Domain-Name-System

Windows 2016 的 DNS 伺服器中的 DNSSEC 損壞?

  • November 16, 2021

我目前正在將 DNS 伺服器從 Windows 2012 R2 遷移到 Windows 2016。但是,我遇到了 DNSSEC 的問題。到目前為止,我剛剛將一個域(一個未使用的測試域)從 Win2012 伺服器移動到 Win2016 伺服器,並且在我測試過的幾乎每個 DNSSEC 驗證工具上都遇到了 DNSSEC 驗證錯誤(“未找到 RRSIG”、“Nameserver不做 DNSSEC 額外處理。”、“沒有找到由與 DS RR 對應的密鑰生成的有效 RRSIG 覆蓋 DNSKEY RRset,導致沒有安全入口點 (SEP) 進入該區域。”等)

在 Win2012 框中,DNS 伺服器配置對話框有一個選項“為遠端響應啟用 DNSSEC 驗證”:

Windows 2012 R2 上的 DNS 伺服器屬性

Windows 2016 上缺少相同的選項:

Windows 2016 上的 DNS 伺服器屬性

求助,這是怎麼回事?

顯然,其他人也遇到了同樣的問題,這是我在Google搜尋這個問題時發現的另外兩個討論: http ://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J:lists.cloudapp.net/pipermail/windns- users/2016-July/000133.html+&cd=2&hl=en&ct=clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail -in-windows-server-2016

**更新:**經過一番Google搜尋,我找到了這篇文章:

http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation

…它有一個用於啟用 DNSSEC 的命令行選項:

DnsCmd.exe  /Config /enablednssec 1

…這為我解決了這個問題。

在http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation找到的解決方案是執行:

DnsCmd.exe /Config /enablednssec 1

執行此命令“ DnsCmd.exe /Config /enablednssec 1

而這個 - dnscmd.exe /RetrieveRootTrustAnchors

再次。

引用自:https://serverfault.com/questions/862378