本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

过程:分配 Active Directory 中的信任锚

 

适用对象:Windows Server 2012 R2, Windows Server 2012

使用以下过程来分发使用 DNS 管理器控制台或 Windows PowerShell 的 Active Directory 中的信任锚。 当您已经完成本主题中的过程时,返回到父清单。

以下过程启用自动分发的信任锚分配 Active Directory 中使用 DNSSEC 已签名的区域。

如果未签名区域而您想要启用自动信任锚时对区域签名,请参阅过程:自定义区域签名参数 默认情况下不启用此设置。

System_CAPS_important重要事项

如果启用此设置,并且 DNS 服务器也是域控制器,则信任锚将分发到 Active Directory 林中的域控制器上运行的所有 DNS 服务器。 如果 DNS 服务器不是域控制器,信任锚的区域将只被添加到本地的信任锚存储区中,默认位于%windir%\system32\dns\TrustAnchors.dns

选择要使用 DNS 管理器或 Windows PowerShell:

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要启用 Active Directory 使用 DNS 管理器中的信任锚点分发

  1. 在主、 权威的 DNS 服务器上打开 DNS 管理器或连接到主、 权威 DNS 服务器使用 DNS 管理器。

  2. 在 DNS 管理器控制台树中,右键单击该区域将在此启用信任锚定分发,依次指向DNSSEC,然后单击属性

  3. 单击“信任锚”选项卡。

  4. 选择启用的此区域的信任锚分配分发复选框。

  5. 单击确定若要关闭 DNSSEC 的属性对话框。

  6. 在弹出窗口中显示,单击以确认对区域所做的更改。

  7. 验证DNSSEC 配置参数成功显示,然后依次确定

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要使用所提供的示例 Windows PowerShell 示例,请将服务器和区域的名称替换为服务器和在您的环境中使用的区域的名称。

若要启用使用 Windows PowerShell 的 Active Directory 中的信任锚点分发

  1. 打开提升的 Windows PowerShell 提示符主要的权威 DNS 服务器上。

  2. 您可以使用Set-DnsServerDnsSecZoneSettingcmdlet 与DistributeTrustAnchor参数来启用分发的信任锚定在 Active Directory 中。 请参见以下示例:

    PS C:\> Set-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com -DistributeTrustAnchor DnsKey
    
  3. 您可以使用Get-DnsServerDnsSecZoneSettingcmdlet 来确认此设置。 请参见以下示例:

    
    PS C:\> Get-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com | fl -Property ZoneName,DistributeTrustAnchor ZoneName              : secure.contoso.com DistributeTrustAnchor : {DnsKey}
    

    在前面的示例中,Format-List(fl) 参数用于仅显示ZoneNameDistributeTrustAnchor属性。

可以在 Active Directory 中分发仅 DNSKEY 信任锚。 您不能分配 DS 信任锚的步骤。

显示: