Come configurare una zona di ricerca inversa subnet
Questo articolo descrive come configurare una zona di ricerca inversa subnet.
Numero KB originale: 174419
Riepilogo
Note
La creazione di zone di ricerca inversa con subnet delegate non è un'attività semplice. È importante comprendere il funzionamento delle zone DNS (Domain Name System) prima di tentare di creare zone di ricerca inversa subnet. In questo documento sono presenti numerose note a cui prestare attenzione. È consigliabile provare prima di tutto queste procedure in un ambiente di test prima di distribuirle in una rete dinamica a causa della facilità con cui possono verificarsi errori durante la configurazione.
La rapida crescita della community Internet ha creato la necessità di creare reti IP complete di rete in parti più piccole. In un ambiente con subnet i server DNS possono delegare facilmente l'autorità delle zone di ricerca diretta perché sono indipendenti dall'infrastruttura subnet sottostante. Tuttavia, a causa della struttura inversa delle zone di ricerca inversa e della loro rigorosa dipendenza dalla struttura di subnet specifica, la delega di queste zone richiede considerazioni speciali. Internet Engineering Task Force (IETF) ha creato RFC 2317, "Classless IN-ADDR. Delega ARPA", che illustra queste considerazioni.
La delega delle zone di ricerca inversa subnet completa la possibilità di delegare le zone di ricerca in avanti. Questa flessibilità nella proprietà della zona consente, come amministratore di un dominio padre, di delegare il controllo di un sottodominio figlio e di una subnet corrispondente di indirizzi a un altro amministratore. Viceversa, come amministratore di un dominio figlio, è ora necessario il controllo per apportare modifiche ai record host DNS (A) o agli indirizzi IP (PTR) senza dover effettuare una richiesta di modifica tramite il dominio padre.
Questo articolo illustra come configurare le zone di ricerca inversa con subnet delegate per un server DNS di Microsoft Windows.
Note
Semplicemente perché l'ambiente di rete è in subnet non implica che il server DNS deve essere configurato nel modo descritto in questo articolo. La creazione di zone di ricerca inversa con subnet delegate è solo una scelta amministrativa; non è determinato esclusivamente dall'infrastruttura subnet sottostante.
Ulteriori informazioni
Uno schema di indirizzamento IP "classful" è uno che non suddivide una rete IP in segmenti più piccoli. Ad esempio, un indirizzo C di classe 192.168.1.0 con una subnet mask 255.255.255.0 è uno schema di indirizzamento IP di classe.
Uno schema di indirizzamento IP "senza classi" è uno che usa una subnet mask per dividere un indirizzo IP in segmenti più piccoli. Ad esempio, un indirizzo C di classe 192.168.1.0 con subnet mask 255.255.255.192 è uno schema di indirizzamento IP senza classi. Insieme a questa rete, sono disponibili anche gli indirizzi di rete IP seguenti: 192.168.1.64, 192.168.1.128 e 192.168.1.192.
Quando si esegue la subnet delle reti IP, i bit aggiuntivi vengono prelevati dalla parte host dell'indirizzo IP e assegnati alla parte di rete. Questa operazione viene definita aggiungendo bit aggiuntivi alla subnet mask. Il valore 11111111.111111111.1111111.000000000 mostra una subnet mask con classi per una rete Class C 255.255.255.255.0, mentre il valore 11111111.111111111.11111111.11000000 illustra la subnet mask senza classe 255.255.255.255.192. Di conseguenza, dall'esempio precedente si sa che:
| Se la subnet mask è | Il numero di bit della subnet mask è |
|---|---|
| 255.255.255.128 | 25 |
| 255.255.255.192 | 26 |
| 255.255.255.224 | 27 |
| 255.255.255.240 | 28 |
| 255.255.255.248 | 29 |
| 255.255.255.252 | 30 |
| 255.255.255.254 | 31 |
Sintassi
Le zone di ricerca inversa con subnet delegate possono essere usate per trasferire il controllo amministrativo tra qualsiasi elemento padre e figlio IN-ADDR. Zona ARPA nel DNS. Le configurazioni comuni prevedono la delega di un ISP (padre) a un sito del cliente (figlio) o a una sede centrale aziendale (padre) delegata a un sito remoto aziendale (figlio). Poiché lo scenario ISP è più tipico, verrà usato nell'esempio seguente.
Quando si creano zone di ricerca inversa senza classi, è possibile usare la notazione, ad esempio quelle seguenti:
<subnet-subnet>< mask bit count.100.168.192.in-addr.arpa> o
<subnet>/<subnet mask bit count.100.168.192.in-addr.arpa> o
<subnet>.<subnet mask bit count.100.168.192.in-addr.arpa> o
SubnetX<subnet.100.168.192.in-addr.arpa> (dove X è il numero di subnet assegnato dall'elemento padre) o
<subnet.100.168.192.in-addr.arpa>, ad esempio:64-26.100.168.192.in-addr.arpa o
64/26.100.168.192.in-addr.arpa o
64.26.100.168.192.in-addr.arpa o
Subnet3.100.168.192.in-addr.arpa o
64.100.168.192.in-addr.arpa
Ciò indica che la zona di ricerca inversa subnet è la sottorete a 64 che usa 26 bit per la subnet mask.
Note
Se si eseguono trasferimenti di zona, tra padre e figlio è necessario controllare la sintassi dei file che verranno trasferiti tra i server DNS. Non tutte le versioni dei server DNS supporteranno i vari metodi di sintassi definiti nella RFC (trattino, barra e così via). Microsoft DNS supporterà uno di questi metodi.
Note
Indipendentemente dalla sintassi scelta nel dominio padre DEVE essere identica alla sintassi usata nel dominio figlio.
Elenco di controllo
La compilazione dell'elenco di controllo seguente consentirà di semplificare l'esecuzione di questo documento.
| Elenco di controllo padre | Elenco di controllo figlio |
|---|---|
| <Nome server DNS padre> | <Nome server DNS figlio> |
| <IP del server DNS padre> | <IP del server DNS figlio> |
| <subnet mask> | <subnet mask> |
| <numero di bit subnet mask della sintassi><della subnet><> | <numero di bit subnet mask della sintassi><della subnet><> |
Di seguito è riportato l'esempio che useremo un ISP che ha preso un intervallo C di classe e lo ha subnetto in quattro subnet usando la subnet mask 255.255.255.192. Le quattro subnet sono 192.168.100.0, 192.168.100.64, 192.168.100.128 e 192.168.100.192. La subnet delegata al sito del cliente è il secondo intervallo, ovvero la rete 64 che usa 65-126 per gli indirizzi IP host.
| Elenco di controllo padre | Elenco di controllo figlio |
|---|---|
NS.microsoft.com |
NS1.msn.com |
| 192.168.43.8 | 192.168.100.126 |
| 255.255.255.192 | 255.255.255.192 |
| 0-26 | 64-26 |
| 64-26 | |
| 128-26 | |
| 192-26 |
Procedura dettagliata padre per gli ambienti Windows DNS Server
Avviare lo snap-in DNS in Microsoft Management Console (MMC).
In Visualizza passare dalla visualizzazione standard a Avanzate.
Fare clic con il pulsante destro del mouse su Zone di ricerca inversa e selezionare Nuova zona.
Selezionare Tipo di zona di Active Directory Integrated o Standard Primary, fare clic su Avanti.
Digitare l'ID di rete non subnet (ad esempio 192.168.100) o il nome della zona di ricerca inversa (ad esempio 100.168.192.in-addr.arpa) per l'indirizzo C della classe non subnet, selezionare Avanti.
Se è stata selezionata la replica primaria standard, è possibile creare un nuovo file di zona o se è presente un file di zona esistente, è possibile inserirlo nella directory %systemroot%\system32\dns e il server lo leggerà da tale directory.
Dopo aver creato la zona padre primaria, fare clic con il pulsante destro del mouse sulla zona appena creata e selezionare Nuova delega. Aggiungere la convenzione di denominazione scelta come padre per la zona figlio delegata, ad esempio 64-26. Assicurarsi di comunicare la convenzione di denominazione all'amministratore del dominio figlio. Vedere esempi.
Aggiungere il CNAME (ALIAS) RR (record di risorse) per i dispositivi all'interno di ognuna delle subnet. Ad esempio:
65 CNAME 65.64-26.100.168.192.in-addr.arpa.Note
Gli aggiornamenti dinamici per le ricerche inverse con subnet non funzionano. I record dovranno essere aggiunti manualmente. La casella di controllo "Crea record PTR associato" non funzionerà per la zona di ricerca inversa subnet quando il record "A" (host) viene creato tramite GUI.
Procedura dettagliata figlio per ambienti Windows DNS Server
- Avviare lo snap-in DNS in Microsoft Management Console (MMC).
- In Visualizza passare dalla visualizzazione standard a Avanzate.
- Fare clic con il pulsante destro del mouse su Zone di ricerca inversa e selezionare Nuova zona.
- Selezionare Il tipo di zona: Active Directory-Integrated o Standard Primary e selezionare Avanti.
- Selezionare l'opzione per Il nome della zona di ricerca inversa. Immettere il nome della zona di ricerca inversa,
64-26.100.168.192.in-addr.arpaad esempio per l'indirizzo C della classe subnet. Assicurarsi di seguire la convenzione di denominazione fornita dall'amministratore del dominio padre. Seleziona Avanti. - Se è stata selezionata la replica primaria standard, è possibile:
- Creare un nuovo file di zona o
- Usare un file di zona esistente inserendolo nella
%systemroot%\system32\dnsdirectory, da cui il server lo legge.
- Aggiungere manualmente i record PTR (puntatore) alla zona di ricerca inversa. Ad esempio:
65 PTR host65.msn.com - Se necessario, configurare il server DNS figlio (che ospita la zona delegata) per inoltrare le richieste ai server DNS padre. Ciò consente ai server DNS figlio di risolvere i record nelle zone ospitate dai server DNS padre.
Configurazione della zona di ricerca inversa
Se la zona di ricerca inversa non è una zona integrata in Active Directory (zona basata su file), è possibile aprire il file di zona che si trova in %systemroot%\system32\dns*Zonename.in-addr.arpa*. Il file viene visualizzato come illustrato nell'esempio seguente:
File di zona di esempio
File della zona di ricerca inversa subnet padre
;
; File di database 100.168.192.in-addr.arpa.dns per la zona 100.168.192.in-addr.arpa.
; Versione zona: 4
;@ IN SOA
NS.microsoft.com.administrator.microsoft.com. (
4 ; numero di serie
3600 ; aggiornare
600 ; ripetere
86400 ; scadere
3600 ); TTL minimo;
; Record NS di zona
;@
NSNS.microsoft.com.;
; Record di zona
;;
; Sottoarea delegata: 64-26.100.168.192.in-addr.arpa.
;
64-26NSNS1.msn.com.
; Delega finale65 CNAME65.64-26.100.168.192.in-addr.arpa.
66 CNAME66.64-26.100.168.192.in-addr.arpa.
67 CNAME67.64-26.100.168.192.in-addr.arpa.
...
126 CNAME67.64-26.100.168.192.in-addr.arpa.
Note
L'ellisse "...", indica gli indirizzi IP e gli host univoci compresi tra 67 e 126. I puntini di sospensione non sono validi nel file.
File di zona di ricerca inversa subnet figlio
;
; File di database 64-26.100.168.192.in-addr.arpa.dns per la zona 64-26.100.168.192.in-addr.arpa.
; Versione zona: 1
;@ IN SOA
NS1.msn.com.administrator.msn.com. (
1 ; numero di serie
3600 ; aggiornare
600 ; ripetere
86400 ; scadere
3600 ); TTL minimo;
; Record NS di zona
;@
NSNS1.msn.com.;
; Record di zona
;65 PTR
host65.msn.com.
66 PTRhost66.msn.com.
67 PTRhost67.msn.com.
...
126 PTRhost126.msn.com.
Note
Anche in questo caso, negli esempi precedenti, i puntini di sospensione indicano gli indirizzi IP omessi tra 67 e 126. I puntini di sospensione non sono validi nel file.