Windows-client- en serverbesturingssysteemcompatibiliteit met DNSSEC-basisservers
In dit artikel wordt het impact- en compatibiliteitsverhaal beschreven met DNSSEC-basisservers voor Windows-client- en serverbesturingssystemen en computers die als host fungeren voor de DNS-serverfunctie.
Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 2028240
Samenvatting
ICANN en VeriSign hebben DNS-servers geconfigureerd die als host fungeren voor de hoofdzone om DNSSEC te gebruiken.
Dit artikel bevat een overzicht van de impact van het inschakelen van DNSSEC op DNS-servers in de hoofdzone voor Windows-clients en -servers.
| Versie en rol van besturingssysteem | Impact |
|---|---|
Windows 2000 Professional Windows 2000 Server Windows XP Windows Server 2003 Windows Server 2003 R2 Windows Vista Windows Server 2008 |
Er is geen configuratiewijziging vereist. DNSSEC is een DNS Server-technologie. Windows DNS-clients worden niet beïnvloed door DNSSEC. DNSSEC wordt alleen ingeschakeld door DNS-servers die DNSSEC aanvragen. Deze Microsoft DNS Server-versies zijn niet DNSSEC-bewust en mogen niet worden beïnvloed door het inschakelen van DNSSEC op DNS-basiszones. |
| Windows 7 en Windows Server 2008 R2 met DNSSEC uitgeschakeld |
Er is geen configuratiewijziging vereist. DNSSEC is een DNS Server-technologie. Windows DNS-clients worden niet beïnvloed door DNSSEC DNSSEC wordt alleen ingeschakeld door DNS-servers die DNSSEC aanvragen. DNSSEC is niet standaard ingeschakeld voor Windows Server 2008 R2 DNS-servers. Dergelijke DNS-servers mogen niet worden beïnvloed door het inschakelen van DNSSEC op DNS-basiszones. |
Windows Server 2008 R2 DNS-servers met DNSSEC ingeschakeld |
Er is geen aanvullende configuratiewijziging vereist voor het inschakelen van DNSSEC op DNS-servers in de hoofdzone. DNSSEC-ingeschakelde Windows Server 2008 R2 DNS-servers zijn getest en geverifieerd door Microsoft om te werken met DNSSEC-basiszoneservers op internet. Als u DNSSEC wilt implementeren, raadpleegt u de Microsoft DNSSEC-implementatiehandleiding voor vereisten voor het implementeren van DNSSEC, inclusief grote UDP-pakketondersteuning die nodig is voor EDNS-frames met UDP-indeling die worden gebruikt door DNSSEC. |
Meer informatie
Verschillende blogberichten en persartikelen hebben gesuggereerd dat het inschakelen van DNSSEC op DNS-servers die als host fungeren voor de hoofdzone ertoe zou leiden dat DNS-query's voor internetnamen mislukken.
Dergelijke artikelen en de implementatie van DNSSEC zelf hebben Microsoft-klanten ertoe gebracht om te vragen of de DNSSEC-overgang op basiszones van invloed zou zijn op het vermogen van Windows-clients en -servers, met inbegrip van die waarop de Microsoft DNS-serverrol wordt gehost, om problemen met naamomzetting te ondervinden.
Gevolgen voor Microsoft Windows-clients
Windows DNS-clients vereisen geen aanvullende configuratie omdat DNSSEC is ingeschakeld op DNS-servers in de hoofdzone.
Gevolgen voor Microsoft DNS-servers
Op deze website was DNSSEC oorspronkelijk ingeschakeld op 2010.01.27 en is systematisch ingeschakeld op extra hoofdzoneservers tijdens de maanden februari, maart en april 2010. Op het moment dat twaalf van de dertien hoofdservers waren overgezet naar de DURZ, was er geen schadelijk effect geïdentificeerd. Als het inschakelen van DNSSEC op DNS-servers in de hoofdzone een probleem heeft veroorzaakt, zou dit zijn waargenomen lang voordat dnssec op de laatste van 13 hoofdzones op 5 mei 2010 werd ingeschakeld. Vanaf 2010.05.07 zijn er geen controleerbare problemen vastgesteld bij het inschakelen van DNSSEC op basiszones.
Belangrijker is dat dergelijke claims niet in overweging nemen dat DNSSEC alleen wordt ingeschakeld door aanroepers (DNS-servers) die DNSSEC aanvragen. Het inschakelen van DNSSEC op een doelserver, zoals die die hoofdzones hosten, verandert niets in het DNS-antwoord voor bellers die geen DNSSEC aanvragen. Deze wijziging maakt de weg vrij voor meer EDNS-gebruik in de toekomst, met name voor DNSSEC. Servers en clients die DNS-aanvragen naar de hoofdservers verzenden, hoeven geen wijzigingen aan te brengen.
Dns-servers van vóór Windows Server 2008 R2 kunnen geen DNSSEC-functionaliteit aanvragen en vereisen geen configuratiewijziging om te kunnen werken met DNSSEC-dns-servers die als host fungeren voor de hoofdmap of een andere DNSSEC-dns-zone.
Windows Server 2008 R2 DNS-servers zijn geschikt voor DNSSEC, maar de functie is standaard uitgeschakeld. Dergelijke DNS-servers vereisen geen extra configuratiewijziging om te kunnen werken met DNSSEC-servers en moeten geen fouten ondervinden vanwege het inschakelen van DNSSEC op hoofdzoneservers.
Windows Server2008 R2 DNS-servers die zijn geconfigureerd voor het gebruik van DNSSEC, zijn getest door de ontwikkel- en testteams van Microsoft en zijn volledig interoperabel met DNSSEC-servers in de basiszone. Beheerders moeten zich ervan bewust zijn dat het inschakelen van DNSSEC op Microsoft en producten van derden impliciet het gebruik van EDNS mogelijk maakt, een DNS-extensie die grote (meer dan 512 bytes) UDP-geformatteerde frames kan genereren om gegevens via het netwerk te communiceren.
Er zijn bekende problemen met netwerkinfrastructuurapparaten, zoals routers en firewalls, die de aankomstvolgorde van meer dan 512-byte UDP-geformatteerde netwerkpakketten die zijn gegenereerd door Kerberos of EDNS, verwijderen, fragmenteren of wijzigen. Elk geval kan ertoe leiden dat DNS-query's mislukken. Zorg ervoor dat uw netwerkinfrastructuur grote UDP-geformatteerde netwerkpakketten kan doorgeven.
Per RFC 4035 moeten UDP-pakketgrootten tot 1220 bytes worden ondersteund en pakketten tot 4000 bytes MOETEN worden ondersteund. Windows Server 2008 R2 gebruikt standaard een pakketgrootte van 4000 bytes.
OARC's DNS Reply Size Test Server documenteerde het gebruik van een antwoordgroottetest met behulp van DIG. Deze functionaliteit kan worden gerepliceerd met behulp van de NSLOOKUP-syntaxis:
>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter
Kortom, er is geen echte noodzaak voor EDNS als u geen DNSSEC gebruikt. Microsoft raadt u aan EDNS uitgeschakeld te laten. Als beheerders dit echter willen inschakelen, moeten ze dit eerst op een paar computers doen en testen om te controleren of alle internetnamen kunnen worden omgezet.
Gerelateerde koppelingen
- Informatie over DNSSEC voor de hoofdzone
- DNSSSEC zal internet waarschijnlijk op 5 mei breken (auteur: Bill Detwiler, TechRepublic)
- Waarschuwing: Waarom uw internet kan mislukken op 5 mei (auteur: Brett Winterford, ITNews for Australian Business)
- Maakt DNSSEC uw internet af? (auteur: Kevin Murphy, The Registry)
- Testserver voor DNS-antwoordgrootte van OARC
- Het verhaal van de geheimzinnig slecht werkende e-mailrouter (ook wel EDNS en Exchange-escapades genoemd)
- Implementatiehandleiding voor Microsoft DNSSEC
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor