Прочитать на английском

Поделиться через

Совместимость клиента и серверной операционной системы Windows с корневыми серверами с поддержкой DNSSEC

  • Статья

В этой статье описывается история влияния и совместимости с привилегированными серверами DNSSEC для клиентских и серверных операционных систем Windows, а также компьютеров с ролью DNS-сервера.

Исходный номер базы знаний: 2028240

Итоги

СЕРВЕРы DNS, использующие DNSSEC и VeriSign, настроили DNS-серверы, на которых размещена корневая зона.

В этой статье описывается влияние включения DNSSEC на DNS-серверы корневой зоны для клиентов и серверов Windows.

Версия и роль ОС Воздействие

Windows 2000 Professional
Windows 2000 Server
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008

 Изменение конфигурации не требуется.

DNSSEC — это технология DNS-сервера. Dns-клиенты Windows не влияют на DNSSEC.

DNSSEC включен только DNS-серверами, запрашивающими DNSSEC. Эти версии DNS-сервера Майкрософт не знают о DNSSEC и не должны влиять на включение DNSSEC в корневых зонах DNS.
Windows 7 и Windows Server 2008 R2 с отключенным DNSSEC
Изменение конфигурации не требуется.

DNSSEC — это технология DNS-сервера. Клиенты WINDOWS DNS не влияют на DNSSEC

DNSSEC включен только DNS-серверами, запрашивающими DNSSEC. DNSSEC по умолчанию не включает DNS-серверы Windows Server 2008 R2. Такие DNS-серверы не должны влиять на включение DNSSEC в корневых зонах DNS.

DNS-серверы Windows Server 2008 R2 с включенным DNSSEC
Никаких дополнительных изменений конфигурации не требуется, включив DNSSEC на dns-серверах корневой зоны.

DNSSEC- серверы DNS с поддержкой Windows Server 2008 R2 были проверены и проверены корпорацией Майкрософт для взаимодействия с серверами корневой зоны с поддержкой DNSSEC в Интернете.

Если вы хотите развернуть DNSSEC, ознакомьтесь с руководством по развертыванию Microsoft DNSSEC для развертывания DNSSEC, включая поддержку больших пакетов UDP, необходимых кадрам EDNS, используемым DNSSEC.

Дополнительная информация

Несколько записей блога и пресс-статей предположили, что включение DNSSEC на DNS-серверах, на которых размещена корневая зона, приведет к сбою запросов DNS для имен Интернета.

Такие статьи и развертывание DNSSEC привели клиентов Майкрософт к тому, чтобы узнать, влияет ли переход DNSSEC в корневых зонах на возможности клиентов и серверов Windows, включая размещение роли Microsoft DNS Server, для решения проблем с разрешением имен.

Влияние на клиенты Microsoft Windows

Для dns-клиентов Windows не требуется дополнительная настройка в результате включения DNSSEC на DNS-серверах корневой зоны.

Влияние на DNS-серверы Майкрософт

На этот веб-сайт DNSSEC изначально включен 2010.01.27 и был систематически включен на дополнительных серверах корневой зоны в течение месяцев, марта и апреля 2010 года. На момент, когда двенадцать из тринадцати корневых серверов были перемещены в DURZ, никаких вредных последствий не было выявлено. Если включение DNSSEC на dns-серверах корневой зоны вызвало проблему, это было бы наблюдаемо задолго до включения DNSSEC в последние из 13 корневых зон 5 мая 2010 года. По состоянию на 2010.05.07 не было выявлено никаких проверяемых проблем, связанных с включением DNSSEC в корневых зонах.

Более важно, что такие утверждения не учитывают, что DNSSEC включен только вызывающими (DNS-серверами), которые запрашивают DNSSEC. Включение DNSSEC на целевом сервере, например тех, где размещаются корневые зоны, не изменяет ничего в ответе DNS на вызывающих лиц, которые не запрашивают DNSSEC. Это изменение позволяет использовать более EDNS в будущем, в частности для DNSSEC. Серверы и клиенты, отправляющие DNS-запросы на корневые серверы, не должны вносить никаких изменений.

DNS-серверы до Windows Server 2008 R2 не могут запрашивать функциональные возможности DNSSEC и не требуют изменения конфигурации для взаимодействия с DNSSEC-серверами, на которых размещен корневой или любой другой зоне DNSSEC с поддержкой DNS.

DNS-серверы Windows Server 2008 R2 поддерживают DNSSEC, но эта функция отключена по умолчанию. Для таких DNS-серверов не требуется дополнительное изменение конфигурации для взаимодействия с серверами с поддержкой DNSSEC и не должно возникать сбоев из-за включения DNSSEC на корневых серверах зоны.

DNS-серверы Windows Server2008 R2, настроенные для использования DNSSEC, были протестированы командами разработки и тестирования Майкрософт и обнаружили, что они полностью взаимодействуют с серверами корневой зоны с поддержкой DNSSEC. Администраторы должны учитывать, что включение DNSSEC в продуктах Майкрософт и сторонних производителей неявно позволяет использовать EDNS, расширение DNS, которое может создавать большие (больше 512 байт) кадры в формате UDP для обмена данными по сети.

Существуют известные проблемы с сетевыми устройствами инфраструктуры, такими как маршрутизаторы и брандмауэры, удаление, фрагментирование или изменение порядка прибытия более 512-байтовых UDP отформатированных сетевых пакетов, созданных Kerberos или EDNS. Каждый случай может привести к сбою запросов DNS. Убедитесь, что сетевая инфраструктура может передавать большие отформатированные сетевые пакеты UDP.

Для RFC 4035 размер пакетов UDP до 1220 байт должен поддерживаться, а пакеты должны поддерживаться до 4000 байт. Windows Server 2008 R2 использует размер пакета по умолчанию размером 4000 байт по умолчанию.

Сервер тестирования размера ответа DNS OARC документирует использование теста размера ответа ответа с помощью DIG. Эту функцию можно реплицировать с помощью синтаксиса NSLOOKUP:

>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter

В итоге нет реальной необходимости в EDNS, если вы не используете DNSSEC. Корпорация Майкрософт предлагает оставить EDNS отключенной. Однако если администраторы хотят включить его, они должны сделать это на нескольких компьютерах сначала и протестировать его, чтобы убедиться, что все имена Интернета разрешены.

Связанные ссылки