Совместимость клиентских и серверных операционных систем Windows с корневыми серверами с поддержкой DNSSEC

  • Статья

В этой статье описывается влияние и совместимость с корневыми серверами с поддержкой DNSSEC для клиентских и серверных операционных систем Windows, а также компьютеров, на котором размещена роль DNS-сервера.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 2028240

Сводка

СЕРВЕРы DNS, на которых размещена корневая зона, настроены для использования DNSSEC.

В этой статье описывается влияние включения DNSSEC на DNS-серверы корневой зоны для клиентов и серверов Windows.

Версия и роль ОС Влияние

Windows 2000 Professional
Windows 2000 Server
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008

 Изменение конфигурации не требуется.

DNSSEC — это технология DNS-сервера. DNSSEC не влияет на DNS-клиенты Windows.

DNSSEC включается только DNS-серверами, которые запрашивают DNSSEC. Эти версии MICROSOFT DNS Server не поддерживают DNSSEC и не должны быть затронуты включением DNSSEC в корневых зонах DNS.
Windows 7 и Windows Server 2008 R2 с отключенным DNSSEC
Изменение конфигурации не требуется.

DNSSEC — это технология DNS-сервера. DNSSEC не влияет на DNS-клиенты Windows

DNSSEC включается только DNS-серверами, которые запрашивают DNSSEC. DNSSEC по умолчанию не включен в Windows Server 2008 R2 DNS-серверы. На такие DNS-серверы не должно влиять включение DNSSEC в корневых зонах DNS.

DNS-серверы Windows Server 2008 R2 с включенным DNSSEC
Включение DNSSEC на DNS-серверах корневой зоны не требует дополнительных изменений в конфигурации.

Dns-серверы Windows Server 2008 R2 с поддержкой DNSSEC были протестированы и проверены корпорацией Майкрософт на взаимодействие с серверами корневой зоны с поддержкой DNSSEC в Интернете.

Если вы хотите развернуть DNSSEC, ознакомьтесь с требованиями к развертыванию DNSSEC, включая поддержку больших пакетов UDP, необходимой для кадров EDNS в формате UDP, используемых DNSSEC.

Дополнительная информация

В нескольких записях блогах и статьях в прессе предлагалось, что включение DNSSEC на DNS-серверах, на которых размещена корневая зона, приведет к сбою запросов DNS для интернет-имен.

Такие статьи и развертывание DNSSEC побудили клиентов Майкрософт узнать, повлияет ли переход DNSSEC на корневые зоны на способность клиентов и серверов Windows, включая те, которые размещают роль Microsoft DNS Server, столкнуться с проблемами разрешения имен.

Влияние на клиенты Microsoft Windows

Dns-клиенты Windows не требуют дополнительной настройки в результате включения DNSSEC на DNS-серверах корневой зоны.

Влияние на DNS-серверы Майкрософт

Для этого веб-сайта DNSSEC первоначально был включен в 2010.01.27 и систематически был включен на дополнительных серверах корневой зоны в феврале, марте и апреле 2010 года. На момент, когда двенадцать из тринадцати корневых серверов были переведены в DURZ, никаких вредных последствий не было выявлено. Если бы включение DNSSEC на dns-серверах корневой зоны вызвало проблему, она наблюдалась бы задолго до включения DNSSEC в последней из 13 корневых зон 5 мая 2010 года. По состоянию на 2010.05.07, никаких проверяемых проблем с включением DNSSEC в корневых зонах не обнаружено.

Что еще более важно, такие утверждения не учитывают, что DNSSEC включается только вызывающими (DNS-серверами), которые запрашивают DNSSEC. Включение DNSSEC на целевом сервере, например на том, где размещены корневые зоны, не изменяет ничего в ответе DNS для вызывающих лиц, которые не запрашивают DNSSEC. Это изменение открывает путь для более подробного использования EDNS в будущем, особенно для DNSSEC. Серверы и клиенты, отправляющие DNS-запросы на корневые серверы, не должны вносить никаких изменений.

DNS-серверы, предшествующие Windows Server 2008 R2, не могут запрашивать функции DNSSEC и не требуют изменения конфигурации для взаимодействия с DNS-серверами с поддержкой DNSSEC, на которых размещается корневая или любая другая зона DNS с поддержкой DNSSEC.

DNS-серверы Windows Server 2008 R2 поддерживают DNSSEC, но эта функция отключена по умолчанию. Такие DNS-серверы не требуют дополнительных изменений конфигурации для взаимодействия с серверами с поддержкой DNSSEC и не должны испытывать сбоев из-за включения DNSSEC на серверах корневой зоны.

Dns-серверы Windows Server2008 R2, настроенные для использования DNSSEC, были протестированы группами разработчиков и тестирования Майкрософт и оказались полностью совместимыми с серверами корневой зоны с поддержкой DNSSEC. Администраторы должны помнить, что включение DNSSEC в продуктах Майкрософт и сторонних продуктов неявно позволяет использовать EDNS, расширение DNS, которое может создавать большие (больше 512 байт) кадры в формате UDP для передачи данных по сети.

Существуют известные проблемы с устройствами сетевой инфраструктуры, такими как маршрутизаторы и брандмауэры, которые удаляются, фрагментируются или изменяются порядок поступления сетевых пакетов в формате UDP, созданных Kerberos или EDNS. Каждый случай может привести к сбою запросов DNS. Убедитесь, что сетевая инфраструктура может передавать большие сетевые пакеты в формате UDP.

Для RFC 4035 должны поддерживаться размеры пакетов UDP до 1220 байт и пакеты размером до 4000 байт. Windows Server 2008 R2 использует размер пакета по умолчанию 4000 байт.

Сервер проверки размера ответа DNS OARC документирует использование теста размера ответа с помощью DIG. Эту функцию можно реплицировать с помощью синтаксиса NSLOOKUP:

>nslookup [-d2] -type=txt rs.dns-oarc.net. \<your DNS Server IP> <- where "[-d2]" is an optional verbose logging parameter

Таким образом, нет реальной необходимости в EDNS, если вы не используете DNSSEC. Корпорация Майкрософт предлагает оставить EDNS отключенным. Однако если администраторы хотят включить его, они должны сначала сделать это на нескольких компьютерах и протестировать его, чтобы убедиться, что все имена в Интернете разрешаются.

Дополнительные ссылки