Windows 中 DNSSEC
适用对象:Windows Server 2012 R2, Windows Server 2012
支持对域名称系统安全扩展 (DNSSEC) 在 Windows Server 2012 和 Windows Server 2012 R2 与以前版本的 Windows 相比,还大大增强。 请参阅以下主题以了解更多信息︰
DNS 服务器︰ 与添加了对主、 权威 DNS 服务器上 DNSSEC 签名区域支持 Windows Server 2008 R2。 但是,支持中 Windows Server 2008 R2 被限制到脱机的签名静态区域和标准 NSEC3 和 RSA/sha-2 不支持等。 在极大地增强 DNSSEC 支持 Windows Server 2012和更高版本的操作系统。
DNS 客户端: DNS 客户端服务在 Windows 7 和更高版本的操作系统是 DNSSEC 感知。 以前的操作系统未 DNSSEC 感知。 DNSSEC 感知的操作系统可以配置为需要 DNSSEC 验证。
DNS 区域︰ 签名使用 DNSSEC 对其进行保护免遭电子欺骗攻击。 可以对使用 DNSSEC 进行签名之前,必须指定多个 DNSSEC 选项和参数。 您可以指定区域签名参数并对与区域签名 Windows PowerShell, ,也可以使用 DNS 管理器控制台中提供区域签名向导。
信任密钥︰ 一个信任锚是使 DNS 服务器能够验证 DNS 响应为正版的命名空间中的公共加密密钥。 如果 DNS 服务器的信任锚,它会自动尝试验证 DNS 响应,则为该命名空间。 每次,对区域进行签名,必须更新信任锚。
NRPT︰ 此名称解析策略表 (NRPT) 是一个表的命名空间和存储在 Windows 注册表中的相应设置。 在发出查询和处理响应时,注册表确定 DNS 客户端的行为。 可以使用 NRPT 配置能够感知安全性的 DNS 客户端,需要验证 DNS 响应。