Procédure de configuration d’une zone de recherche inversée de sous-réseau

Cet article explique comment configurer une zone de recherche inversée de sous-réseau.

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la base de connaissances initiale :   174419

Résumé

Notes

La création de zones de recherche inversée de sous-réseau déléguées n’est pas une tâche simple. Il est important de comprendre le fonctionnement des zones DNS avant d’essayer de créer des zones de recherche inversée de sous-réseau. Il existe de nombreuses remarques dans ce document, auxquelles vous devez être attentif. Il est recommandé d’essayer d’abord ces procédures dans un environnement de test avant de les déployer sur un réseau actif en raison de la facilité avec laquelle des erreurs peuvent se produire lors de la configuration.

La croissance rapide de la communauté Internet a créé la nécessité de sous-réseaux de réseaux IP complets en portions plus petites. Dans un environnement de sous-réseau, les serveurs DNS peuvent facilement déléguer l’autorité des zones de recherche directes, car elles sont indépendantes de l’infrastructure de sous-réseau sous-jacente. Toutefois, en raison de la structure inverse des zones de recherche inversée et de leur dépendance stricte sur la structure de sous-réseau spécifique, la délégation de ces zones nécessite des considérations particulières. L’IETF (Internet Engineering Task Force) a créé la norme RFC 2317, « sans classe ». La délégation ARPA, qui aborde ces considérations.

La délégation de zones de recherche inversée de sous-réseau complète la possibilité de déléguer des zones de recherche directes. Cette souplesse dans la propriété de zone vous permet, en tant qu’administrateur d’un domaine parent, de déléguer le contrôle à la fois d’un sous-domaine enfant et d’un sous-réseau correspondant d’adresses à un autre administrateur. À l’inverse, en tant qu’administrateur d’un domaine enfant, vous disposez maintenant du contrôle nécessaire pour modifier les enregistrements d’hôte DNS (A) ou d’adresse IP (PTR) sans devoir effectuer une demande de modification via le domaine parent.

Cet article explique comment configurer des zones de recherche inversée de sous-réseau déléguées pour un serveur DNS Microsoft Windows.

Notes

Tout simplement parce que votre environnement réseau est sous-configuré, cela ne signifie pas que votre serveur DNS doit être configuré de la manière décrite dans cet article. La création de zones de recherche inversée de sous-réseau déléguée est un choix administratif uniquement ; Il n’est pas uniquement dicté par l’infrastructure de sous-réseau sous-jacente.

Informations supplémentaires

Un modèle d’adressage IP « avec classe » est un modèle qui ne décompose pas un réseau IP en segments plus petits. Par exemple, une adresse de classe C de 192.168.1.0 avec un masque de sous-réseau de 255.255.255.0 est un modèle d’adressage IP avec classe.

Un modèle d’adressage IP « sans classe » est un modèle qui utilise un masque de sous-réseau pour diviser une adresse IP en segments plus petits. Par exemple, une adresse de classe C de 192.168.1.0 avec un masque de sous-réseau de 255.255.255.192 est un modèle d’adressage IP sans classe. En plus de ce réseau, vous disposez des adresses de réseau IP suivantes : 192.168.1.64, 192.168.1.128 et 192.168.1.192.

Lors de la mise en sous-réseau de réseaux IP, des bits supplémentaires sont extraits de la partie hôte de l’adresse IP et attribués à la partie réseau. Cette définition est définie par l’ajout de bits supplémentaires au masque de sous-réseau. La valeur 11111111.11111111.11111111.00000000 indique qu’il s’agit d’un masque de sous-réseau de classe C de 255.255.255.0, tandis que la valeur 11111111.11111111.11111111.11000000 illustre le masque de sous-réseau sans classe de 255.255.255.192. Par conséquent, à partir de l’exemple ci-dessus, nous connaissons les éléments suivants :

Si le masque de sous-réseau est Le nombre de bits du masque de sous-réseau est
255.255.255.128 25
255.255.255.192 27
255.255.255.224 vingt
255.255.255.240 vingt
255.255.255.248 29
255.255.255.252 0,30
255.255.255.254 31

La syntaxe

Les zones de recherche inversée de sous-réseau déléguées peuvent être utilisées pour transférer le contrôle administratif entre les composants parent et enfant. ARPA zone dans le système DNS. Les configurations courantes impliquent qu’un fournisseur de services Internet (parent) délègue à un site client (enfant) ou à un siège social (parent) déléguant à un site distant d’entreprise (enfant). Étant donné que le scénario du fournisseur de services Internet est le plus courant, il sera utilisé dans l’exemple suivant.

Lors de la création de zones de recherche inversée sans classe, vous pouvez utiliser une notation telle que les suivantes :

<subnet>-<subnet mask bit count>.100.168.192.in-addr. arpa ou

<subnet>/<subnet mask bit count>.100.168.192.in-addr. arpa ou

<subnet>.<subnet mask bit count>. 100.168.192.in-addr. arpa ou

SubnetX <subnet> . 100.168.192.in-addr. arpa (où X est le numéro de sous-réseau attribué par le parent) ou

<subnet>.100.168.192.in-addr. arpa par exemple :64-26.100.168.192. in-addr. arpa ou

64/26.100.168.192. in-addr. arpa ou

64.26.100.168.192.in-addr. arpa ou

Subnet3.100.168.192.in-addr. arpa ou

64.100.168.192.in-addr. arpa
Cela indique que la zone de recherche inversée de sous-réseau est le sous-réseau 64 qui utilise 26 bits pour son masque de sous-réseau.

Notes

Si vous effectuez des transferts de zone entre le parent et l’enfant, vous devez vérifier la syntaxe des fichiers qui seront transférés entre les serveurs DNS. Toutes les versions des serveurs DNS ne prennent pas en charge les différentes méthodes de syntaxe définies dans la norme RFC (le trait d’Union, la barre oblique, etc.). Microsoft DNS prendra en charge l’une de ces méthodes.

Notes

Quelle que soit la syntaxe choisie dans le domaine parent, elle doit être identique à la syntaxe utilisée dans le domaine enfant.

La liste de vérification

Le remplissage de la liste de contrôle suivante permettra de parcourir ce document plus facilement.

Liste de contrôle parent Liste de vérification enfant
<Parent DNS server name> <Child DNS server name>
<Parent DNS server IP> <Child DNS server IP>
<subnet mask> <subnet mask>
<subnet><syntax><subnet mask bit count> <subnet><syntax><subnet mask bit count>

Voici l’exemple d’utilisation d’un fournisseur de services Internet qui a pris une plage de classe C et de sous-réseaux dans quatre sous-réseaux à l’aide du masque de sous-réseau 255.255.255.192. Les quatre sous-réseaux sont 192.168.100.0, 192.168.100.64, 192.168.100.128 et 192.168.100.192. Le sous-réseau délégué au site client est la seconde plage, c’est-à-dire le réseau 64 utilisant 65-126 pour les adresses IP de l’hôte.

Liste de contrôle parent Liste de vérification enfant
NS.microsoft.com NS1.msn.com
192.168.43.8 192.168.100.126
255.255.255.192 255.255.255.192
0-26 64-26
64-26
128-26
192-26

Procédure pas à pas pour les environnements Windows 2000 et Windows Server 2003

Lancez la console MMC DNS (Microsoft Management Console). Sous affichage, passez de l’affichage standard à avancé. Mettez en surbrillance zones de recherche inversées, cliquez avec le bouton droit, puis sélectionnez nouvelle zone. Sélectionnez type de zone d’Active Directory intégré ou principal standard, puis cliquez sur suivant. Tapez l’ID de réseau non sous-réseau (par exemple, 192.168.100) ou le nom de la zone de recherche inversée (par exemple, 100.168.192.in-addr. arpa) pour l’adresse de classe C non sous-réseau, cliquez sur suivant. Si vous avez sélectionné principal standard, vous pouvez créer un nouveau fichier de zone ou s’il existe un fichier de zone existant, vous pouvez le placer dans le répertoire%SystemRoot%\Winnt\System32\Dns et le serveur le lira à partir de ce répertoire. Une fois la zone parente principale créée, cliquez avec le bouton droit sur la zone nouvellement créée, puis sélectionnez nouvelle délégation. Ajoutez la Convention d’affectation de noms que vous choisissez comme parent pour la zone enfant déléguée, par exemple, 64-26. Veillez à communiquer cette Convention d’affectation de noms à l’administrateur du domaine enfant. Voir des exemples. Ajoutez les RR CNAMe (ALIAS) (enregistrements de ressources) pour les périphériques au sein de chacun des sous-réseaux. Par exemple :

65 CNAMe 65.64-26.100.168.192.in-addr. arpa.

Notes

Les mises à jour dynamiques pour les recherches inversées de sous-réseau ne fonctionnent pas dans Windows 2000. Les enregistrements devront être ajoutés manuellement. L’utilisation de la case à cocher « créer un enregistrement PTR associé » ne fonctionne pas pour la zone de recherche inversée de sous-réseau lorsque l’enregistrement « A » (hôte) est créé par le biais de l’interface utilisateur graphique.

Procédure pas à pas pour les environnements Windows NT 4,0

Notes

Le Gestionnaire DNS Microsoft permet de configurer la zone de recherche inversée pour ce serveur de noms, ainsi que la ou les zones de recherche inversée de sous-réseau. Une fois la zone in-addr. arpa et les zones in-addr. arpa créées, les fichiers devront être modifiés manuellement pour inclure les enregistrements NS, CNAMe et PTR dans chaque fichier de zone.

Notes

Plusieurs conditions préalables sont supposées dans cet exemple. Il est supposé que le serveur DNS Microsoft a été installé et que les propriétés TCP/IP (adresse IP, masque de sous-réseau, passerelle par défaut, etc.) ont été configurées correctement.

  1. Appliquez le dernier Service Pack de Microsoft Windows NT.

  2. Redémarrez votre ordinateur lorsque vous y êtes invité.

  3. Cliquez sur Démarrer, sélectionnez programmes, outils d’administration, puis Gestionnaire DNS.

  4. Dans le menu DNS, cliquez sur nouveau serveur, tapez l’adresse IP ou le nom d’hôte de votre serveur DNS, puis cliquez sur OK.

  5. Créez la zone de recherche inversée non divisée en sous-réseaux en procédant comme suit :

    1. Cliquez sur votre serveur DNS, puis cliquez sur nouvelle zone dans le menu DNS.
    2. Cliquez sur la case d’option principale dans la boîte de dialogue création d’une zone, puis cliquez sur suivant.
    3. Tapez 100.168.192.in-addr. arpa dans la zone de texte nom de la zone, puis appuyez sur la touche de tabulation.
    4. La zone de texte fichier de zone doit être renseignée automatiquement avec 100.168.192.in-addr. arpa. DNS.
    5. Cliquez sur Terminer.
  6. Lorsque vous avez terminé la création des zones, arrêtez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur paramètres, cliquez sur panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez serveur DNS Microsoft dans la liste service, puis cliquez sur arrêter.
    • Tapez la commande suivante à l’invite de commandes, puis appuyez sur entrée :
      NET STOP DNS

    Notes

    Il est important d’arrêter le service DNS avant de modifier les fichiers de zone ou de perdre des informations enregistrées manuellement.

  7. À l’aide d’un éditeur de texte, ouvrez le fichier de zone de recherche inversée non divisée en sous-réseaux que vous avez créé. Nous devons maintenant ajouter un enregistrement NS qui délègue un sous-réseau au serveur DNS enfant. Ajoutez les éléments suivants à la fin du fichier :

    ; Commencer les commentaires de délégation
    ;
    <subnet><syntax><subnet mask bit count> NS <Child DNS server name>
    ; Fin de la délégation

    Notre exemple se présente comme suit :

    ; Commencez la délégation subzone : 64-26.100.168.192.in-addr. arpa.
    ;
    64-26 NSNS1.msn.com .
    ; Fin de la délégation

  8. Il est maintenant nécessaire de créer un enregistrement CNAMe pour chaque adresse dans la plage de sous-réseaux délégués. Notre exemple se présente comme suit :

    65 CNAMe 65.64-26.100.168.192.in-addr. arpa.
    66 CNAMe 66.64-26.100.168.192.in-addr. arpa.
    67 CNAMe 67.64-26.100.168.192.in-addr. arpa.
    68 CNAMe 68.64-26.100.168.192.in-addr. arpa.
    69 CNAMe 69.64-26.100.168.192.in-addr. arpa.
    ...
    126 CNAMe 126.64-26.100.168.192.in-addr. arpa.

    Notes

    L’ellipse, « ... », indique les adresses IP et les hôtes uniques entre 67 et 126. Les ellipses ne sont pas valides dans le fichier.

  9. En répétant les étapes 7 et 8, vous pouvez déléguer des zones de sous-réseaux supplémentaires.

  10. Une fois que les enregistrements NS et CNAMe ont été entrés, enregistrez et quittez le fichier.

  11. Démarrez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur paramètres, cliquez sur panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez serveur DNS Microsoft dans la liste service, puis cliquez sur Démarrer.
    • Tapez la commande suivante à l’invite de commandes, puis appuyez sur entrée :
      NET START DNS

Procédure pas à pas pour les environnements Windows 2000 et Windows Server 2003

  1. Lancez la console MMC DNS (Microsoft Management Console).

  2. Sous affichage, passez de l’affichage standard à avancé.

  3. Mettez en surbrillance zones de recherche inversées, cliquez avec le bouton droit, puis sélectionnez nouvelle zone.

  4. Sélectionnez type de zone d’Active Directory intégré ou principal standard, puis cliquez sur suivant.

  5. Sélectionnez l’option pour le nom de la zone de recherche inversée. Tapez le nom de la zone de recherche inversée, par exemple, 64-26.100.168.192.in-addr. arpa pour l’adresse de classe C de sous-réseau. Veillez à utiliser la Convention d’affectation de noms fournie par l’administrateur du domaine parent, puis cliquez sur suivant.

  6. Si vous avez sélectionné principal standard, vous pouvez créer un nouveau fichier de zone ou s’il existe un fichier de zone existant, vous pouvez le placer dans le répertoire%SystemRoot%\Winnt\System32\Dns et le serveur le lira à partir de ce répertoire.

  7. Ajoutez manuellement vos PTR (enregistrements pointeur) comme vous le feriez pour toute zone de recherche inversée.

    Par exemple :
    65 PTR host65.msn.com

  8. Vous devrez peut-être configurer les serveurs DNS enfants, qui hébergent la zone déléguée, pour transférer vers les serveurs DNS parents. Ce processus permet aux serveurs DNS enfants de résoudre les enregistrements dans les zones hébergées par les serveurs DNS parents.

Procédure pas à pas pour les environnements Windows NT 4,0

  1. Appliquez le dernier Service Pack de Microsoft Windows NT.

  2. Redémarrez votre ordinateur lorsque vous y êtes invité.

  3. Cliquez sur Démarrer, sélectionnez programmes, outils d’administration, puis Gestionnaire DNS.

  4. Dans le menu DNS, cliquez sur nouveau serveur, tapez l’adresse IP ou le nom d’hôte de votre serveur DNS, puis cliquez sur OK.

  5. Créez une zone de recherche inversée de sous-réseau à l’aide des étapes suivantes :

    1. Cliquez sur votre serveur DNS, puis cliquez sur nouvelle zone dans le menu DNS.

    2. Cliquez sur la case d’option principale dans la boîte de dialogue création d’une zone, puis cliquez sur suivant.

    3. En fonction de la syntaxe choisie dans le parent, sélectionnez l’une des paires indiquées ci-dessous. Pour notre exemple, nous allons taper « 64-26.100.168.192.in-addr. arpa » (sans les guillemets) dans la zone de texte nom de la zone, puis appuyer sur la touche Tab.

      Nom de la zone : 64-26.100.168.192.in-addr. arpa : 64-26.100.168.192.in-addr. arpa. DNS ou

      Nom de la zone : 64/26.100.168.192. in-addr. arpa zone : 64.26.100.168.192.in-addr. arpa. DNS ou

      Nom de la zone : 64.26.100.168.192.in-addr. arpa : 64.26.100.168.192.in-addr. arpa. DNS ou

      Nom de la zone : 64.100.168.192.in-addr. arpa : 64.100.168.192.in-addr. arpa. DNS ou

      Nom de la zone : Subnet64.100.168.192.in-addr. arpa : Subnet64.100.168.192.in-addr. arpa. DNS ou

      Notes

      L’administrateur DNS Microsoft remplit automatiquement le champ nom de fichier lors de la création de zones. Si vous utilisez la syntaxe « / », n’oubliez pas de modifier le nom de fichier et de remplacer le caractère « / » car le système de fichiers sous-jacent n’autorisera pas un « / » dans le nom de fichier. Il suffit de remplacer le caractère barre oblique dans le nom de fichier par un autre caractère comme celui suggéré dans le deuxième exemple ci-dessus (64.26.100.168.192.in-addr. arpa. DNS).

    4. La zone de texte fichier de zone doit être renseignée automatiquement avec 64-26.100.168.192.in-addr. arpa. DNS.

    5. Cliquez sur Terminer.

    6. Répétez les étapes a à e, pour tous les sous-réseaux supplémentaires que vous pouvez déléguer.

  6. Lorsque vous avez terminé la création des zones, arrêtez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, sélectionnez Paramètres, puis cliquez sur panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez serveur DNS Microsoft dans la liste service, puis cliquez sur arrêter.
    • Tapez la commande suivante à l’invite de commandes, puis appuyez sur entrée :
      NET STOP DNS

    Notes

    Il est important d’arrêter le service DNS avant de modifier les fichiers de zone ou de perdre des informations enregistrées manuellement.

  7. Ouvrez le fichier de zone de recherche inversée de sous-réseau à l’aide d’un éditeur de texte. Il est maintenant nécessaire de créer les enregistrements PTR pour chaque adresse dans la plage de sous-réseaux délégués. Ajoutez les éléments suivants à la fin du fichier :

    65 PTR host65.msn.com.
    66 PTR host66.msn.com.
    67 PTR host67.msn.com.
    ...
    126 PTR host126.msn.com.

    Notes

    L’ellipse, « ... », indique les adresses IP et les hôtes uniques entre 67 et 126. Les ellipses ne sont pas valides dans le fichier.

  8. Une fois que les enregistrements PTR ont été entrés, enregistrez et quittez le fichier.

  9. Redémarrez le serveur DNS à l’aide de l’une des méthodes suivantes :

    • Cliquez sur Démarrer, pointez sur paramètres, cliquez sur panneau de configuration, puis double-cliquez sur l’icône Services. Sélectionnez serveur DNS Microsoft dans la liste service, puis cliquez sur Démarrer.
    • Tapez la commande suivante à l’invite de commandes, puis appuyez sur entrée : NET START DNS
  10. Les hôtes sur Internet doivent maintenant être en mesure d’effectuer une recherche inversée des adresses IP dans la zone de recherche inversée déléguée. Une dernière série d’étapes est requise pour que les hôtes qui utilisent le DNS du site client puissent effectuer correctement les recherches inverses. Il est nécessaire qu’une copie de la zone non sous-réseau soit présente sur le serveur DNS du domaine enfant. La manière la plus simple de procéder consiste à devenir une zone secondaire pour le fournisseur de services Internet. Créez la zone secondaire en procédant comme suit :

    1. Cliquez sur votre serveur DNS, puis cliquez sur nouvelle zone dans le menu DNS.
    2. Cliquez sur la case d’option secondaire dans la boîte de dialogue création d’une zone.
    3. Pour zone : entrez 100.168.192.in-addr. arpa et serveur : entrez le <Parent DNS server IP> . Pour notre exemple, il s’agit de 192.168.43.8. Cliquez sur Suivant.
    4. Pour nom de zone : entrez 100.168.192.in-addr. arpa et pour le fichier de zone : entrez 100.168.192.in-addr. arpa. DNS. Cliquez sur Suivant.
    5. Dans le champ Masters IP, entrez à nouveau le <Parent DNS server IP> . Pour notre exemple, il s’agit de 192.168.43.8. Cliquez sur Ajouter, sur suivant, puis sur Terminer.
  11. Vous devrez peut-être configurer les serveurs DNS enfants, qui hébergent la zone déléguée, pour transférer vers les serveurs DNS parents. Ce processus permet aux serveurs DNS enfants de résoudre les enregistrements dans les zones hébergées par les serveurs DNS parents.

Exemples de fichiers de zone

Fichier de zone de recherche inversée de sous-réseau parent

;
; Fichier de base de données 100.168.192.in-addr. arpa. DNS pour la zone 100.168.192.in-addr. arpa.
; Version de la zone : 4
;

@ DANS SOA NS.microsoft.com . administrator.microsoft.com. (
4 Numéro de série
3600 ; intervalle
600 ; essai
86400 ; expiration
3600); durée de vie minimale

;
; Enregistrements de la zone NS
;

@ NSNS.microsoft.com.

;
; Enregistrements de zone
;

;
; Sous-zone déléguée : 64-26.100.168.192.in-addr. arpa.
;
64-26 NSNS1.msn.com .
; Fin de la délégation

65 CNAME65.64-26.100.168.192.in-addr. arpa.
66 CNAME66.64-26.100.168.192.in-addr. arpa.
67 CNAME67.64-26.100.168.192.in-addr. arpa.
...
126 CNAME67.64-26.100.168.192.in-addr. arpa.

Notes

L’ellipse, « ... », indique les adresses IP et les hôtes uniques entre 67 et 126. Les ellipses ne sont pas valides dans le fichier.

Fichier de zone de recherche inversée de sous-réseau enfant

;
; Fichier de base de données 64-26.100.168.192.in-addr. arpa. DNS pour la zone 64-26.100.168.192.in-addr. arpa.
; Version de la zone : 1
;

@ DANS SOA NS1.msn.com . administrator.msn.com. (
0,1 Numéro de série
3600 ; intervalle
600 ; essai
86400 ; expiration
3600); durée de vie minimale

;
; Enregistrements de la zone NS
;

@ NSNS1.msn.com.

;
; Enregistrements de zone
;

65 PTR host65.msn.com .
66 PTR host66.msn.com .
67 PTR host67.msn.com .
...
126 PTR host126.msn.com .

Notes

Encore une fois, dans les exemples ci-dessus, les ellipses indiquent les adresses IP omises comprises entre 67 et 126. Les ellipses ne sont pas valides dans le fichier.