Como configurar uma zona de pesquisa inversa com sub-redes
Este artigo descreve como configurar uma zona de pesquisa inversa em sub-redes.
Número original do KB: 174419
Resumo
Observação
Criar zonas de pesquisa inversa delegadas em sub-redes não é uma tarefa trivial. É importante entender como as zonas DNS (Sistema de Nomes de Domínio) funcionam antes de tentar criar zonas de pesquisa inversa com sub-redes. Existem inúmeras notas ao longo deste documento às quais você deve prestar muita atenção. É recomendável que você tente primeiro esses procedimentos em um ambiente de teste antes de implantá-los em uma rede ativa devido à facilidade com que os erros podem ocorrer durante a configuração.
O rápido crescimento da comunidade da Internet criou a necessidade de sub-rede de redes IP completas em porções menores. Em um ambiente com sub-redes, os servidores DNS podem delegar facilmente a autoridade de zonas de pesquisa direta porque são independentes da infraestrutura subjacente em sub-redes. No entanto, devido à estrutura inversa das zonas de pesquisa inversa e sua dependência estrita da estrutura de sub-rede específica, a delegação dessas zonas requer considerações especiais. A Internet Engineering Task Force (IETF) criou o RFC 2317, "Classless IN-ADDR. Delegação ARPA", que discute essas considerações.
A delegação de zonas de pesquisa inversa em sub-redes complementa a capacidade de delegar zonas de pesquisa direta. Essa flexibilidade na propriedade da zona permite que você, como administrador de um domínio pai, delegue o controle de um subdomínio filho e de uma sub-rede de endereços correspondente a outro administrador. Por outro lado, como administrador de um domínio filho, agora você tem o controle necessário para fazer alterações nos registros de host DNS (A) ou nos registros de endereço IP (PTR) sem precisar fazer uma solicitação de alteração por meio do domínio pai.
Este artigo discute como configurar zonas de pesquisa inversa delegadas em sub-redes para um servidor DNS do Microsoft Windows.
Observação
O simples fato de seu ambiente de rede ser sub-rede não significa que seu servidor DNS deva ser configurado da maneira descrita neste artigo. A criação de zonas de pesquisa inversa delegadas em sub-redes é apenas uma opção administrativa; não é ditado apenas pela infraestrutura subjacente em sub-redes.
Mais informações
Um esquema de endereçamento IP "classful" é aquele que não divide uma rede IP em segmentos menores. Por exemplo, um endereço de classe C de 192.168.1.0 com uma máscara de sub-rede de 255.255.255.0 é um esquema de endereçamento IP de classe.
Um esquema de endereçamento IP "sem classe" é aquele que usa uma máscara de sub-rede para dividir um endereço IP em segmentos menores. Por exemplo, um endereço de classe C de 192.168.1.0 com uma máscara de sub-rede de 255.255.255.192 é um esquema de endereçamento IP sem classe. Junto com essa rede, você também teria os seguintes endereços de rede IP: 192.168.1.64, 192.168.1.128 e 192.168.1.192.
Ao criar redes IP em sub-redes, bits adicionais são retirados da parte do host do endereço IP e fornecidos à parte da rede. Isso é definido pela adição de bits adicionais à máscara de sub-rede. O valor 11111111.11111111.111111111.00000000 nos mostra uma máscara de sub-rede com classe para uma rede Classe C de 255.255.255.0, enquanto o valor 111111111.111111111.111111111.110000000 ilustra a máscara de sub-rede sem classe de 255.255.255.192. Portanto, a partir do exemplo acima, sabemos que:
| Se a máscara de sub-rede for | A contagem de bits da máscara de sub-rede é |
|---|---|
| 255.255.255.128 | 25 |
| 255.255.255.192 | 26 |
| 255.255.255.224 | 27 |
| 255.255.255.240 | 28 |
| 255.255.255.248 | 29 |
| 255.255.255.252 | 30 |
| 255.255.255.254 | 31 |
A sintaxe
As zonas de pesquisa inversa delegadas em sub-redes podem ser usadas para transferir o controle administrativo entre qualquer IN-ADDR pai e filho. ARPA no DNS. As configurações comuns envolvem um ISP (Pai) delegando a um Site do Cliente (Filho) ou uma Sede Corporativa (Pai) delegando a um Site Remoto Corporativo (Filho). Como o cenário do ISP é mais comum, ele será usado no exemplo a seguir.
Ao criar zonas de pesquisa inversa sem classes, você pode usar notações como as seguintes:
<contagem de bits de máscara de< sub-rede de> sub-rede.100.168.192.in-addr.arpa> ou
<contagem de bits> de máscara de sub-rede>/<sub-rede.100.168.192.in-addr.arpa ou
<sub-rede>.<contagem de bits> de máscara de sub-rede.100.168.192.in-addr.arpa ou
Sub-rede X-rede.100.168.192.in-addr.arpa<> (em que X é o número da sub-rede atribuído pelo pai) ou
<sub-rede.100.168.192.in-addr.arpa> Por exemplo:64-26.100.168.192.in-addr.arpa ou
64/26.100.168.192.in-addr.arpa ou
64.26.100.168.192.in-addr.arpa ou
Sub-rede3.100.168.192.in-addr.arpa ou
64.100.168.192.in-addr.arpa
Isso indica que a zona de pesquisa inversa em sub-redes é a sub-rede 64 que está usando 26 bits para sua máscara de sub-rede.
Observação
Se você estiver executando qualquer transferência de zona, entre pai e filho, você precisa verificar a sintaxe dos arquivos que serão transferidos entre servidores DNS. Nem todas as versões de servidores DNS suportarão os vários métodos de sintaxe definidos no RFC (o hífen, a barra, etc.). O DNS da Microsoft dará suporte a qualquer um desses métodos.
Observação
Qualquer sintaxe escolhida no domínio Pai DEVE ser idêntica à sintaxe usada no domínio Filho.
A lista de verificação
O preenchimento da lista de verificação a seguir facilitará a leitura deste documento.
| Lista de verificação dos pais | Lista de verificação da criança |
|---|---|
| <Nome do servidor DNS pai> | <Nome do servidor DNS filho> |
| <IP do servidor DNS pai> | <IP do servidor DNS filho> |
| <máscara de sub-rede> | <máscara de sub-rede> |
| <><Sintaxe><de sub-rede Contagem de bits de máscara de sub-rede> | <><Sintaxe><de sub-rede Contagem de bits de máscara de sub-rede> |
Aqui está o exemplo que usaremos de um ISP que pegou um intervalo de Classe C e o dividiu em quatro sub-redes usando a máscara de sub-rede 255.255.255.192. As quatro sub-redes são 192.168.100.0, 192.168.100.64, 192.168.100.128 e 192.168.100.192. A sub-rede que está sendo delegada ao Site do Cliente é o segundo intervalo, ou seja, a rede 64 usando 65-126 para os endereços IP do host.
| Lista de verificação dos pais | Lista de verificação da criança |
|---|---|
NS.microsoft.com |
NS1.msn.com |
| 192.168.43.8 | 192.168.100.126 |
| 255.255.255.192 | 255.255.255.192 |
| 0-26 | 64-26 |
| 64-26 | |
| 128-26 | |
| 192-26 |
O passo a passo pai para ambientes de servidor DNS do Windows
Inicie o snap-in DNS no MMC (Console de Gerenciamento Microsoft).
Em Exibir, altere do modo de exibição padrão para Avançado.
Clique com o botão direito do mouse em Zonas de Pesquisa Inversa e selecione Nova Zona.
Selecione Tipo de Zona do Active Directory Integrado ou Padrão Primário e clique em Avançar.
Digite a ID de rede sem sub-redes (por exemplo, 192.168.100) ou o nome da zona de pesquisa inversa (por exemplo, 100.168.192.in-addr.arpa) para o endereço de classe C sem sub-redes, selecione Avançar.
Se você selecionou primário padrão, poderá criar um novo arquivo de zona ou, se houver um arquivo de zona existente, poderá colocá-lo no diretório %systemroot%\system32\dns e o servidor o lerá desse diretório.
Depois que a zona pai primária for criada, clique com o botão direito do mouse na zona recém-criada e selecione Nova delegação. Adicione a convenção de nomenclatura escolhida como pai para a zona filho delegada, por exemplo, 64-26. Certifique-se de comunicar essa convenção de nomenclatura ao administrador do domínio filho. Consulte os exemplos.
Adicione o CNAME (ALIAS) RR (registros de recursos) para os dispositivos em cada uma das sub-redes. Por exemplo:
65 CNAME 65.64-26.100.168.192.in-addr.arpa.Observação
As atualizações dinâmicas para pesquisas inversas em sub-redes não funcionam. Os registros precisarão ser adicionados manualmente. Usar a caixa de seleção "Criar registro PTR associado" não funcionará para a zona de pesquisa inversa em sub-redes quando o registro "A" (host) for criado por meio da GUI.
O passo a passo filho para ambientes de servidor DNS do Windows
- Inicie o snap-in DNS no MMC (Console de Gerenciamento Microsoft).
- Em Exibir, altere do modo de exibição padrão para Avançado.
- Clique com o botão direito do mouse em Zonas de Pesquisa Inversa e selecione Nova Zona.
- Selecione o Tipo de Zona: Integrado ao Active Directory ou Primário Padrão e selecione Avançar.
- Selecione a opção para o Nome da Zona de Pesquisa Inversa. Insira o nome da zona de pesquisa inversa, por exemplo,
64-26.100.168.192.in-addr.arpapara o endereço de Classe C em sub-redes. Siga a convenção de nomenclatura fornecida pelo administrador do domínio pai. Selecione Avançar. - Se você selecionou Primário padrão, você pode:
- Criar um novo arquivo de zona ou
- Use um arquivo de zona existente colocando-o
%systemroot%\system32\dnsno diretório, de onde o servidor o lê.
- Adicione manualmente seus registros PTR (ponteiro) à zona de pesquisa inversa. Por exemplo:
65 PTR host65.msn.com - Se necessário, configure o servidor DNS filho (hospedando a zona delegada) para encaminhar solicitações aos servidores DNS pai. Isso permite que os servidores DNS filho resolvam registros em zonas hospedadas pelos servidores DNS pai.
Configuração da zona de pesquisa inversa
Se a Zona de Pesquisa Inversa não for uma zona integrada ao Active Directory (zona baseada em arquivo), você poderá abrir o arquivo de zona localizado em %systemroot%\system32\dns*Zonename.in-addr.arpa*. O arquivo aparece conforme mostrado no exemplo a seguir:
Arquivos de zona de amostra
Arquivo de zona de pesquisa inversa em sub-rede pai
;
; Arquivo de banco de dados 100.168.192.in-addr.arpa.dns para a zona 100.168.192.in-addr.arpa.
; Versão da zona: 4
;@ EM SOA
NS.microsoft.com.administrator.microsoft.com. (
4 ; número de série
3600 ; atualizar
600 ; Repetir
86400 ; expirar
3600 ); TTL mínimo;
; Registros NS da zona
;@
NSNS.microsoft.com.;
; Registros de zona
;;
; Subzona delegada: 64-26.100.168.192.in-addr.arpa.
;
64-26NSNS1.msn.com.
; Encerrar delegação65 CNAME65.64-26.100.168.192.in-addr.arpa.
66 CNAME66.64-26.100.168.192.in-addr.arpa.
67 CNAME67.64-26.100.168.192.in-addr.arpa.
...
126 CNAME67.64-26.100.168.192.in-addr.arpa.
Observação
A elipse, "...", indica os endereços IP exclusivos e hosts entre 67 e 126. As reticências não são válidas no arquivo.
Arquivo de zona de pesquisa inversa com sub-redes filho
;
; Arquivo de banco de dados 64-26.100.168.192.in-addr.arpa.dns para a zona 64-26.100.168.192.in-addr.arpa.
; Versão da zona: 1
;@ EM SOA
NS1.msn.com.administrator.msn.com. (
1 ; número de série
3600 ; atualizar
600 ; Repetir
86400 ; expirar
3600 ); TTL mínimo;
; Registros NS da zona
;@
NSNS1.msn.com.;
; Registros de zona
;65 PTR
host65.msn.com.
66 PTRhost66.msn.com.
67 PTRhost67.msn.com.
...
126 PTRhost126.msn.com.
Observação
Novamente, nos exemplos acima, as reticências indicam os endereços IP omitidos entre 67 e 126. As reticências não são válidas no arquivo.