DNS はしばしば、man-in-the-middle 攻撃、スプーフィング (なりすまし)、キャッシュ ポイズニングなど、防御困難な攻撃にさらされやすいため、Windows Server® 2008 R2 の DNS サーバーおよび DNS クライアントでは、DNSSEC (Domain Name System Security Extensions) に対するサポートを導入しています。つまり、DNSSEC を使用して、DNS ゾーンおよびゾーン内のすべてのレコードを暗号で署名することができます。署名済みゾーンをホストする DNS サーバーがクエリを受け取ると、DNS サーバーはクエリで照会されたレコードのほか、デジタル署名を返します。リゾルバーまたは別のサーバーは、公開キー/秘密キー ペアの公開キーを取得できます。また、応答が本物であり、改ざんされていないことを検証します。これを行うため、リゾルバーまたはサーバーには、署名済みゾーンまたは署名済みゾーンの親用にトラスト アンカーが構成されている必要があります。
コア DNSSEC 拡張は、RFC 4033、4034、および 4035 で仕様が規定されており、DNS への追加機能として、発信元の認証、データ整合性、および非存在の認証の機能を備えています。DNSSEC では、DNS サーバーと DNS クライアントの両方を対象としたいくつかの新しい概念と操作に加え、DNS に対して 4 つの新しいリソース レコード (DNSKEY、RRSIG、NSEC、および DS) を導入しています。
Windows Server 2008 R2 の DNS サーバーでは、次の変更点を利用できます。
- ゾーンの署名、および署名済みゾーンのホストが可能。
- DNSSEC プロトコルに対する変更に対応。
- DNSKEY、RRSIG、NSEC、DS の各リソース レコードに対応。
Windows Server 2008 R2 の DNS クライアントでは、次の変更点を利用できます。
-
クエリで DNSSEC の機能を示すことが可能。
-
DNSKEY、RRSIG、NSEC、DS の各リソース レコードの処理が可能。
- クライアントと通信を行った DNS サーバーが、クライアントの代わりに検証を実施したかどうかを確認することが可能。
DNSSEC 関連の DNS クライアントの動作は、DNS クライアントの動作を定義する設定を格納する、名前解決ポリシー テーブル (NRPT) によって制御されます。NRPT は通常、グループ ポリシーを介して管理されます。
その他の参照情報
DNS の新機能 (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=139322)