本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

过程:修改区域签名参数

 

适用对象:Windows Server 2012 R2, Windows Server 2012

使用以下过程可以查看和修改 DNSSEC 参数值和设置,请使用 DNS 管理器控制台或 Windows PowerShell。 当您已经完成本主题中的过程时,返回到父清单。

System_CAPS_note注意

您可以修改任何主、 权威 DNS 服务器上使用 DNS 管理器的 DNSSEC 设置。 但是,设置加载从 Key Master 中并随后进行任何更改 Key Master 上。 如果 Key Master 不可用,则不能修改设置。 在修改设置,请使用 Windows PowerShell 时,必须指定密钥主机使用 ComputerName 参数中) 或运行 Windows PowerShell Key Master 上。

可以使用 DNS 管理器或 Windows PowerShell 来修改 DNSSEC 参数和设置:

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要修改 DNSSEC 参数和设置在 DNS 管理器

  1. 在主、 权威 DNS 服务器上,打开 DNS 管理器或连接到主、 权威 DNS 服务器使用 DNS 管理器。

  2. 右键单击 DNSSEC 签名区域,指向DNSSEC,然后单击属性

  3. 您可以修改以下选项卡上的某些但并非所有设置:Key Master下一步安全 (NSEC)信任锚点,和高级

  4. 若要查看并编辑 KSK 设置,请单击KSK选项卡上,单击下的一个签名密钥密钥签名密钥 (KSKs),然后单击编辑若要查看或更改 KSK 设置。

  5. 若要查看并编辑 ZSK 设置,请单击ZSK选项卡上,单击下的一个签名密钥区域签名密钥 (ZSKs),然后单击编辑若要查看或更改 ZSK 设置。

  6. 单击确定完。

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

在使用的 Windows PowerShell 命令,替换secure.contoso.com替换为您想要查看的 DNSSEC 签名区域的名称。

若要修改 DNSSEC 参数和 Windows PowerShell 中的设置

  1. 打开提升的 Windows PowerShell 提示符 Key Master 或另一个主要的权威 DNS 服务器上。 如果本地服务器不是 Key Master,您必须添加ComputerName参数来指定 Key Master。

  2. 若要修改已签名的区域设置,请使用Set-DnsServerDnsSecZoneSettingcmdlet。 请参见以下示例:

    PS C:\> Set-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com -DnsKeyRecordSetTTL 02:00:00
    

    使用Get-DnsServerDnsSecZoneSettingcmdlet 以便验证设置。 请参见以下示例:

    PS C:\> Get-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com | select DnsKeyRecordSetTTL DnsKeyRecordSetTTL ------------------ 02:00:00
    
  3. 若要修改的签名密钥,请使用Set-DnsServerSigningKeycmdlet。 请参见以下示例:

    PS C:\> Set-DnsServerSigningKey -ZoneName secure.contoso.com -KeyId 925795c2-4772-48d8-b0f0-0d79c8a7e5c7 -ZoneSignatureValidityPeriod 8.00:00:00
    

    使用Get-DnsServerSigningKeycmdlet 以便验证设置。 请参见以下示例:

    PS C:\> Get-DnsServerSigningKey -ZoneName secure.contoso.com | fl ZoneName                      : secure.contoso.com KeyId                         : 96e2236a-4a4e-4409-afe7-c3aa8ffc254e KeyType                       : KeySigningKey CryptoAlgorithm               : RsaSha256 KeyLength                     : 2048 KeyStorageProvider            : Microsoft Software Key Storage Provider StoreKeysInAD                 : True CurrentState                  : Active IsRolloverEnabled             : True RolloverType                  : DoubleSignature RolloverPeriod                : 755.00:00:00 InitialRolloverOffset         : 00:00:00 CurrentRolloverStatus         : NotRolling NextRolloverAction            : Normal LastRolloverTime              : NextRolloverTime              : 2/10/2016 5:09:37 PM DnsKeySignatureValidityPeriod : 7.00:00:00 DSSignatureValidityPeriod     : 7.00:00:00 ZoneSignatureValidityPeriod   : 10.00:00:00 ActiveKey                     : {5A004FCE-55FE-41A2-84BA-90D0F8BF7CE2} StandbyKey                    : {85F701CF-08B2-484F-8954-B737876B0A62} NextKey                       : ZoneName                      : secure.contoso.com KeyId                         : 925795c2-4772-48d8-b0f0-0d79c8a7e5c7 KeyType                       : ZoneSigningKey CryptoAlgorithm               : RsaSha256 KeyLength                     : 1024 KeyStorageProvider            : Microsoft Software Key Storage Provider StoreKeysInAD                 : True CurrentState                  : Active IsRolloverEnabled             : True RolloverType                  : PrePublish RolloverPeriod                : 90.00:00:00 InitialRolloverOffset         : 00:00:00 CurrentRolloverStatus         : NotRolling NextRolloverAction            : Normal LastRolloverTime              : NextRolloverTime              : 4/16/2014 6:09:37 PM DnsKeySignatureValidityPeriod : 7.00:00:00 DSSignatureValidityPeriod     : 7.00:00:00 ZoneSignatureValidityPeriod   : 8.00:00:00 ActiveKey                     : {80FB1558-BA2A-4374-A99B-534828FACBB6} StandbyKey                    : NextKey                       : {08A68540-47EB-4F89-AF57-9ABC2B9A3A3A}
    

当前签名区域时或之后的签名密钥已经设置无法修改某些设置。 例如,您不能更改为现有的签名密钥的密钥存储提供程序。 若要更改此参数,必须添加一个新的签名密钥。 有关可以修改的参数的列表,查看的语法Set-DnsServerDnsSecZoneSettingSet-DnsServerSigningKeycmdlet (例如:Get-Command 集 DnsServerDnsSecZoneSetting-语法)。

显示: