Настройка обратной зоны dns

Обновлено: 09.01.2025

Мы все знаем, что такое DNS и как он работает. Но даже некоторые IT-ботаники иногда забывают о rDNS, а третьи, которые только что присоединились к клубу, никогда даже не слышали о нем.

На простом языке обратный DNS или rDNS делает противоположное традиционному DNS. То есть, вместо преобразования доменного имени на IP, он преобразует IP к имени хоста.

Эта конфигурация rDNS позволяет выполнять поиск IP-адреса в DNS, так как inaddr.arpa домен добавляется в инвертированную нотацию IP, превращая IP в доменное имя.

Например: чтобы преобразовать IP-адрес 1.2.3.4 в PTR-запись, нам нужно инвертировать IP и добавить домен inaddr.arpa в результате чего получается следующая запись: 4.3.2.1.in-addr.arpa.

Классическая работа системы DNS заключается в преобразовании или разрешении IP-адресов в имена, но некоторые сценарии требуют обратного, и это означает, что имена подключенных к интернету устройств переводятся с их IP-адресов. Это то, что называется rDNS, или обратное разрешение.

Поддерживают ли все типы IP-адресов rDNS? Безусловно, и IPv4 и IPv6 поддерживают поиск rDNS. В случае адресов на основе IPv4 поисковые запросы используют специальный домен in-addr.arpa, в то время как для IPv6 rDNS поиск специального домена ip6.arpa используется.

Нужен ли мне rDNS? Текущее использование обратного DNS

Насколько важна rDNS тогда? Может ли мой интернет-бизнес жить без него?

Если у вас нет настройки rDNS для вашей ИТ-инфраструктуры, она все равно будет работать. Это не является строгим требованием. Однако некоторые вещи могут работать не так, как ожидалось, или могут вызвать трудности. Продолжай читать.

Когда rDNS полезно?

Если вы хотите, чтобы предотвратить проблемы с электронной почтой. Если вы размещаете свой собственный почтовый сервер, rDNS становится довольно полезным для ваших исходящих писем. Запись rDNS позволяет отслеживать происхождение электронной почты, повышая доверие к почтовому серверу и становясь надежным источником для многих популярных поставщиков услуг электронной почты, таких как Gmail, Yahoo, Hotmail и других. Некоторые серверы входящей электронной почты даже не позволяют вашей электронной почте поступать на их почтовые ящики, Если у вас нет настройки записи rDNS. Поэтому, если вы используете свой собственный почтовый сервер, вы захотите иметь его в виду.
Когда вы проводите расследование киберпреступности. Еще одно популярное использование обратных записей DNS-это выявление потенциальных угроз и массовые сканеры по всему интернету. Используя обе конечные точки API безопасности или веб-продукты, такие как SurfaceBrowser, вы или ваша команда можете легко идентифицировать авторов и сети, стоящие за массовым сканированием, распространением вредоносных программ или другими видами вредоносных действий — так же, как Трой Мурш показал в нашем блоге, как использовать обратные записи DNS для идентификации массовых сканеров .

Как я могу выполнить обратный поиск DNS?

Выполнение обратного DNS-поиска не является ракетной наукой, но есть много методов и инструментов поиска rDNS, используемых для выполнения противоположной обычной проверки DNS : разрешения данного IP-адреса для хоста.

Некоторые из этих веб-утилит известны как обратные инструменты DNS, и все они делают одно и то же: запрашивают данный IP-адрес для разрешения имени хоста. Давайте сначала рассмотрим некоторые примеры на основе терминалов.

Мощная команда dig приходит на помощь, когда нам нужно выполнить обратный поиск DNS. С помощью параметра-x можно выполнить простой обратный поиск, чтобы сопоставить адрес с именами всего за несколько секунд.

Этот параметр dig автоматически выполняет поиск для традиционного имени IP-адреса, такого как 94.2.0.192.in-addr.arpa, и установите тип запроса и класс в PTR и IN соответственно для адресов IPv6. Поиск rDNS выполняется с использованием формата nibble под IP6.ARPA домен.

Самое интересное заключается в следующем:

Вы можете grep выходные данные для более четкого результата.

Команда host, вероятно, является самой популярной командой, когда речь заходит о выполнении быстрого разрешения rDNS с терминала. Синтаксис довольно прост:

Где XX. XX. XX. XX-это реальный IP-адрес. Давайте рассмотрим несколько примеров.

Cloudflare поставляется в первую очередь с обратным запросом разрешения DNS против 1.1.1.1:

То же самое относится и к любому другому IP-адресу, например DNS-серверу Google:

Правильно, для нашего IP-адреса у нас пока нет никакой настройки PTR-записи, это еще одна возможность, которую вы найдете на определенных IP-адресах.

G-Suite Toolbox Dig

Некоторое время назад Google выпустила очень полезный ресурс под названием G-Suite dig , онлайн-утилита, которая позволяет выполнять любой тип DNS-запросов на основе простого, но сложного веб-интерфейса.

Недостатком этой утилиты является то, что она позволяет получать результаты только для одного IP-адреса, что не удобно, когда вам нужно выполнить массовое сканирование rDNS.

Обратная конечная точка DNS API

Использование нашего мощного API является еще одним отличным источником для запроса нашей пассивной базы данных DNS для любых записей PTR компании.

Давайте использовать быстрый скрипт python, чтобы увидеть, как это выглядит:

В дополнение к записям PTR, вы также найдете открытые порты для каждого из хостов, возвращенных нашей службой API.

Массивная разведка rDNS

Как вы, возможно, заметили, разрешение записей rDNS загружается мгновенно благодаря нашей пассивной технологии DNS, позволяя вам изучить все связанные записи rDNS, указывающие на эту организацию.

В этом случае, исследуя fbi.gov доменное имя выявило 289 записей. Каждый из них может быть изучен в области результатов, что позволяет исследовать запись PTR, открытые порты и количество связанных IP-адресов. Взглянуть:

Если вам нужно найти связанные IP-адреса, указывающие на любую PTR-запись, просто нажмите число+ для немедленных результатов::

Этот второй PTR-экран данных показывает вам общее количество IP-адресов, а также где они размещены и текущие открытые порты, найденные для каждого из них.

Последняя мысль

Сегодня мы узнали, что обратный DNS-это не только отличный способ улучшить ваши исследования кибербезопасности, но и сохранить вашу электронную почту в отличной форме, используя правильные PTR-записи.

Выполнение ручного поиска rDNS отлично, когда вы фокусируетесь на изолированных случаях. Однако, когда вам действительно нужно исследовать сто или тысячу IP-адресов, это становится действительно медленным процессом, который может буквально занять у вас часы или даже дни в некоторых случаях.

В этой статье описывается настройка подсетенной зоны обратного смотра.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 174419

Сводка

Создание делегированная подсетевая зона обратного смотра не является тривиальной задачей. Важно понять, как работают зоны DNS, прежде чем пытаться создать зоны обратного зон обратного подсети. В этом документе есть множество заметок, на которые следует обратить пристальное внимание. Рекомендуется сначала попытаться использовать эти процедуры в тестовой среде перед развертыванием их в живой сети из-за легкости, с которой могут возникать ошибки при настройке.

Быстрый рост интернет-сообщества создал необходимость подсети полных IP-сетей на меньшие части. В подсететной среде DNS-серверы могут легко делегировать полномочия зоны форвардного смотра, так как они не зависят от подсети. Однако из-за обратной структуры зон обратного смотрения и их строгой зависимости от конкретной структуры подсети делегировать эти зоны требуют специальных соображений. Целевая группа по интернет-инженерии (IETF) создала RFC 2317 " Classless IN-ADDR. Делегирования ARPA", в котором рассматриваются эти соображения.

Делегирование зон обратного зон обратного смотра, делегированные подсетями, дополняет возможность делегирования зон для выглядывающего вперед. Такая гибкость в владении зонами позволяет как администратору родительского домена делегировать управление как поддоменам ребенка, так и соответствующей подсети адресов другому администратору. И наоборот, в качестве администратора детского домена теперь у вас есть контроль, необходимый для внесения изменений в записи хостов DNS (A) или IP-адрес (PTR) без необходимости внесения запроса на изменения через родительский домен.

В этой статье рассмотрено, как настроить делегированные подсети зоны обратного смотра для сервера Windows DNS.

Просто потому, что подсети сетевой среды не означает, что DNS-сервер должен быть настроен таким образом, как описано в этой статье. Создание делегированные подсетьированные зоны обратного смотра — это только административный выбор; это не только продиктована инфраструктурой, которая находится в подсетях.

Дополнительная информация

"Классная" схема IP-адресов — это схема, которая не разбивает СЕТЬ IP на более мелкие сегменты. Например, класс C-адрес 192.168.1.0 с подсетевой маской 255.255.255.0 является классовой схемой IP-адресов.

"Бесклассовая" схема IP-адресов — это схема, которая использует подсетевую маску для деления IP-адреса на более мелкие сегменты. Например, адрес класса C 192.168.1.0 с подсетной маской 255.255.255.192 является бесклассовой схемой IP-адресов. Вместе с этой сетью будут также иметься следующие IP-адреса сети: 192.168.1.64, 192.168.1.1.128 и 192.168.1.192.

При подсети IP-сетей дополнительные биты принимаются из хост-части IP-адреса и отдаются сетевой части. Это определяется добавлением дополнительных битов в подсетевую маску. Значение 111111111.11111111.1111111.00000000 показывает нам классную подсетевую маску для сети класса C 255.255.255.0, хотя значение 111111111.11111111.11111111.11000000 иллюстрирует бесклассовую подсетевую маску 255.255.255.192. Поэтому на примере выше мы знаем, что:

Если маска подсети	Количество бит-графа маски подсети
255.255.255.128	25
255.255.255.192	26
255.255.255.224	27
255.255.255.240	28
255.255.255.248	29
255.255.255.252	30
255.255.255.254	31

Синтаксис

Делегированные субсетированные зоны обратного смотра можно использовать для передачи административного контроля между любым родителем и ребенком IN-ADDR. Зона ARPA в DNS. Общие конфигурации включают делегирование isP (Parent) на сайт клиента (child) или корпоративную штаб-квартиру (родитель) делегирование на корпоративный удаленный сайт (child). Так как сценарий isP является наиболее типичным, он будет использоваться в следующем примере.

При создании бесклассовых зон обратного смотрения можно использовать такие нотации, как следующие:

<subnet>-<subnet mask bit count>.100.168.192.in-addr.arpa или

<subnet>/<subnet mask bit count>.100.168.192.in-addr.arpa или

<subnet>.<subnet mask bit count>. 100.168.192.in-addr.arpa или

SubnetX .100.168.192.in-addr.arpa (где X — это число подсети, <subnet> назначенное родителем) или

<subnet>.100.168.192.in-addr.arpa Например:64-26.100.168.192.in-addr.arpa или

64.100.168.192.in-addr.arpa
Это указывает на то, что подсетная зона обратного досмотра — это подсети 64, использующие 26 бит для маски подсети.

Если вы будете выполнять какие-либо передачи зоны, между родителем и ребенком необходимо проверить синтаксис файлов, которые будут переданы между DNS-серверами. Не все версии DNS-серверов будут поддерживать различные методы синтаксиса, определенные в RFC (дефис, слэш и т.д.). DNS Майкрософт будет поддерживать любой из этих методов.

Какой бы синтаксис не был выбран в родительском домене, должен быть идентичен синтаксису, используемой в домене Child.

Контрольный список

Заполнение следующего контрольного списка облегчит процесс хождения по этому документу.

Родительский контрольный список	Контрольный список для детей
<Parent DNS server name>	<Child DNS server name>
<Parent DNS server IP>	<Child DNS server IP>
<subnet mask>	<subnet mask>
<subnet><syntax><subnet mask bit count>	<subnet><syntax><subnet mask bit count>

В этом примере мы используем isP, который принял диапазон класса C и подсетил его в четыре подсети с помощью маски подсети 255.255.255.192. Четыре подсети: 192.168.100.0, 192.168.100.64, 192.168.100.128 и 192.168.100.192. Подсеть, делегированная сайту клиента, является вторым диапазоном, то есть сетью 64 с использованием 65-126 для IP-адресов узла.

Родительское руководство для сред Windows 2000 и Windows Server 2003

Запуск MMC DNS (консоли управления Майкрософт). В представлении измените стандартное представление на расширенный. Выберите зоны обратного смотра, щелкните правой кнопкой мыши и выберите новую зону. Выберите тип зоны Active Directory Integrated или Standard Primary, щелкните далее. Введите или неподотеченный сетевой ID (например, 192.168.100) или имя зоны обратного вида (например, 100.168.192.in-addr.arpa) для неподсетного адреса класса C, нажмите далее. Если выбран стандартный основной файл, можно создать новый файл зоны или если существует существующий файл зоны, его можно разместить в каталоге %systemroot%\winnt\system32\dns, и сервер будет читать его из этого каталога. После создания основной родительской зоны щелкните правой кнопкой мыши по вновь созданной зоне и выберите новую делегацию. Добавьте конвенцию именования, вы выбираете в качестве родительской для делегированной детской зоны, например, 64-26. Не забудьте сообщить об этом соглашении имен администратору детского домена. Примеры. Добавьте RR CNAME (ALIAS) (записи ресурсов) для устройств в каждой из подсетей. Например:

65 CNAME 65.64-26.100.168.192.in-addr.arpa.

Родительское руководство для Windows NT 4.0

Диспетчер DNS Майкрософт может быть использован для настройка зоны обратного смотра для этого сервера имен, а также подсети обратного зон или зон. После создания зоны in-addr.arpa и подсети зоны in-addr.arpa (s) файлы должны быть вручную изменены, чтобы включить записи NS, CNAME и PTR в каждый файл зоны.

В этом примере предполагается несколько необходимых условий. Предполагается, что сервер DNS Майкрософт был установлен и что свойства TCP/IP (IP-адрес, маска subnet, шлюз по умолчанию и т. д.) были настроены правильно.

Применить последнюю версию microsoft Windows NT Пакет обновления.

Перезапустите компьютер при запросе.

В меню DNS щелкните New Server, введите IP-адрес или имя хозяина сервера DNS, а затем нажмите кнопку ОК.

Создайте зону обратного смотра без подсети с помощью следующих действий:

По завершению создания зон остановите DNS Server с помощью следующих методов:

Перед редактированием файлов Zone важно остановить службу DNS, иначе вы можете потерять сведения, записанные вручную.

С помощью текстового редактора откройте созданный файл зоны обратного зонного смотра без подсети. Теперь необходимо добавить запись NS, которая делегирует подсети на детский DNS-сервер. Добавьте в конец файла следующее:

; Начало комментариев делегирования
;
<subnet><syntax><subnet mask bit count> NS <Child DNS server name>
; Завершение делегирования

Наш пример будет выглядеть так:

Теперь необходимо создать запись CNAME для каждого адреса в делегированный подсети диапазона. Наш пример выглядит так:

65 CNAME 65.64-26.100.168.192.in-addr.arpa.
66 CNAME 66.64-26.100.168.192.in-addr.arpa.
67 CNAME 67.64-26.100.168.192.in-addr.arpa.
68 CNAME 68.64-26.100.168.192.in-addr.arpa.
69 CNAME 69.64-26.100.168.192.in-addr.arpa.
.
126 CNAME 126.64-26.100.168.192.in-addr.arpa.

Эллипс ". ", указывает уникальные IP-адреса и хосты между 67 и 126. Эллипсы не допустимы в файле.

Повторяя шаги 7 и 8, можно делегировать дополнительные подсети.

После того, как записи NS и CNAME были введены, сохраните и выходите из файла.

Запустите DNS-сервер с помощью одного из следующих методов:

Погон для Windows 2000 и Windows Server 2003

Запуск MMC DNS (консоли управления Майкрософт).

В представлении измените стандартное представление на расширенный.

Выберите зоны обратного смотра, щелкните правой кнопкой мыши и выберите новую зону.

Выберите тип зоны Active Directory Integrated или Standard Primary, щелкните далее.

Выберите параметр для "Имя зоны обратного смотра". Введите имя зоны обратного вида, например 64-26.100.168.192.in-addr.arpa для подсети класса C. Обязательно используйте конвенцию именования, предоставленную администратором родительского домена, щелкните далее.

Если выбран стандартный основной файл, можно создать новый файл зоны или если существует существующий файл зоны, его можно разместить в каталоге %systemroot%\winnt\system32\dns, и сервер будет читать его из этого каталога.

Вручную добавьте PTR (записи указателей), как и любую зону обратной проверки.

Возможно, вам придется настроить детский DNS-сервер (s), на котором размещена делегированная зона, для переададации на родительские DNS-серверы. Этот процесс позволяет детским DNS-серверам разрешать записи в зонах, которые хозяйняйны родительскими DNS-серверами.

Погон ребенка для Windows NT 4.0

Применить последнюю версию microsoft Windows NT Пакет обновления.

Перезапустите компьютер при запросе.

В меню DNS щелкните New Server, введите IP-адрес или имя хозяина сервера DNS, а затем нажмите кнопку ОК.

Создайте подсетевую зону обратного смотра с помощью следующих действий:

Щелкните DNS-сервер и нажмите кнопку Новая зона в меню DNS.

В зависимости от синтаксиса, выбранного в родительском списке, выберите одну из перечисленных ниже пар. В нашем примере в текстовом окне Имя зоны введите "64-26.100.168.192.in-addr.arpa" (без кавычка) и нажмите кнопку Tab.

Имя зоны: 64-26.100.168.192.in-addr.arpa Zone File: 64-26.100.168.192.in-addr.arpa.dns или

Имя зоны: 64/26.100.168.192.in-addr.arpa Zone File: 64.26.100.168.192.in-addr.arpa.dns или

Имя зоны: 64.26.100.168.192.in-addr.arpa Zone: 64.26.100.168.192.in-addr.arpa.dns или

Имя зоны: 64.100.168.192.in-addr.arpa Zone: 64.100.168.192.in-addr.arpa.dns или

Имя зоны: Subnet64.100.168.192.in-addr.arpa Zone: Subnet64.100.168.192.in-addr.arpa.dns или

Администратор DNS Майкрософт автоматически заполняет поле Имя файла при создании зон. Если вы используете синтаксис "/", не забудьте изменить имя файла и заменить символ "/", так как в основном файловом системе не разрешается "/" в имени файла. Просто замените символ slash в имени файла другим, например, тем, который был предложен во втором примере выше (64.26.100.168.192.in-addr.arpa.dns).

Текстовое поле Zone File должно автоматически заполняться 64-26.100.168.192.in-addr.arpa.dns.

Повторите действия по электронной, чтобы все дополнительные подсети были делегированы вам.

По завершению создания зон остановите DNS-сервер с помощью следующих методов:

Откройте подсети обратного файла зоны lookup с помощью текстового редактора. Теперь необходимо создать записи PTR для каждого адреса в делегированный подсети диапазона. Добавьте в конец файла следующее:

Эллипс ". ", указывает уникальные IP-адреса и хосты между 67 и 126. Эллипсы не допустимы в файле.

После того как записи PTR были введены, сохраните и выходите из файла.

Перезапустите DNS-сервер с помощью одного из следующих методов:

Теперь хосты в Интернете должны иметь возможность выполнять обратный поиск IP-адресов в делегированной зоне обратного смотра. Требуется последняя серия действий, чтобы хосты, которые используют DNS сайта клиента, могли правильно выполнять обратные просмотры. Необходимо, чтобы копия неподотещенной зоны присутствовала на сервере DNS-домена ребенка. Самый простой способ сделать это — стать вторичной зоной для isP. Создание вторичной зоны с помощью следующих действий:

Примеры файлов зон

Родительский подсети обратного файла зоны lookup

Эллипс ". ", указывает уникальные IP-адреса и хосты между 67 и 126. Эллипсы не допустимы в файле.

Файл зоны обратного зонного подсети для детей

Опять же, в указанных выше примерах эллипсы указывают пропущенные IP-адреса между 67 и 126. Эллипсы не допустимы в файле.

Для чего нужно?

или
550-There's no corresponding PTR for your IP address (IP-address), which is 550 required. Sorry, bye.

или просто
550 Your IP has no PTR Record

Число 550 во всех трёх случаях является стандартным кодом SMTP, сообщающим о критической ошибке, которая непреодолимо препятствует дальнейшей работе в рамках данной почтовой сессии. Надо сказать, что вообще все ошибки серии 500 являются критическими и продолжение передачи почты после их появления невозможно. Текст же поясняет причину отказа более подробно и сообщает, что администратор сервера-получателя настроил его на проверку наличия у сервера-отправителя записи в обратной зоне DNS (rDNS) и в случае её отсутствия получатель обязан отказывать отправителю в соединении (SMTP-ошибки серии 5XX).

Как настроить и использовать?

Правами на настройку обратной зоны DNS (reverse DNS) обладает лишь владелец соответствующего блока IP-адресов, которой эта зона соответствует. Как правило этим владельцем оказывается провайдер, владеющий собственной автономной системой. Подробнее о регистрации своей автономной системы (AS) и блока IP-адресов можно прочитать в этой статье. Если кратко, то оператору блока IP-адресов для регистрации обратной зоны DNS необходимо зарегистрировать в своём личном кабинете на сайте RIPE объект типа «domain», указать адрес DNS-серверов, которые будут поддерживать зону rDNS и настроить поддержку зоны вида 3.2.1.in-addr.arpa на них. За ресурсы в обратной зоне отвечает указатель (pointer) — запись типа PTR. К ней-то и идут запросы о разрешении IP-адреса в имя хоста.

Если же вы не являетесь счастливым обладателем автономной системы, то настройка rDNS для IP-адреса или адресов почтового сервера для вас начинается и заканчивается запросом в службу поддержки провайдера или хостера. В обоих случаях имя IP-адресу почтового сервера, а особенно корпоративного почтового сервера, следует давать осмысленно.

Примеры хороших имён для сервера почты:

Примеры плохих имён:

и подобные. Такие имена с высокой вероятностью попадут под фильтр как назначенные клиентским компьютерам, на которых не может быть установлен почтовый сервер, следовательно с них рассылается спам.

С успехом использовать запросы к обратным зонам DNS можно и нужно сразу после запуска почтового сервера. Для этого необходимо произвести лишь небольшую настройку ПО. В разных почтовых серверах настройка проверки rDNS делается по-разному:

Затрудняетесь с самостоятельной настройкой почтового сервера? Поручите все заботы профессионалам — хостинг корпоративной почты с круглосуточной поддержкой.

Частые вопросы

PTR-запись для почтового сервера — какую указать?

В случае поддержки собственного почтового сервера указать PTR-запись необходимо. Если она отсутствует или автоматически создана провайдером, письма с такого сервера в лучшем случае будут попадать в спам, а в худшем вообще отклоняться mail-серверами получателей.

Как создать PTR-запись?

Поддержкой PTR-записей занимается владелец автономной системы, в которую входит IP-адрес. Как правило, это провайдер услуг доступа в интернет или хостинг-провайдер. Самостоятельно абонент или пользователь хостинга эту процедуру не выполнит — следует обратиться в техническую поддержку оператора. Определить владельца IP и автономной системы.

DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.

DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.

Настройка сетевого адаптера для DNS-сервера

Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.

После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:

Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.

Далее предстоит проделать цепочку действий:

Нажать правой клавишей мыши Пуск, в выпадающем меню выбрать пункт Сетевые подключения;
Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
Заполнить соответствующие поля необходимыми данными:

Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].

Установка роли DNS-сервера

Для установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.

На верхней навигационной панели Диспетчера сервера справа откройте меню Управление, выберите опцию Добавить Роли и Компоненты:

Откроется окно Мастера, в котором рекомендуют убедиться что:

1. Учётная запись администратора защищена надёжным паролем.

2. Настроены сетевые параметры, такие как статические IP-адреса.

3. Установлены новейшие обновления безопасности из центра обновления Windows.

Убедившись, что все условия выполнены, нажимайте Далее;

Выберите Установку ролей и компонентов и нажмите Далее:

Выберите необходимый сервер из пула серверов и нажмите Далее:

Отметьте чек-боксом роль DNS-сервер и перейдите Далее:

Проверьте список компонентов для установки, подтвердите нажатием кнопки Добавить компоненты:

Оставьте список компонентов без изменений, нажмите Далее:

Прочитайте информацию и нажмите Далее:

В последний раз проверьте конфигурацию установки и подтвердите решение нажатием кнопки Установить:

Финальное окно Мастера сообщит, что установка прошла успешно, Мастер установки можно закрыть:

Создание зон прямого и обратного просмотра

Доменная зона — совокупность доменных имён в пределах конкретного домена.

Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.

Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.

Создание зон и управление ими осуществляется при помощи Диспетчера DNS.

Перейти к нему можно в правой части верхней навигационной панели, выбрав меню Средства и в выпадающем списке пункт DNS:

Создание зоны прямого просмотра

Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:

Откроется окно Мастера с приветствием, нажмите Далее:

Из предложенных вариантов выберите Основная зона и перейдите Далее:

При необходимости поменяйте название будущего файла зоны и перейдите Далее:

Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

Создание зоны обратного просмотра

Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер Создания Новой Зоны:

Выберите назначение для адресов IPv4, нажмите Далее:

Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:

При необходимости поменяйте название будущего файла зоны и перейдите Далее:

Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

Создание A-записи

Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.

Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.

Запись A — запись, позволяющая по доменному имени узнать IP-адрес.

Запись PTR — запись, обратная A записи.

В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду "Создать узел (A или AAAA). ":

Откроется окно создания Нового Узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс Создать соответствующую PTR-запись — чтобы проверить работу обеих зон (прямой и обратной), чек-бокс должен быть активирован:

Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.

Также можно добавить записи для других серверов:

Проверка

Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):

Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:

Запрос по домену;
Запрос по IP-адресу:

В примере получены подходящие ответы по обоим запросам.

В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.

Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:

Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).

Читайте также: