSNS.microsoft.com.;
; Enregistrements de zone
;;
; Sous-zone déléguée : 64-26.100.168.192.in-addr.arpa.
;
64-26NSNS1.msn.com.
; Fin de la délégation65 CNAME65.64-26.100.168.192.in-addr.arpa.
66 CNAME66.64-26.100.168.192.in-addr.arpa.
67 CNAME67.64-26.100.168.192.in-addr.arpa.
...
126 CNAME67.64-26.100.168.192.in-addr.arpa.
Note
L’ellipse, « ... », indique les adresses IP uniques et les hôtes compris entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.
Fichier de zone de recherche inversée sous-réseau enfant
;
; Fichier de base de données 64-26.100.168.192.in-addr.arpa.dns pour la zone 64-26.100.168.192.in-addr.arpa.
; Version de zone : 1
;@ DANS SOA
NS1.msn.com.administrator.msn.com. (
1 ; matricule
3600 ; rafraîchir
600 ; réessayer
86400 ; expirer
3600 ); durée de vie minimale;
; Enregistrements NS de zone
;@
NSNS1.msn.com.;
; Enregistrements de zone
;65 PTR
host65.msn.com.
66 PTRhost66.msn.com.
67 PTRhost67.msn.com.
...
126 PTRhost126.msn.com.
Note
Là encore, dans les exemples ci-dessus, les points de suspension indiquent les adresses IP omises comprises entre 67 et 126. Les points de suspension ne sont pas valides dans le fichier.