Delen via


DNSSEC in Windows

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Ondersteuning voor Domain Name System Security Extensions (DNSSEC) in Windows Server 2012 en Windows Server 2012 R2 is aanzienlijk verbeterd ten opzichte van eerdere versies van Windows. Zie de volgende onderwerpen voor meer informatie:

  • DNS-servers: Ondersteuning voor zones DNSSEC ondertekend op primaire, bindende DNS-servers is toegevoegd aan Windows Server 2008 R2. Ondersteuning voor echter in Windows Server 2008 R2 is beperkt tot de offline ondertekening van statische zones en standards zoals NSEC3 en RSA/SHA-2 zijn niet ondersteund. DNSSEC-ondersteuning is uitgebreid met aanzienlijk in Windows Server 2012en latere besturingssystemen.

  • DNS-clients: De DNS Client-service in Windows 7 en latere besturingssystemen DNSSEC-compatibel is. Er zijn geen eerdere besturingssystemen DNSSEC-bewuste. Besturingssystemen die op de hoogte DNSSEC kunnen worden geconfigureerd om te vereisen dat DNSSEC-validatie.

  • DNS-zones: Een zone met DNSSEC-ondertekening beveiligt, kunt het spoofing-aanvallen. Voordat u een zone met DNSSEC ondertekenen kunt, moet u enkele DNSSEC-opties en parameters opgeven. U kunt zone ondertekenen parameters opgeven en een zone met ondertekenen Windows PowerShell, of kunt u de ondertekening Wizard Zone die is opgegeven in de DNS-beheerconsole.

  • Vertrouwensankers: Een vertrouwensanker is een openbare cryptografiesleutel waarmee een DNS-server DNS-antwoorden in een naamruimte als legitiem valideren. Als een DNS-server een vertrouwensanker heeft, probeert het automatisch te valideren DNS-antwoorden voor die naamruimte. Vertrouwen ankers elke keer dat een zone is ondertekend moeten worden bijgewerkt.

  • De NRPT: De beleid tabel NRPT (Name Resolution) is een tabel van naamruimten en de bijbehorende instellingen die zijn opgeslagen in het Windows-register. Het register bepaalt de DNS-client gedrag bij het verlenen van query's en antwoorden voor verwerking. U kunt de NRPT security-bewuste DNS-clients om te vereisen dat validatie van DNS-antwoorden configureren.

Zie ook

Overzicht van DNSSEC

DNSSEC-implementatie plannen

DNSSEC met WindowsServer 2012 implementeren