DNSSEC сломан в DNS-сервере Windows 2016?
В настоящее время я нахожусь в процессе миграции DNS-сервера с Windows 2012 R2 на Windows 2016. Однако я столкнулся с проблемой с DNSSEC. До сих пор я только что переместил один домен, неиспользуемый тестовый домен, с сервера Win2012 на сервер Win2016, и я получаю ошибки проверки DNSSEC почти на каждом инструменте проверки DNSSEC, который я тестировал ("RRSIG не найден", "Nameserver делает" не выполнять дополнительную обработку DNSSEC.", " Не найдено действительных RRSIG, созданных с помощью ключа, соответствующего DS RR, охватывающего набор RR DNSKEY, что не приводит к созданию безопасной точки входа (SEP) в зону. "и т. д.)
В окне Win2012 в диалоговом окне настройки DNS-сервера есть параметр "Включить проверку DNSSEC для удаленных ответов":
Та же опция отсутствует в Windows 2016:
Помогите, что здесь происходит?
Очевидно, другие столкнулись с той же проблемой, вот два других обсуждения, которые я нашел, когда гуглил эту проблему: http://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J:lists.cloudapp.net/pipermail/windns- users / 2016-July / 000133.html + & cd = 2 & hl = en & ct = clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail-in-windows-server-2016
Обновление: после небольшого поиска, я нашел эту статью:
http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation
... у которого есть опция командной строки для включения DNSSEC:
DnsCmd.exe /Config /enablednssec 1
... и это решило это для меня.
2 ответа
Решение, найденное по http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation, заключалось в следующем:
DnsCmd.exe /Config /enablednssec 1
запустите эту команду «DnsCmd.exe/Config/enablednssec 1
а это - dnscmd.exe /RetriveRootTrustAnchors
снова.