因為 DNS 常易受到攔截式攻擊、詐騙攻擊與快取破壞攻擊且難以防範,所以 Windows Server® 2008 R2 中的 DNS 伺服器和用戶端引進網域名稱系統安全性延伸 (DNSSEC) 的支援。簡單來說,就是 DNSSEC 允許 DNS 區域及該區域中的所有記錄以加密編譯方式簽署。當裝載簽署區域的 DNS 伺服器收到查詢時,除了傳回查詢的記錄之外,還會傳回數位簽章。解析程式或其他伺服器可以取得公開/私密金鑰組的公開金鑰,並驗證回應已獲授權且未被竄改。為執行此動作,解析程式或伺服器必須以簽署區域或簽署區域上層的信賴起點進行設定。

核心 DNSSEC 延伸是在 RFC 4033、4034 與 4035 中指定,並將原始授權、資料完整性與已驗證阻斷存在新增至 DNS 中。除了一些同時適用於 DNS 伺服器和 DNS 用戶端的新概念與操作之外,DNSSEC 還將四種新的資源記錄 (DNSKEY、RRSIG、NSEC 與 DS) 引進 DNS。

以下是 Windows Server 2008 R2 中的 DNS 伺服器變更:

  • 能夠簽署區域並裝載簽署的區域。

  • 支援 DNSSEC 通訊協定的變更。

  • 支援 DNSKEY、RRSIG、NSEC 及 DS 資源記錄。

以下是 Windows Server 2008 R2 中的 DNS 用戶端變更:

  • 能夠指出查詢中的 DNSSEC。

  • 能夠處理 DNSKEY、RRSIG、NSEC 及 DS 資源記錄。

  • 能夠檢查與其通訊的 DNS 伺服器是否已代表用戶端執行驗證。

與 DNSSEC 有關的 DNS 用戶端行為是透過名稱解析原則表格 (NRPT) 控制,該表格儲存用於定義 DNS 用戶端行為的設定。NRPT 通常是透過群組原則管理。

其他參考資料


目錄