Overzicht van omgekeerde DNS en ondersteuning in Azure
Dit artikel bevat een overzicht van de werking van omgekeerde DNS en scenario's waarin omgekeerde DNS wordt ondersteund in Azure.
Wat is omgekeerde DNS?
Conventionele DNS-records wijzen een DNS-naam toe aan een IP-adres, zoals www.contoso.com omgezet in 64.4.6.100. Een omgekeerde DNS doet het tegenovergestelde door een IP-adres terug te vertalen naar een naam. Een zoekactie van 64.4.6.100 wordt bijvoorbeeld omgezet in www.contoso.com.
Omgekeerde DNS-records worden in verschillende situaties gebruikt. Omgekeerde DNS-records worden bijvoorbeeld veel gebruikt bij het bestrijden van e-mailspam door de afzender van een e-mailbericht te verifiëren. De ontvangende e-mailserver haalt de omgekeerde DNS-record van het IP-adres van de verzendende server op. Vervolgens controleert de ontvangende e-mailserver of die host is gemachtigd om e-mail te verzenden vanaf het oorspronkelijke domein.
Hoe omgekeerde DNS werkt
Omgekeerde DNS-records worden gehost in speciale DNS-zones, ook wel ARPA-zones genoemd. Deze zones vormen een afzonderlijke DNS-hiërarchie parallel met de normale hiërarchie die hostingdomeinen zoals contoso.com.
De DNS-record www.contoso.com wordt bijvoorbeeld geïmplementeerd met behulp van een DNS A-record met de naam 'www' in de zone contoso.com. Deze A-record verwijst naar het bijbehorende IP-adres, in dit geval 64.4.6.100. De reverse lookup wordt afzonderlijk geïmplementeerd met behulp van een PTR-record met de naam 100 in de zone '6.4.64.in-addr.arpa'. U ziet dat IP-adressen in ARPA-zones worden omgekeerd. Deze PTR-record, wanneer deze correct is geconfigureerd, verwijst naar de naam www.contoso.com.
Wanneer een organisatie een IP-adresblok krijgt toegewezen, krijgen ze ook het recht om de bijbehorende ARPA-zone te beheren. De ARPA-zones die overeenkomen met de IP-adresblokken die door Azure worden gebruikt, worden gehost en beheerd door Microsoft. Uw internetprovider kan de ARPA-zone voor u hosten voor de IP-adressen waarvan u eigenaar bent. U kunt ook de ARPA-zone hosten in een DNS-service van uw keuze, zoals Azure DNS.
Notitie
Forward DNS lookups en reverse DNS lookups worden geïmplementeerd in afzonderlijke, parallelle DNS-hiërarchieën. De reverse lookup voor 'www.contoso.com' wordt niet gehost in de zone 'contoso.com', maar wordt gehost in de ARPA-zone voor het bijbehorende IP-adresblok. Afzonderlijke zones worden gebruikt voor IPv4- en IPv6-adresblokken.
IPv4
De naam van een IPv4-zone voor reverse lookup moet de volgende indeling hebben: <IPv4 network prefix in reverse order>.in-addr.arpa
Wanneer u bijvoorbeeld een omgekeerde zone maakt om records te hosten voor hosts met IP-adressen die zich in het voorvoegsel 192.0.2.0/24 bevinden, wordt de zonenaam gemaakt door het netwerkvoorvoegsel van het adres (192.0.2) te isoleren en vervolgens de volgorde (2.0.192) te wijzigen en het achtervoegsel .in-addr.arpatoe te voegen.
| Subnetklasse | Netwerkvoorvoegsel | Omgekeerd netwerkvoorvoegsel | Standaardachtervoegsel | Omgekeerde zonenaam |
|---|---|---|---|---|
| Klasse A | 203.0.0.0/8 | 203 | .in-addr.arpa | 203.in-addr.arpa |
| Klasse B | 198.51.0.0/16 | 51.198 | .in-addr.arpa | 51.198.in-addr.arpa |
| Klasse C | 192.0.2.0/24 | 2.0.192 | .in-addr.arpa | 2.0.192.in-addr.arpa |
Klasseloze IPv4-delegatie
In sommige gevallen is het IP-bereik dat aan een organisatie wordt gegeven kleiner dan een bereik van klasse C (/24). In dit geval valt het IP-bereik niet op een zonegrens binnen de .in-addr.arpa zonehiërarchie en kan daarom niet worden gedelegeerd als een onderliggende zone.
Er wordt een andere methode gebruikt om elke reverse lookup-record over te dragen naar een toegewezen DNS-zone. Met deze methode wordt een onderliggende zone gedelegeerd voor elk IP-bereik. Vervolgens wordt elk IP-adres in het bereik afzonderlijk toegewezen aan die onderliggende zone met behulp van CNAME-records.
Stel dat uw organisatie het IP-bereik 192.0.2.128/26 van uw internetprovider krijgt. Dit adresblok vertegenwoordigt 64 IP-adressen, van 192.0.2.128 tot 192.0.2.191. Omgekeerde DNS voor dit bereik wordt geïmplementeerd als volgt:
Uw organisatie maakt een zone voor reverse lookup met de naam 128-26.2.0.192.in-addr.arpa. Het voorvoegsel '128-26' vertegenwoordigt het netwerksegment dat is toegewezen aan uw organisatie binnen het bereik van klasse C (/24).
Uw internetprovider maakt NS-records voor het instellen van de DNS-delegatie voor de bovenstaande zone vanuit de bovenliggende klasse C-zone. De internetprovider maakt ook CNAME-records in de bovenliggende zone (klasse C) voor reverse lookup. Vervolgens wijzen ze elk IP-adres in het IP-bereik toe aan de nieuwe zone die door uw organisatie is gemaakt:
$ORIGIN 2.0.192.in-addr.arpa ; Delegate child zone 128-26 NS <name server 1 for 128-26.2.0.192.in-addr.arpa> 128-26 NS <name server 2 for 128-26.2.0.192.in-addr.arpa> ; CNAME records for each IP address 129 CNAME 129.128-26.2.0.192.in-addr.arpa 130 CNAME 130.128-26.2.0.192.in-addr.arpa 131 CNAME 131.128-26.2.0.192.in-addr.arpa ; etcUw organisatie beheert vervolgens de afzonderlijke PTR-records binnen hun onderliggende zone.
$ORIGIN 128-26.2.0.192.in-addr.arpa ; PTR records for each UIP address. Names match CNAME targets in parent zone 129 PTR www.contoso.com 130 PTR mail.contoso.com 131 PTR partners.contoso.com ; etc
Een reverse lookup voor het IP-adres '192.0.2.129' query's voor een PTR-record met de naam 129.2.0.192.in-addr.arpa. Deze query wordt omgezet met de CNAME in de bovenliggende zone naar de PTR-record in de onderliggende zone.
IPv6
De naam van een IPv6-zone voor reverse lookup moet de volgende vorm hebben: <IPv6 network prefix in reverse order>.ip6.arpa
Wanneer u bijvoorbeeld een omgekeerde zone maakt om records te hosten voor hosts met IP-adressen die zich in het voorvoegsel 2001:db8:1000:abdc::/64 bevinden. De zonenaam wordt gemaakt door het netwerkvoorvoegsel van het adres te isoleren (2001:db8:abdc::). Vouw vervolgens het IPv6-netwerkvoorvoegsel uit om nulcompressie te verwijderen, als het werd gebruikt om het IPv6-adresvoorvoegsel te verkorten (2001:0db8:abdc:0000::). De volgorde omkeren met behulp van een punt als scheidingsteken tussen elk hexadecimaal getal in het voorvoegsel, om het omgekeerde netwerkvoorvoegsel (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2) te bouwen en het achtervoegsel .ip6.arpatoe te voegen.
| Netwerkvoorvoegsel | Uitgevouwen en omgekeerd netwerkvoorvoegsel | Standaardachtervoegsel | Omgekeerde zonenaam |
|---|---|---|---|
| 2001:db8:abdc::/64 | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 | .ip6.arpa | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa |
| 2001:db8:1000:9102::/64 | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 | .ip6.arpa | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa |
ondersteuning voor Azure voor omgekeerde DNS
ondersteuning voor Azure twee afzonderlijke scenario's met betrekking tot omgekeerde DNS:
Host de zone voor reverse lookup die overeenkomt met uw IP-adresblok. Azure DNS kan worden gebruikt om uw zones voor reverse lookup te hosten en de PTR-records voor zowel IPv4 als IPv6 te beheren. Het proces voor het maken van de ZONE reverse lookup (ARPA), het instellen van de overdracht en het configureren van PTR-records is hetzelfde als voor reguliere DNS-zones. De verschillen zijn delegering moet worden geconfigureerd met uw internetprovider in plaats van uw DNS-registrar, en alleen het PTR-recordtype moet worden gebruikt.
Configureer de omgekeerde DNS-record voor het IP-adres dat is toegewezen aan uw Azure-service . Met Azure kunt u de reverse lookup configureren voor de IP-adressen die aan uw Azure-service zijn gegeven. Deze reverse lookup wordt door Azure geconfigureerd als een PTR-record in de bijbehorende ARPA-zone. Deze ARPA-zones, die overeenkomen met alle IP-bereiken die door Azure worden gebruikt, worden gehost door Microsoft
Volgende stappen
- Zie reverse DNS lookup op Wikipedia voor meer informatie over omgekeerde DNS.
- Meer informatie over het hosten van de zone voor reverse lookup voor uw IP-adresbereik dat is toegewezen aan uw internetprovider in Azure DNS.
- Meer informatie over het beheren van omgekeerde DNS-records voor uw Azure-services.