Mivel a DNS gyakran van kitéve köztes szereplő által elkövetett támadásnak, illetéktelen hozzáférésnek és gyorsítótár-szennyezési kísérletnek, amelyekkel szemben nehéz védekezni, a Windows Server® 2008 R2 DNS-kiszolgálója és DNS-ügyfele támogatja a biztonságos tartománynévrendszert (Domain Name System Security, DNSSEC). Röviden: a DNSSEC lehetővé teszi a DNS-zóna és az abban lévő valamennyi rekord kriptográfiai aláírását. Ha az aláírt zónát tároló DNS-kiszolgáló lekérdezést kap, a kért rekordok mellett a digitális aláírásokat is visszaküldi. Egy névfeloldó vagy más kiszolgáló beszerezheti a nyilvános és titkos kulcsból álló kulcspár nyilvános kulcsát, és ellenőrizheti, hogy a válaszok hitelesek és nem manipulálták őket. Ehhez a névfeloldót vagy a kiszolgálót az aláírt zóna megbízhatósági alapköveként vagy szülőjeként kell konfigurálni.
A DNSSEC fő bővítményei a 4033-as, 4034-es, és 4035-ös számú RFC-dokumentumban vannak meghatározva, és eredetszolgáltatói, adatsértetlenségi és a létezés hitelesített megtagadására vonatkozó jellemzőkkel ruházza fel a DNS-t. A DNS-kiszolgálóval és a DNS-ügyféllel kapcsolatos néhány új fogalom és művelet mellett a DNSSEC négy új erőforrásrekorddal (DNSKEY, RRSIG, NSEC és DS) bővíti a DNS-t.
A Windows Server 2008 R2 rendszerben a következő változások jellemzik a DNS-kiszolgálót:
- A zónák aláírhatók és az aláírt zónák tárolhatók.
- A DNSSEC-protokoll módosításainak támogatása.
- A DNSKEY, RRSIG, NSEC és DS erőforrásrekord támogatása.
A Windows Server 2008 R2 rendszerben a következő változások jellemzik a DNS-ügyfelet:
-
A DNSSEC ismerete jelezhető a lekérdezéskben.
-
A DNSKEY, RRSIG, NSEC és DS erőforrásrekordok feldolgozhatók.
- Ellenőrizhető, hogy az a DNS-kiszolgáló, amellyel a kommunikáció folyik, végrehajtott-e érvényességellenőrzést az ügyfél nevében.
A DNS-ügyfél DNSSEC-hez kapcsolódó viselkedését a névfeloldási házirendtábla (NRPT) szabályozza, amely a DNS-ügyfél viselkedését meghatározó beállításokat tárolja. Az NRPT kezelése rendszerint csoportházirenddel történik.
További hivatkozások
A DNS szolgáltatás újdonságai (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?LinkId=139322)