Vue d’ensemble du DNS inversé et prise en charge dans Azure

Cet article fournit une vue d’ensemble du fonctionnement du DNS inversé et des scénarios dans lesquels le DNS inversé est pris en charge dans Azure.

Qu’est-ce que le DNS inversé ?

Les enregistrements DNS conventionnels mappent un nom DNS à une adresse IP. Par exemple, www.contoso.com se résout en 64.4.6.100. Un DNS inversé fait l’inverse en traduisant une adresse IP en un nom. Par exemple, une recherche de 64.4.6.100 sera résolue en www.contoso.com.

Les enregistrements DNS inversés sont utilisés dans diverses situations. Par exemple, les enregistrements DNS inversés sont largement utilisés dans la lutte contre les messages indésirables en vérifiant l’expéditeur d’un message électronique. Le serveur de messagerie destinataire récupère l’enregistrement DNS inversé de l’adresse IP du serveur expéditeur. Ensuite, le serveur de messagerie destinataire vérifie si cet hôte est autorisé à envoyer des e-mails à partir du domaine d’origine.

Fonctionnement du DNS inversé

Les enregistrements DNS inversés sont hébergés dans des zones DNS spéciales, appelées zones « ARPA ». Ces zones forment une hiérarchie DNS distincte, parallèle à la hiérarchie classique hébergeant des domaines tels que contoso.com.

Par exemple, l’enregistrement DNS www.contoso.com est implémenté à l’aide d’un enregistrement DNS « A » avec le nom « www » dans la zone contoso.com. Cet enregistrement A pointe vers l’adresse IP correspondante, dans ce cas 64.4.6.100. La recherche inversée est implémentée séparément, à l’aide d’un enregistrement « PTR » nommé « 100 » dans la zone « 6.4.64.in-addr.arpa ». Notez que les adresses IP sont inversées dans les zones ARPA. Lorsqu’il est correctement configuré, cet enregistrement PTR pointe vers le nom www.contoso.com.

Lorsqu’une organisation est affectée à un bloc d’adresses IP, elle acquiert également le droit de gestion de la zone ARPA correspondante. Les zones ARPA qui correspondent aux blocs d’adresses IP utilisés par Azure sont hébergées et gérées par Microsoft. Votre fournisseur de services Internet peut héberger la zone ARPA pour vous pour les adresses IP que vous avez détenues. Il peut également vous permettre d’héberger la zone ARPA dans un service DNS de votre choix, tel qu’Azure DNS.

Notes

Les recherches DNS directes et inversées sont implémentées dans des hiérarchies DNS distinctes, en parallèle. La recherche inversée pour « www.contoso.com » n’est pas hébergée dans la zone « contoso.com », mais dans la zone ARPA pour le bloc d’adresses IP correspondant. Plusieurs zones distinctes sont utilisées pour les blocs d’adresses IPv4 et IPv6.

IPv4

Le nom d’une zone de recherche inversée IPv4 doit se présenter sous la forme suivante : <IPv4 network prefix in reverse order>.in-addr.arpa.

Par exemple, lorsque vous créez une zone inversée pour héberger des enregistrements pour les hôtes dont les adresses IP contiennent le préfixe 192.0.2.0/24, le nom de zone est créé en isolant le préfixe réseau de l’adresse (192.0.2), en inversant l’ordre (2.0.192), puis en ajoutant le suffixe .in-addr.arpa.

Classe de sous-réseau Préfixe réseau Préfixe réseau inversé Suffixe standard Nom de zone inversé
Classe A 203.0.0.0/8 203 .in-addr.arpa 203.in-addr.arpa
Classe B 198.51.0.0/16 51.198 .in-addr.arpa 51.198.in-addr.arpa
Classe C 192.0.2.0/24 2.0.192 .in-addr.arpa 2.0.192.in-addr.arpa

Délégation de IPv4 sans classe

Dans certains cas, la plage d’adresses IP donnée à une organisation est plus petite qu’une plage de classe C (/24). Dans ce cas, la plage d’adresses IP ne tombe pas dans une limite de zone à l’intérieur de la hiérarchie de zone .in-addr.arpa. Par conséquent, elle ne peut pas être déléguée en tant que zone enfant.

Une autre méthode est utilisée pour transférer chaque enregistrement de recherche inversée vers une zone DNS dédiée. Cette méthode délègue une zone enfant pour chaque plage d’adresses IP. Ensuite, chaque adresse IP de la plage est mappée individuellement vers cette zone enfant à l’aide d’enregistrements CNAME.

Par exemple, supposons que votre organisation se voit attribuer la plage d’adresses IP 192.0.2.128/26 par votre fournisseur de services Internet. Ce bloc d’adresses représente 64 adresses IP, de 192.0.2.128 à 192.0.2.191. Le DNS inversé de cette plage est mis en œuvre comme suit :

  • Votre organisation crée une zone de recherche inversée appelée 128-26.2.0.192.in-addr.arpa. Le préfixe « 128-26 » représente le segment réseau attribué à votre organisation au sein de la plage de classe C (/24).

  • Votre fournisseur de services Internet crée des enregistrements NS afin de configurer la délégation DNS pour la zone ci-dessus depuis la zone parente de classe C. Le fournisseur de services Internet crée également des enregistrements CNAME dans la zone de recherche inversée parente (classe C). Ensuite, il mappe chaque adresse IP de la plage d’adresses IP à la nouvelle zone créée par votre organisation :

    $ORIGIN 2.0.192.in-addr.arpa
    ; Delegate child zone
    128-26    NS       <name server 1 for 128-26.2.0.192.in-addr.arpa>
    128-26    NS       <name server 2 for 128-26.2.0.192.in-addr.arpa>
    ; CNAME records for each IP address
    129       CNAME    129.128-26.2.0.192.in-addr.arpa
    130       CNAME    130.128-26.2.0.192.in-addr.arpa
    131       CNAME    131.128-26.2.0.192.in-addr.arpa
    ; etc
    
  • Votre organisation gère ensuite les enregistrements PTR individuels au sein de sa zone enfant.

    $ORIGIN 128-26.2.0.192.in-addr.arpa
    ; PTR records for each UIP address. Names match CNAME targets in parent zone
    129      PTR    www.contoso.com
    130      PTR    mail.contoso.com
    131      PTR    partners.contoso.com
    ; etc
    

Une recherche inversée pour les requêtes de l’adresse IP « 192.0.2.129 » pour un enregistrement PTR nommé « 129.2.0.192.in-addr.arpa ». Cette requête résout l’enregistrement PTR dans la zone enfant avec le CNAME de la zone parente.

IPv6

Le nom d’une zone de recherche inversée IPv6 doit se présenter sous la forme suivante : <IPv6 network prefix in reverse order>.ip6.arpa

Par exemple, lorsque vous créez une zone inversée pour les enregistrements d’hôtes dont l’adresse IP se trouve dans le préfixe 2001:db8:1000:abdc::/64. Le nom de la zone serait créé en isolant le préfixe réseau de l’adresse (2001:db8:abdc::). Développez ensuite le préfixe réseau IPv6 pour supprimer la compression des zéros, s’il a été utilisé pour raccourcir le préfixe d’adresse IPv6 (2001:0db8:abdc:0000::). Inversez l’ordre, à l’aide d’un point comme séparateur entre chaque nombre hexadécimal dans le préfixe, pour générer le préfixe réseau inversé (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2) et ajouter le suffixe .ip6.arpa.

Préfixe réseau Préfixe réseau développé et inversé Suffixe standard Nom de zone inversé
2001:db8:ABDC::/64 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 .ip6.arpa 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa
2001:db8:1000:9102::/64 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 .ip6.arpa 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa

Prise en charge Azure pour le DNS inversé

Azure prend en charge deux scénarios distincts relatifs au DNS inversé :

Hébergement de la zone de recherche inversée correspondant à votre bloc d’adresses IP : Azure DNS peut être utilisé pour héberger vos zones de recherche inversée et gérer les enregistrements PTR pour IPv4 et IPv6. Le processus de création de la zone de recherche inversée (ARPA), de configuration de la délégation et des enregistrements PTR est identique à celui des zones DNS standard. Les différences sont que la délégation doit être configurée avec votre fournisseur de services Internet plutôt qu’avec votre bureau d’enregistrement DNS et que seul le type d’enregistrement PTR doit être utilisé.

Configuration de l’enregistrement DNS inversé pour l’adresse IP attribuée à votre service Azure : Azure vous permet de configurer la recherche inversée pour les adresses IP attribuées à votre service Azure. Cette recherche inversée est configurée par Azure comme un enregistrement PTR dans la zone ARPA correspondante. Ces zones ARPA, qui correspondent à toutes les plages d’adresses IP utilisées par Azure, sont hébergées par Microsoft.

Étapes suivantes