Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit l’impact et l’histoire de compatibilité avec les serveurs racines activés par DNSSEC pour les systèmes d’exploitation client et serveur Windows, ainsi que les ordinateurs hébergeant le rôle serveur DNS.
Numéro de base de connaissances d’origine : 2028240
Résumé
ICANN et VeriSign ont configuré des serveurs DNS hébergeant la zone racine pour utiliser DNSSEC.
Cet article résume l’impact de l’activation de DNSSEC sur les serveurs DNS de zone racine sur les clients et serveurs Windows.
| Version et rôle du système d’exploitation | Impact |
|---|---|
Windows 2000 Professionnel Windows 2000 Server Windows XP Windows Server 2003 Windows Server 2003 R2 Windows Vista Windows Server 2008 |
Aucune modification de configuration n’est requise. DNSSEC est une technologie de serveur DNS. Les clients DNS Windows ne sont pas affectés par DNSSEC. DNSSEC est activé uniquement par les serveurs DNS qui demandent DNSSEC. Ces versions de Serveur DNS Microsoft ne sont pas conscientes du DNSSEC et ne doivent pas être affectées par l’activation de DNSSEC sur les zones racines DNS. |
| Windows 7 et Windows Server 2008 R2 avec DNSSEC désactivé |
Aucune modification de configuration n’est requise. DNSSEC est une technologie de serveur DNS. Les clients DNS Windows ne sont pas affectés par DNSSEC DNSSEC est activé uniquement par les serveurs DNS qui demandent DNSSEC. DNSSEC n’est pas activé par défaut pour les serveurs DNS Windows Server 2008 R2. Ces serveurs DNS ne doivent pas être affectés par l’activation de DNSSEC sur les zones racines DNS. |
Serveurs DNS Windows Server 2008 R2 avec DNSSEC activé |
Aucune modification de configuration supplémentaire n’est requise par l’activation de DNSSEC sur les serveurs DNS de zone racine. Les serveurs DNSSEC compatibles avec DNSSEC 2008 R2 ont été testés et vérifiés par Microsoft pour interagir avec les serveurs de zone racine activés par DNSSEC sur Internet. Si vous souhaitez déployer DNSSEC, consultez le Guide de déploiement Microsoft DNSSEC pour connaître les conditions requises pour déployer DNSSEC, y compris la prise en charge de paquets UDP requise par les trames EDNS au format UDP utilisées par DNSSEC. |
Plus d’informations
Plusieurs billets de blog et articles de presse ont suggéré que l’activation de DNSSEC sur les serveurs DNS hébergeant la zone racine entraînerait l’échec des requêtes DNS pour les noms Internet.
Ces articles et le déploiement de DNSSEC lui-même ont conduit les clients Microsoft à se demander si la transition DNSSEC sur les zones racines affecterait la capacité des clients et des serveurs Windows, y compris celles hébergeant le rôle Serveur DNS Microsoft, à rencontrer des problèmes de résolution de noms.
Impact sur les clients Microsoft Windows
Les clients DNS Windows ne nécessitent pas de configuration supplémentaire en raison de l’activation de DNSSEC sur les serveurs DNS de zone racine.
Impact sur les serveurs DNS Microsoft
Par ce site web DNSSEC a été initialement activé le 2010.01.27 et a été systématiquement activé sur des serveurs de zone racine supplémentaires au cours des mois de février, mars et avril 2010. Au moment où douze des treize serveurs racines avaient été transférés vers le DURZ, aucun effet nocif n’avait été identifié. Si l’activation de DNSSEC sur les serveurs DNS de zone racine a provoqué un problème, il aurait été observé longtemps avant l’activation de DNSSEC sur les 13 dernières zones racines le 5 mai 2010. Depuis 2010.05.07, aucun problème vérifiable n’a été identifié comme l’activation de DNSSEC sur les zones racines.
Plus important encore, ces revendications ne parviennent pas à considérer que DNSSEC est activé uniquement par les appelants (serveurs DNS) qui demandent DNSSEC. L’activation de DNSSEC sur un serveur cible, comme celles hébergeant des zones racines, ne modifie rien dans la réponse DNS aux appelants qui ne demandent pas DNSSEC. Ce changement ouvre la voie à davantage d’utilisation d’EDNS à l’avenir, en particulier pour DNSSEC. Les serveurs et les clients qui envoient des requêtes DNS aux serveurs racine n’ont pas besoin d’apporter de modifications.
Les serveurs DNS pré-Windows Server 2008 R2 ne peuvent pas demander de fonctionnalités DNSSEC et ne nécessitent aucune modification de configuration pour interagir avec les serveurs DNS compatibles DNSSEC hébergeant la racine ou toute autre zone DNSSEC activée par DNS.
Les serveurs DNS Windows Server 2008 R2 sont compatibles DNSSEC, mais la fonctionnalité est désactivée par défaut. Ces serveurs DNS ne nécessitent aucune modification de configuration supplémentaire pour interagir avec les serveurs activés par DNSSEC et doivent rencontrer aucun échec en raison de l’activation de DNSSEC sur les serveurs de zone racine.
Les serveurs DNS Windows Server2008 R2 configurés pour utiliser DNSSEC ont été testés par les équipes de développement et de test Microsoft et ont trouvé qu’ils sont entièrement interopérables avec les serveurs de zone racine compatibles DNSSEC. Les administrateurs doivent être conscients que l’activation de DNSSEC sur Microsoft et des produits tiers permet implicitement l’utilisation d’EDNS, une extension DNS qui peut générer des images au format UDP volumineuses (supérieures à 512 octets) pour communiquer des données sur le réseau.
Il existe des problèmes connus liés aux périphériques d’infrastructure réseau tels que les routeurs et les pare-feu qui suppriment, fragmentent ou modifient l’ordre d’arrivée de paquets réseau au format UDP supérieurs à 512 octets générés par Kerberos ou EDNS. Chaque cas peut entraîner l’échec des requêtes DNS. Assurez-vous que votre infrastructure réseau est capable de transmettre des paquets réseau au format UDP volumineux.
Par RFC 4035, les tailles de paquets UDP jusqu’à 1220 octets DOIVENT être prises en charge et les paquets jusqu’à 4 000 octets DOIVENT être pris en charge. Windows Server 2008 R2 utilise une taille de paquet par défaut de 4 000 octets par défaut.
Le serveur de test de taille de réponse DNS de l’OARC documente l’utilisation d’un test de taille de réponse à l’aide de DIG. Cette fonctionnalité peut être répliquée à l’aide de la syntaxe NSLOOKUP :
>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter
En résumé, il n’est pas nécessaire d’utiliser EDNS si vous n’utilisez pas DNSSEC. Microsoft suggère de laisser EDNS désactivé. Toutefois, si les administrateurs veulent l’activer, ils doivent le faire sur quelques ordinateurs en premier et le tester pour vous assurer que tous les noms Internet sont résolvables.
Liens associés
- Informations sur DNSSEC pour la zone racine
- DNSSSEC peu probable pour briser Internet le 5 mai (auteur : Bill Detwiler, TechRepublic)
- Avertissement : Pourquoi votre Internet pourrait échouer le 5 mai (auteur : Brett Winterford, ITNews for Australian Business)
- DNSSEC va-t-il tuer votre Internet ? (auteur : Kevin Murphy, The Registry)
- Serveur de test de taille de réponse DNS de l’OARC
- L’histoire du routeur de messagerie mystérieusement défectueux (Aka EDNS et escapades Exchange)
- Guide de déploiement Microsoft DNSSEC