Основные сведения об обратной зоне DNS и ее поддержке в Azure
В этой статье приводятся общие сведения о работе обратной службы DNS и сценарии, для которых обратная служба DNS поддерживается в Azure.
Что такое обратная зона DNS
В традиционных записях имя DNS сопоставляется с IP-адресом. Например, www.contoso.com соответствует 64.4.6.100. Обратная служба DNS выполняет противоположное действие, преобразуя IP-адрес обратно в имя. Например, поиск 64.4.6.100 будет соответствовать www.contoso.com.
Записи обратной службы DNS используются в разных ситуациях. Например, записи обратной зоны DNS широко используются для борьбы с нежелательными электронными сообщениями путем проверки отправителя сообщения. Получающий почтовый сервер извлекает обратную запись DNS IP-адреса отправляющего сервера. Затем получающий почтовый сервер проверяет наличие у узла авторизации на отправление электронного сообщения из исходного домена.
Принцип работы обратной зоны DNS
Записи обратной зоны DNS размещены в специальных зонах DNS, известных как зоны ARPA. Параллельно с обычной иерархией, в которой размещены домены, такие как contoso.com, эти зоны образуют отдельную иерархию DNS, такую как contoso.com.
Например, DNS-запись www.contoso.com получена на основе DNS-записи "А" с именем "www" в зоне contoso.com. Эта запись А указывает на соответствующий IP-адрес. В этом случае — 64.4.6.100. Обратный поиск реализуется отдельно с использованием записи типа "PTR" с именем "100" в зоне "6.4.64.in-addr.arpa". Обратите внимание, что в зонах ARPA для IP-адресов создаются обратные записи. Правильно настроенная запись PTR указывает на имя www.contoso.com.
При назначении организации блока IP-адресов она получает права на управление соответствующей зоной ARPA. Корпорация Майкрософт размещает зоны ARPA, соответствующие блокам IP-адресов, используемым Azure, а также управляет ими. Поставщик услуг Интернета может предоставить зону ARPA для IP-адресов, которыми вы владеете. Кроме того, вам может быть разрешено разместить зону ARPА в службе DNS, например в Azure DNS.
Примечание
Прямые и обратные запросы DNS реализуются в отдельной параллельной иерархии DNS. Обратный поиск "www.contoso.com" не размещается в зоне "contoso.com", а в зоне ARPA для соответствующего блока IP-адресов. Для блоков адресов IPv4 и IPv6 используются отдельные зоны.
IPv4
Имя зоны обратного просмотра IPv4 должно быть представлено в формате <IPv4 network prefix in reverse order>.in-addr.arpa.
Предположим, вы создаете обратную зону для записей узлов с IP-адресами в префиксе 192.0.2.0/24. Чтобы создать имя зоны, вам нужно отделить сетевой префикс адреса (192.0.2), записать его в обратном порядке (2.0.192) и добавить суффикс .in-addr.arpa.
| Класс подсети | Сетевой префикс | Обратный сетевой префикс | Стандартный суффикс | Имя обратной зоны |
|---|---|---|---|---|
| Класс A | 203.0.0.0/8 | 203 | .in-addr.arpa | 203.in-addr.arpa |
| Класс B | 198.51.0.0/16 | 51.198 | .in-addr.arpa | 51.198.in-addr.arpa |
| Класс C | 192.0.2.0/24 | 2.0.192 | .in-addr.arpa | 2.0.192.in-addr.arpa |
Бесклассовое делегирование IPv4
Иногда диапазон IP-адресов, выделенных для организации, меньше диапазона класса C (/24). В таком случае диапазон IP-адресов не попадает в границы зоны в иерархии зоны .in-addr.arpa и не может быть делегирован как дочерняя зона.
Для перемещения каждой записи обратного поиска в выделенную зону DNS используется другой метод. В этом случае производится делегирование дочерней зоны каждого диапазона IP-адресов. Затем каждый IP-адрес в данном диапазоне сопоставляется с этой дочерней зоной при помощи записей CNAME.
Предположим, поставщик услуг Интернета предоставил организации диапазон IP-адресов 192.0.2.128/26. В него входят 64 IP-адреса — с 192.0.2.128 по 192.0.2.191. Обратная служба DNS для этого диапазона реализуется следующим образом:
Организация создает зону обратного поиска с именем 128-26.2.0.192.in-addr.arpa. Префикс "128-26" представляет сегмент сети, присвоенный организации в диапазоне класса C (/24).
Поставщик услуг Интернета создает записи NS, чтобы настроить делегирование DNS для вышеуказанной зоны из родительской зоны класса C. Поставщик услуг Интернета также создает записи CNAME в родительской зоне обратного поиска (класса C). Затем они сопоставляют каждый IP-адрес из диапазона IP-адресов с новой зоной, созданной организацией:
$ORIGIN 2.0.192.in-addr.arpa ; Delegate child zone 128-26 NS <name server 1 for 128-26.2.0.192.in-addr.arpa> 128-26 NS <name server 2 for 128-26.2.0.192.in-addr.arpa> ; CNAME records for each IP address 129 CNAME 129.128-26.2.0.192.in-addr.arpa 130 CNAME 130.128-26.2.0.192.in-addr.arpa 131 CNAME 131.128-26.2.0.192.in-addr.arpa ; etcПосле этого организация управляет отдельными записями типа PTR в дочерней зоне.
$ORIGIN 128-26.2.0.192.in-addr.arpa ; PTR records for each UIP address. Names match CNAME targets in parent zone 129 PTR www.contoso.com 130 PTR mail.contoso.com 131 PTR partners.contoso.com ; etc
При обратном просмотре IP-адреса "192.0.2.129" отправляется запрос на запись типа PTR с именем "129.2.0.192.in-addr.arpa". Этот запрос поступает через CNAME в родительской зоне в запись типа PTR в дочерней зоне.
IPv6
Имя зоны обратного просмотра IPv6 должно быть представлено в формате <IPv6 network prefix in reverse order>.ip6.arpa
Например, при создании зоны обратных записей узлов для узлов с IP-адресами, которые находятся в префиксе 2001:db8:1000:abdc::/64. Имя зоны создается путем изоляции префикса сети адреса (2001:db8:abdc::). Далее нужно развернуть сетевой префикс IPv6, удалив сжатие за счет нулей (если оно использовалось для сокращения префикса адреса IPv6 (2001:0db8:abdc:0000::)). Запишите префикс в обратном порядке, используя точку как разделитель между каждым шестнадцатеричным числом, чтобы сформировать обратный сетевой префикс (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2), и добавьте суффикс .ip6.arpa.
| Сетевой префикс | Развернутый обратный сетевой префикс | Стандартный суффикс | Имя обратной зоны |
|---|---|---|---|
| 2001:db8:abdc::/64 | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 | .ip6.arpa | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa |
| 2001:db8:1000:9102::/64 | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 | .ip6.arpa | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa |
Поддержка обратной зоны DNS в Azure
Azure поддерживает два отдельных сценария, касающихся обратной зоны DNS:
Размещение зоны обратного поиска, соответствующей блоку IP-адресов. Azure DNS можно использовать для размещения зон обратного просмотра и управления записями PTR для протоколов IPv4 и IPv6. Процедура создания зоны обратного просмотра (ARPA), настройки делегирования и конфигурирования записей типа PTR будет такой же, как и для обычных зон DNS. Отличие заключается лишь в том, что делегирование настраивается с помощью поставщика услуг Интернета, а не регистратора DNS, при этом должен использоваться только один тип записей PTR.
Настройка обратной записи DNS для IP-адреса, назначенного службе Azure. Azure позволяет настроить обратный поиск IP-адресов, предоставленных службе Azure. Служба Azure настраивает обратный поиск как запись типа PTR в соответствующей зоне ARPA. Эти зоны ARPA, соответствующие всем используемым в Azure диапазонам IP-адресов, размещаются корпорацией Майкрософт.
Дальнейшие действия
- Дополнительные сведения об обратной службе DNS см. в статье Википедии об обратном поиске DNS.
- Узнайте, как разместить зону обратного просмотра для диапазона IP-адресов, присвоенного поставщиком услуг Интернета, в службе Azure DNS.
- Узнайте, как управлять записями обратной зоны DNS для служб Azure.