Omówienie zwrotnego systemu DNS i obsługi na platformie Azure
Ten artykuł zawiera omówienie działania odwrotnego systemu DNS i scenariuszy, w których odwrotny system DNS jest obsługiwany na platformie Azure.
Co to jest odwrotny system DNS?
Konwencjonalne rekordy DNS mapuje nazwę DNS na adres IP, na przykład www.contoso.com rozpoznawane jako 64.4.6.100. Odwrotny system DNS wykonuje odwrotnie, tłumacząc adres IP z powrotem na nazwę. Na przykład odnośnik 64.4.6.100 zostanie rozpoznany jako www.contoso.com.
Odwrotne rekordy DNS są używane w różnych sytuacjach. Na przykład odwrotne rekordy DNS są powszechnie używane w walce ze spamem e-mail, weryfikując nadawcę wiadomości e-mail. Odbierający serwer poczty pobiera odwrotny rekord DNS adresu IP serwera wysyłającego. Następnie odbierający serwer poczty sprawdza, czy ten host ma autoryzację do wysyłania wiadomości e-mail z domeny źródłowej.
Jak działa odwrotny system DNS
Odwrotne rekordy DNS są hostowane w specjalnych strefach DNS, znanych jako "ARPA". Te strefy tworzą oddzielną hierarchię DNS równolegle z normalnymi domenami hostowania hierarchii, takimi jak contoso.com.
Na przykład rekord www.contoso.com DNS jest implementowany przy użyciu rekordu DNS "A" o nazwie "www" w strefie contoso.com. Ten rekord A wskazuje odpowiedni adres IP, w tym przypadku 64.4.6.100. Wyszukiwanie wsteczne jest implementowane oddzielnie przy użyciu rekordu PTR o nazwie "100" w strefie "6.4.64.in-addr.arpa". Zwróć uwagę, że adresy IP w strefach ARPA są odwrócone. Ten rekord PTR, po skonfigurowaniu poprawnie wskaże nazwę www.contoso.com.
Gdy organizacja ma przypisany blok adresów IP, uzyskuje również prawo do zarządzania odpowiednią strefą ARPA. Strefy ARPA odpowiadające blokom adresów IP używanych przez platformę Azure są hostowane i zarządzane przez firmę Microsoft. Usługodawca może hostować strefę ARPA dla adresów IP, których jesteś właścicielem. Mogą one również umożliwić hostowanie strefy ARPA w wybranej usłudze DNS, takiej jak Azure DNS.
Uwaga
Wyszukiwanie DNS do przodu i wsteczne wyszukiwania DNS są implementowane w oddzielnych, równoległych hierarchiach DNS. Wsteczne wyszukiwanie "www.contoso.com" nie jest hostowane w strefie "contoso.com", a nie jest hostowane w strefie ARPA dla odpowiedniego bloku adresu IP. Oddzielne strefy są używane do bloków adresów IPv4 i IPv6.
Protokół IPv4
Nazwa strefy wyszukiwania wstecznego IPv4 powinna mieć następujący format: <IPv4 network prefix in reverse order>.in-addr.arpa.
Na przykład podczas tworzenia strefy odwrotnej do hostowania rekordów dla hostów z adresami IP, które znajdują się w prefiksie 192.0.2.0/24, nazwa strefy zostanie utworzona przez izolowanie prefiksu sieciowego adresu (192.0.2), a następnie odwrócenie kolejności (2.0.192) i dodanie sufiksu .in-addr.arpa.
| Podsieć, klasa | Prefiks sieci | Prefiks odwrotnej sieci | Sufiks standardowy | Nazwa strefy odwrotnej |
|---|---|---|---|---|
| Klasa A | 203.0.0.0/8 | 203 | .in-addr.arpa | 203.in-addr.arpa |
| Klasa B | 198.51.0.0/16 | 51.198 | .in-addr.arpa | 51.198.in-addr.arpa |
| Klasa C | 192.0.2.0/24 | 2.0.192 | .in-addr.arpa | 2.0.192.in-addr.arpa |
Delegowanie bezklasowe IPv4
W niektórych przypadkach zakres adresów IP podany organizacji jest mniejszy niż zakres klasy C (/24). W takim przypadku zakres adresów IP nie znajduje się na granicy strefy w .in-addr.arpa hierarchii strefy, a w związku z tym nie można delegować go jako strefy podrzędnej.
Inna metoda służy do transferu każdego rekordu wyszukiwania wstecznego do dedykowanej strefy DNS. Ta metoda deleguje strefę podrzędną dla każdego zakresu adresów IP. Następnie mapuje każdy adres IP w zakresie indywidualnie do tej strefy podrzędnej przy użyciu rekordów CNAME.
Załóżmy na przykład, że Twoja organizacja ma udzielony zakres adresów IP 192.0.2.128/26 przez dostawcę tożsamości. Ten blok adresów reprezentuje 64 adresy IP z 192.0.2.128 do 192.0.2.191. Odwrotny system DNS dla tego zakresu jest implementowany w następujący sposób:
Twoja organizacja tworzy strefę wyszukiwania wstecznego o nazwie 128-26.2.0.192.in-addr.arpa. Prefiks "128-26" reprezentuje segment sieciowy przypisany do organizacji w zakresie klasy C (/24).
Usługodawca internetowy tworzy rekordy NS w celu skonfigurowania delegowania DNS dla powyższej strefy z nadrzędnej strefy klasy C. Usługodawca internetowy tworzy również rekordy CNAME w nadrzędnej strefie wyszukiwania wstecznego (klasa C). Następnie mapują każdy adres IP w zakresie adresów IP na nową strefę utworzoną przez organizację:
$ORIGIN 2.0.192.in-addr.arpa ; Delegate child zone 128-26 NS <name server 1 for 128-26.2.0.192.in-addr.arpa> 128-26 NS <name server 2 for 128-26.2.0.192.in-addr.arpa> ; CNAME records for each IP address 129 CNAME 129.128-26.2.0.192.in-addr.arpa 130 CNAME 130.128-26.2.0.192.in-addr.arpa 131 CNAME 131.128-26.2.0.192.in-addr.arpa ; etcNastępnie organizacja zarządza poszczególnymi rekordami PTR w strefie podrzędnej.
$ORIGIN 128-26.2.0.192.in-addr.arpa ; PTR records for each UIP address. Names match CNAME targets in parent zone 129 PTR www.contoso.com 130 PTR mail.contoso.com 131 PTR partners.contoso.com ; etc
Odwrotne wyszukiwanie adresu IP "192.0.2.129" dla rekordu PTR o nazwie "129.2.0.192.in-addr.arpa". To zapytanie rozwiązuje problem z rekordem CNAME w strefie nadrzędnej do rekordu PTR w strefie podrzędnej.
Protokół IPv6
Nazwa strefy wyszukiwania wstecznego IPv6 powinna mieć następującą postać: <IPv6 network prefix in reverse order>.ip6.arpa
Na przykład podczas tworzenia strefy odwrotnej do hostowania rekordów dla hostów z adresami IP, które znajdują się w prefiksie 2001:db8:1000:abdc::/64. Nazwa strefy zostanie utworzona przez odizolowanie prefiksu sieciowego adresu (2001:db8:abdc::). Następnie rozwiń prefiks sieciowy IPv6, aby usunąć kompresję zerową, jeśli został użyty do skrócenia prefiksu adresu IPv6 (2001:0db8:abdc:0000::). Odwróć kolejność, używając kropki jako ogranicznika między szesnastkowym numerem w prefiksie, aby skompilować odwrócony prefiks sieci (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2) i dodać sufiks .ip6.arpa.
| Prefiks sieci | Rozszerzony i odwrócony prefiks sieci | Sufiks standardowy | Nazwa strefy odwrotnej |
|---|---|---|---|
| 2001:db8:abdc::/64 | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 | .ip6.arpa | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa |
| 2001:db8:1000:9102::/64 | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 | .ip6.arpa | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa |
pomoc techniczna platformy Azure dla odwrotnego systemu DNS
Platforma Azure obsługuje dwa oddzielne scenariusze dotyczące odwrotnego systemu DNS:
Hostowanie strefy wyszukiwania wstecznego odpowiadającej blokowi adresu IP — usługa Azure DNS może służyć do hostowania stref wyszukiwania wstecznego i zarządzania rekordami PTR zarówno dla protokołu IPv4, jak i IPv6. Proces tworzenia strefy wyszukiwania wstecznego (ARPA), konfigurowania delegowania i konfigurowania rekordów PTR jest taki sam jak w przypadku zwykłych stref DNS. Różnice to delegowanie musi być skonfigurowane z usługodawcą internetowym, a nie rejestratorem DNS, a tylko typ rekordu PTR powinien być używany.
Skonfiguruj odwrotny rekord DNS dla adresu IP przypisanego do usługi platformy Azure — platforma Azure umożliwia skonfigurowanie wyszukiwania zwrotnego adresów IP podanych w usłudze platformy Azure. To wyszukiwanie wsteczne jest konfigurowane przez platformę Azure jako rekord PTR w odpowiedniej strefie ARPA. Te strefy ARPA odpowiadające wszystkim zakresom adresów IP używanym przez platformę Azure są hostowane przez firmę Microsoft
Następne kroki
- Aby uzyskać więcej informacji na temat odwrotnego systemu DNS, zobacz wsteczne wyszukiwanie DNS w wikipedii.
- Dowiedz się, jak hostować strefę wyszukiwania wstecznego dla zakresu adresów IP przypisanych przez dostawcę tożsamości w usłudze Azure DNS.
- Dowiedz się, jak zarządzać zwrotnymi rekordami DNS dla usług platformy Azure.