Совместимость клиентских и серверных операционных систем Windows с корневыми серверами с поддержкой DNSSEC
В этой статье описывается влияние и совместимость с корневыми серверами с поддержкой DNSSEC для клиентских и серверных операционных систем Windows, а также компьютеров, на котором размещена роль DNS-сервера.
Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 2028240
Сводка
СЕРВЕРы DNS, на которых размещена корневая зона, настроены для использования DNSSEC.
В этой статье описывается влияние включения DNSSEC на DNS-серверы корневой зоны для клиентов и серверов Windows.
Версия и роль ОС | Влияние |
---|---|
Windows 2000 Professional Windows 2000 Server Windows XP Windows Server 2003 Windows Server 2003 R2 Windows Vista Windows Server 2008 |
Изменение конфигурации не требуется. DNSSEC — это технология DNS-сервера. DNSSEC не влияет на DNS-клиенты Windows. DNSSEC включается только DNS-серверами, которые запрашивают DNSSEC. Эти версии MICROSOFT DNS Server не поддерживают DNSSEC и не должны быть затронуты включением DNSSEC в корневых зонах DNS. |
Windows 7 и Windows Server 2008 R2 с отключенным DNSSEC |
Изменение конфигурации не требуется. DNSSEC — это технология DNS-сервера. DNSSEC не влияет на DNS-клиенты Windows DNSSEC включается только DNS-серверами, которые запрашивают DNSSEC. DNSSEC по умолчанию не включен в Windows Server 2008 R2 DNS-серверы. На такие DNS-серверы не должно влиять включение DNSSEC в корневых зонах DNS. |
DNS-серверы Windows Server 2008 R2 с включенным DNSSEC |
Включение DNSSEC на DNS-серверах корневой зоны не требует дополнительных изменений в конфигурации. Dns-серверы Windows Server 2008 R2 с поддержкой DNSSEC были протестированы и проверены корпорацией Майкрософт на взаимодействие с серверами корневой зоны с поддержкой DNSSEC в Интернете. Если вы хотите развернуть DNSSEC, ознакомьтесь с требованиями к развертыванию DNSSEC, включая поддержку больших пакетов UDP, необходимой для кадров EDNS в формате UDP, используемых DNSSEC. |
Дополнительная информация
В нескольких записях блогах и статьях в прессе предлагалось, что включение DNSSEC на DNS-серверах, на которых размещена корневая зона, приведет к сбою запросов DNS для интернет-имен.
Такие статьи и развертывание DNSSEC побудили клиентов Майкрософт узнать, повлияет ли переход DNSSEC на корневые зоны на способность клиентов и серверов Windows, включая те, которые размещают роль Microsoft DNS Server, столкнуться с проблемами разрешения имен.
Влияние на клиенты Microsoft Windows
Dns-клиенты Windows не требуют дополнительной настройки в результате включения DNSSEC на DNS-серверах корневой зоны.
Влияние на DNS-серверы Майкрософт
Для этого веб-сайта DNSSEC первоначально был включен в 2010.01.27 и систематически был включен на дополнительных серверах корневой зоны в феврале, марте и апреле 2010 года. На момент, когда двенадцать из тринадцати корневых серверов были переведены в DURZ, никаких вредных последствий не было выявлено. Если бы включение DNSSEC на dns-серверах корневой зоны вызвало проблему, она наблюдалась бы задолго до включения DNSSEC в последней из 13 корневых зон 5 мая 2010 года. По состоянию на 2010.05.07, никаких проверяемых проблем с включением DNSSEC в корневых зонах не обнаружено.
Что еще более важно, такие утверждения не учитывают, что DNSSEC включается только вызывающими (DNS-серверами), которые запрашивают DNSSEC. Включение DNSSEC на целевом сервере, например на том, где размещены корневые зоны, не изменяет ничего в ответе DNS для вызывающих лиц, которые не запрашивают DNSSEC. Это изменение открывает путь для более подробного использования EDNS в будущем, особенно для DNSSEC. Серверы и клиенты, отправляющие DNS-запросы на корневые серверы, не должны вносить никаких изменений.
DNS-серверы, предшествующие Windows Server 2008 R2, не могут запрашивать функции DNSSEC и не требуют изменения конфигурации для взаимодействия с DNS-серверами с поддержкой DNSSEC, на которых размещается корневая или любая другая зона DNS с поддержкой DNSSEC.
DNS-серверы Windows Server 2008 R2 поддерживают DNSSEC, но эта функция отключена по умолчанию. Такие DNS-серверы не требуют дополнительных изменений конфигурации для взаимодействия с серверами с поддержкой DNSSEC и не должны испытывать сбоев из-за включения DNSSEC на серверах корневой зоны.
Dns-серверы Windows Server2008 R2, настроенные для использования DNSSEC, были протестированы группами разработчиков и тестирования Майкрософт и оказались полностью совместимыми с серверами корневой зоны с поддержкой DNSSEC. Администраторы должны помнить, что включение DNSSEC в продуктах Майкрософт и сторонних продуктов неявно позволяет использовать EDNS, расширение DNS, которое может создавать большие (больше 512 байт) кадры в формате UDP для передачи данных по сети.
Существуют известные проблемы с устройствами сетевой инфраструктуры, такими как маршрутизаторы и брандмауэры, которые удаляются, фрагментируются или изменяются порядок поступления сетевых пакетов в формате UDP, созданных Kerberos или EDNS. Каждый случай может привести к сбою запросов DNS. Убедитесь, что сетевая инфраструктура может передавать большие сетевые пакеты в формате UDP.
Для RFC 4035 должны поддерживаться размеры пакетов UDP до 1220 байт и пакеты размером до 4000 байт. Windows Server 2008 R2 использует размер пакета по умолчанию 4000 байт.
Сервер проверки размера ответа DNS OARC документирует использование теста размера ответа с помощью DIG. Эту функцию можно реплицировать с помощью синтаксиса NSLOOKUP:
>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter
Таким образом, нет реальной необходимости в EDNS, если вы не используете DNSSEC. Корпорация Майкрософт предлагает оставить EDNS отключенным. Однако если администраторы хотят включить его, они должны сначала сделать это на нескольких компьютерах и протестировать его, чтобы убедиться, что все имена в Интернете разрешаются.
Дополнительные ссылки
- Сведения о DNSSEC для корневой зоны
- DNSSSEC вряд ли разорвет Интернет 5 мая (автор: Билл Detwiler, TechRepublic)
- Предупреждение. Почему ваш Интернет может завершиться сбоем 5 мая (автор: Бретт Уинтерфорд, ITNews для австралийского бизнеса)
- Убьет ли DNSSEC ваш Интернет? (автор: Кевин Мерфи, Реестр)
- Тестовый сервер размера ответа DNS OARC
- История таинственно неисправного почтового маршрутизатора (Aka EDNS и exchange escapeades)
- Руководство по развертыванию Microsoft DNSSEC
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по