正向与反向查找区域 - 爱依航 Windows Server 教程

📖 目录

1. 正向查找区域
2. 反向查找区域
3. 创建 PTR 记录
4. 区域传输安全
5. 验证查找
6. 常见问题

1. 正向查找区域

正向查找是将人类可读的域名（如 web.iehang.cn）解析为 IP 地址（如 192.168.10.100）的过程。这是 DNS 最基本的功能，也是日常使用最频繁的查询类型。

1.1 区域类型

主要区域：域控制器可写，是区域的权威来源，支持动态更新
辅助区域：只读副本，从主服务器通过区域传输（AXFR）获取数据，用于负载均衡和容灾
存根区域：仅包含授权服务器的引用信息，不包含实际记录

1.2 AD 集成 vs 标准主要区域

对比项	AD 集成区域	标准主要区域
存储位置	AD 数据库（ntds.dit）	文本文件（.dns）
复制方式	AD 复制（自动、可靠）	DNS 区域传输
动态更新	安全动态更新（仅限已授权计算机）	非安全动态更新或禁用
适用场景	加入域的服务器	独立 DNS 服务器

DNS 管理器 → 右键正向查找区域 → 新建区域

选择主要区域 → 输入区域名称 internal.corp.cn（示例内部域）

如果服务器已加入域，会看到在 Active Directory 中存储区域选项，勾选它

选择复制范围 → 选择允许安全动态更新 → 下一步 → 完成

PowerShell - 创建正向查找区域

# 创建 AD 集成正向查找区域
Add-DnsServerPrimaryZone `
    -Name "internal.corp.cn" `
    -DynamicUpdate "Secure" `
    -ReplicationScope "Domain"

# 创建标准主要区域（服务器未加入域时使用）
Add-DnsServerPrimaryZone `
    -Name "internal.corp.cn" `
    -ZoneFilePath "C:\Windows\System32\dns\internal.corp.cn.dns"

# 查看所有区域
Get-DnsServerZone

2. 反向查找区域

反向查找是通过 IP 地址查找对应域名的过程，格式为 网络ID.in-addr.arpa（IPv4）或 网络ID.ip6.arpa（IPv6）。主要用于邮件服务器验证、日志分析和故障排查。

2.1 反向区域命名规则

192.168.10.0/24 → 10.168.192.in-addr.arpa
10.0.0.0/8 → 0.0.10.in-addr.arpa
172.16.0.0/16 → 16.172.in-addr.arpa

DNS 管理器 → 右键反向查找区域 → 新建区域

选择主要区域 → 选择IPv4 反向查找区域 → 下一步

网络 ID 输入 192.168.10（只需输入前三段）→ 下一步

区域文件名自动填充为 10.168.192.in-addr.arpa.dns → 下一步

选择允许安全动态更新 → 下一步 → 完成

PowerShell - 创建反向查找区域

# 创建 AD 集成反向查找区域 192.168.10.0/24
Add-DnsServerPrimaryZone `
    -NetworkId "192.168.10.0/24" `
    -DynamicUpdate "Secure" `
    -ReplicationScope "Domain"

# 查看所有反向区域
Get-DnsServerZone | Where-Object {$_.IsReverseLookupZone}

3. 创建 PTR 记录

创建 A 记录时勾选"创建关联的 PTR 记录"会自动生成 PTR，也可以在反向区域中手动创建。

PowerShell - 创建 PTR 记录

# 在反向区域中手动创建 PTR 记录
# 将 192.168.10.100 指向 web.iehang.cn
Add-DnsServerResourceRecord -Name "100" `
    -ZoneName "10.168.192.in-addr.arpa" `
    -Ptr `
    -HostNameAlias "web.iehang.cn"

# 验证反向解析
Resolve-DnsName -Name "192.168.10.100" -Type PTR

4. 区域传输安全

PowerShell - 区域传输配置

# 仅允许指定的辅助 DNS 服务器进行区域传输
Set-DnsServerZoneTransferPolicy -Name "iehang.cn" `
    -Type "Directory" `
    -SecurityLevel "Secure"

# 查看区域传输设置
Get-DnsServerZone -Name "iehang.cn" | Select-Object ZoneName, AllowDynamicUpdates

5. 验证查找

PowerShell - 查找测试

# 正向查找
Resolve-DnsName -Name "web.iehang.cn" -Type A

# 反向查找
Resolve-DnsName -Name "192.168.10.100" -Type PTR

# nslookup 命令（兼容旧系统）
nslookup web.iehang.cn
nslookup 192.168.10.100

6. 常见问题

Q1：反向查找区域命名错误

注意：IPv4 反向区域的"网络 ID"只需要前三段。例如 192.168.10.0/24 网段，网络 ID 填写 192.168.10（不是 192.168.10.0，也不是 192.168.10.254）。

Q2：PTR 记录自动创建失败

需要先存在对应的反向查找区域才能自动创建 PTR。先创建反向区域，再创建 A 记录时勾选"创建关联的 PTR 记录"即可。

🔍 正向与反向查找区域