Windows での DNSSEC
適用対象: Windows Server 2012 R2,Windows Server 2012
ドメイン名システム セキュリティ拡張機能 (DNSSEC) に対するサポートでWindows Server 2012とWindows Server 2012 R2が Windows の以前のバージョンと比較して大幅に向上します。 詳細については、次のトピックを参照してください。
DNS サーバー:プライマリ、権限のある DNS サーバーでの DNSSEC で署名されたゾーンのサポートが追加されましたWindows Server 2008 R2です。 ただしでサポートWindows Server 2008 R2オフラインでの署名の静的なゾーンと標準 NSEC3 および RSA/sha-2 がサポートされていない場合などに制限されていました。 DNSSEC のサポートが大幅に強化されてWindows Server 2012と以降のオペレーティング システムです。
DNS クライアント:における DNS クライアント サービスWindows 7以降のオペレーティング システムは、DNSSEC に対応します。 以前のオペレーティング システムは、DNSSEC に対応でした。 DNSSEC 検証を要求するように、DNSSEC 対応であるオペレーティング システムを構成することができます。
DNS ゾーン:DNSSEC を使用してゾーンを署名すると、スプーフィング攻撃から保護します。 DNSSEC を使用してゾーンを署名する前に、いくつかの DNSSEC のオプションとパラメーターを指定する必要があります。 ゾーン署名パラメーターを指定し、使用してゾーンを署名Windows PowerShell、DNS マネージャー コンソールで提供されているゾーン署名ウィザードを使用することもできます。
トラスト アンカー:トラスト アンカーは、DNS サーバーとして、正規の名前空間で DNS の応答を検証することができる公開暗号化キーです。 DNS サーバーにトラスト アンカーがある場合は、自動的にしようとその名前空間に対する DNS の応答を検証します。 トラスト アンカーは、たびに、ゾーンが署名されている更新する必要があります。
NRPT は、:名前解決ポリシー テーブル (NRPT) は、名前空間と、Windows レジストリに格納されている対応する設定のテーブルです。 レジストリは、クエリと処理の応答を発行するときに、DNS クライアントの動作を決定します。 NRPT を使用して、DNS 応答の検証を要求するように、セキュリティ対応の DNS クライアントを構成することができます。