本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

过程:占用 Key Master 角色

 

适用对象:Windows Server 2012 R2, Windows Server 2012

使用以下过程来强制对当前的 Key Master 服务器处于脱机状态和 DNS 服务不可用时已使用 DNSSEC 签名区域的 Key Master 角色转移。 若要在当前的 Key Master 处于联机状态且可用时移动的 Key Master 角色,请参阅过程:将 Key Master 角色移

System_CAPS_important重要事项

时占用的 Key Master 角色时,新的 Key Master 必须具有对私钥材料区域的访问。 如果新的 Key Master 不具有这种访问权限,必须使用新密钥替换所有区域中的签名密钥和该区域必须进行重新签名。 如果已为该区域分发信任锚,这些信任锚也必须手动更新后区域重新签名。 有关详细信息,请参阅 占用的 Key Master 角色

若要一台密钥主机区域,DNS 服务器必须是主、 权威 DNS 服务器对该区域中,并且必须能够动态 DNS 区域的联机签名。 不能移动不是 Active Directory 集成因为这些区域可以具有权威的只有一个主 DNS 服务器的区域的 Key Master 的角色。

使用 DNS 管理器控制台和 Windows PowerShell 提供过程。 当您已经完成本主题中的过程时,返回到父清单。

选择要执行此过程的 DNS 管理器或 Windows PowerShell:

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要强制使用 DNS 管理器的 Key Master 角色转移

  1. 在主、 权威的 DNS 服务器上打开 DNS 管理器或从另一个位置使用 DNS 管理器连接到主、 权威的 DNS 服务器。

  2. 在控制台树中,右键单击要移动的 Key Master 角色,指向该区域DNSSEC,然后单击属性 指示 DNSSEC 区域设置可能不会加载从 Key Master 中将显示警报。

  3. 在弹出窗口中显示,单击

    System_CAPS_note注意

    如果看不到警报,请验证密钥主机处于脱机状态。 如果 Key Master 处于联机状态,而您仍想要移动的 Key Master 角色,请参阅过程:将 Key Master 角色移移动 Key Master。 不要使用此过程占用的 Key Master 角色。

  4. “Key Master”选项卡中,选择“使用以下 DNS 服务器作为 Key Master”

  5. 单击下拉列表中,然后依次中出现的弹出窗口。 本地 DNS 服务器将创建是能够成为新的 Key Master 为区域的 DNS 服务器的列表。

  6. 为新的密钥主机,从列表中选择的 DNS 服务器和单击确定

  7. 单击似乎将 Key Master 角色移动到所选的 DNS 服务器的对话框中。 如果您单击、 将取消该操作和 Key Master 将保持不变。

  8. 如果您看到一个警告无法联系 Key Master 传输私钥材料的对话框中,这意味着当前的 DNS 服务器不能为私钥材料的访问。 在此方案中,将 Key Master 角色转移还需要对区域进行重新签名并且必须更新信任锚。 单击以继续。

  9. 确认已成功更新区域 < 区域名称 > 的 Key Master显示,然后依次确定

此过程将立即更改 Key Master。

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要使用所提供的 Windows PowerShell 示例,替换为服务器和区域的名称将在您的环境中使用的名称。

若要强制使用 Windows PowerShell 的 Key Master 角色转移

  1. 打开提升的 Windows PowerShell 提示符主要的权威 DNS 服务器上。

  2. 若要占用的 Key Master 角色,使用Reset-DnsServerZoneKeyMasterRolecmdlet 与SeizeRole参数。 请参见以下示例:

    PS C:\> Reset-DnsServerZoneKeyMasterRole -ZoneName secure.contoso.com -KeyMasterServer dc3.contoso.com –SeizeRole -Force
    

    在此示例中,SeizeRole参数用于占用,而不是移动,Key Master 角色转移,和Force参数用于跳过确认步骤。 区域的 Key Master 角色secure.contoso.com传输到服务器dc3.contoso.com

若要验证是否已成功传送的 Key Master 角色,您可以使用Get-DnsServerDnsSecZoneSettingcmdlet。 请参见以下示例:

PS C:\> Get-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com ZoneName                      : secure.contoso.com IsKeyMasterServer             : False KeyMasterServer               : DC3.contoso.com KeyMasterStatus               : Online DenialOfExistence             : NSec3 NSec3HashAlgorithm            : RsaSha1 NSec3Iterations               : 50 NSec3OptOut                   : False IsNSec3SaltConfigured         : True NSec3RandomSaltLength         : 8 NSec3UserSalt                 : - DnsKeyRecordSetTTL            : 01:00:00 DSRecordSetTTL                : 01:00:00 DSRecordGenerationAlgorithm   : {Sha1, Sha256} DistributeTrustAnchor         : {None} EnableRfc5011KeyRollover      : True ParentHasSecureDelegation     : False SecureDelegationPollingPeriod : 12:00:00 PropagationTime               : 2.00:00:00 SignatureInceptionOffset      : 01:00:00

此过程将立即更改 Key Master。

显示: