DNS가 방지하기 어려운 제3자의 공격, 스푸핑 및 캐시 포이즌 공격을 자주 받기 때문에 Windows Server® 2008 R2의 DNS 서버와 클라이언트에서 DNSSEC(Domain Name System Security Extensions) 지원을 소개합니다. 즉 DNSSEC에서는 DNS 영역과 영역의 모든 레코드가 암호화된 방식으로 서명될 수 있도록 허용합니다. 서명된 영역을 호스팅하는 DNS 서버가 쿼리를 받으면 쿼리한 레코드 외에 디지털 서명을 반환합니다. 해결 프로그램이나 다른 서버가 공개/개인 키 쌍의 공개 키를 가져오고 응답이 인증되고 변조되지 않았는지 확인할 수 있습니다. 이렇게 하려면 서명된 영역이나 서명된 영역의 상위에 대한 트러스트 앵커를 사용하여 해결 프로그램이나 서버를 구성해야 합니다.
핵심 DNSSEC 확장은 RFC 4033, 4034 및 4035에 지정되어 있고 기존 항목의 원본 인증 기관, 데이터 무결성 및 인증 거부를 DNS에 추가합니다. DNS 서버와 DNS 클라이언트에 대한 일부 새로운 개념과 작업 외에 DNSSEC는 새로운 네 개의 리소스 레코드(DNSKEY, RRSIG, NSEC 및 DS)를 DNS에 소개합니다.
Windows Server 2008 R2의 DNS 서버에서 사용 가능한 변경 사항은 다음과 같습니다.
- 영역을 서명하고 서명된 영역을 호스트할 수 있는 기능
- DNSSEC 프로토콜에 대한 변경 지원
- DNSKEY, RRSIG, NSEC 및 DS 리소스 레코드 지원
Windows Server 2008 R2의 DNS 클라이언트에서 사용 가능한 변경 사항은 다음과 같습니다.
-
쿼리의 DNSSEC 정보를 표시할 수 있는 기능
-
DNSKEY, RRSIG, NSEC 및 DS 리소스 레코드를 처리할 수 있는 기능
- 통신한 DNS 서버가 클라이언트를 대신하여 유효성 검사를 수행했는지 확인할 수 있는 기능
DNSSEC와 관련된 DNS 클라이언트의 동작은 DNS 클라이언트의 동작을 정의하는 설정이 저장된 NRPT(이름 확인 정책 테이블)를 통해 제어됩니다. NRPT는 일반적으로 그룹 정책을 통해 관리됩니다.
추가 참조
DNS의 새로운 기능(페이지는 영문일 수 있음) (https://go.microsoft.com/fwlink/?LinkId=139322)