DNSSEC сломан в DNS-сервере Windows 2016?

В настоящее время я нахожусь в процессе миграции DNS-сервера с Windows 2012 R2 на Windows 2016. Однако я столкнулся с проблемой с DNSSEC. До сих пор я только что переместил один домен, неиспользуемый тестовый домен, с сервера Win2012 на сервер Win2016, и я получаю ошибки проверки DNSSEC почти на каждом инструменте проверки DNSSEC, который я тестировал ("RRSIG не найден", "Nameserver делает" не выполнять дополнительную обработку DNSSEC.", " Не найдено действительных RRSIG, созданных с помощью ключа, соответствующего DS RR, охватывающего набор RR DNSKEY, что не приводит к созданию безопасной точки входа (SEP) в зону. "и т. д.)

В окне Win2012 в диалоговом окне настройки DNS-сервера есть параметр "Включить проверку DNSSEC для удаленных ответов":

Та же опция отсутствует в Windows 2016:

Помогите, что здесь происходит?

Очевидно, другие столкнулись с той же проблемой, вот два других обсуждения, которые я нашел, когда гуглил эту проблему: http://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J:lists.cloudapp.net/pipermail/windns- users / 2016-July / 000133.html + & cd = 2 & hl = en & ct = clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail-in-windows-server-2016

Обновление: после небольшого поиска, я нашел эту статью:

http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation

... у которого есть опция командной строки для включения DNSSEC:

DnsCmd.exe  /Config /enablednssec 1

... и это решило это для меня.

2 ответа

Решение

Решение, найденное по http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation, заключалось в следующем:

DnsCmd.exe /Config /enablednssec 1

запустите эту команду «DnsCmd.exe/Config/enablednssec 1

а это - dnscmd.exe /RetriveRootTrustAnchors

снова.

Другие вопросы по тегам