bizalom horgony
Delegálása fontosak, mert létre egy lánc hitelesítést gyermek zónákat. Ha minden zóna a lánc aláírva DNSSEC DNS-szerver megoldás csak egyetlen delegáció aláíró (DS) bizalom horgony telepítve van, feltéve, hogy az Active Directory Domain Services bejegyzések állnak a szülő zónában.
A küldöttség nem mindig szükséges megállapítani egy bizalmi horgony minden zónában, ellenőrizze a DNS-kiszolgáló gyorsítótárat. Bizonyos körülmények között lehetséges, hogy egy olyan hitelesítés-lánca (bizalmi), ami elég ahhoz, hogy csak az Active Directory Domain Services létrehozott egy bizalmi horgony a DNS-kiszolgáló a szülő zónában.
Azonban, ha megtöri a bizalmi láncot gyermek zónának kell saját sorozata bizalmi horgonyok. Például DNS válaszok bejelentkezett A.B.C.com zóna lehet ellenőrizni egy bizalmi horgony aláírt C.com zóna, feltéve, hogy B.C.com is aláírta. Ha B.C.com nem írták alá, C.com sziget válik bizalom megköveteli kötődést. Az alábbi ábra ezt a helyzetet.
Az elképzelések szerint, a sziget bizalom horgonyok vannak jelen kell beállítani, hogy a gyökér minden szigeten. Az előző rendszer, amíg nincsenek fehér területek aláírt, kéken jelennek meg. A jobb oldalon a fa teljes aláírás; A bal oldali fa időszakosan aláírást. Ahhoz, hogy a DNS-kiszolgáló képes elvégezni az ellenőrzést DNSSEC aláírt zónák, be kell állítania a bizalmat horgonyok olyan sárga.
Felvehet további kötési bizalom aláírt DNS-kiszolgáló zóna, de a bizalmat horgonyok övezetben a sárga elegendő teljes ellenőrzést az összes aláírt zónát.
Az aláírást követően DNSSEC zóna és a szülőzónához aláírás DNSSEC átruházó felvétel mark hozzá kell adni a szülő zónában, és a szülő zóna alá kell írni újra. Ez a folyamat minden egyes alkalommal, amikor új gyermek zóna aláírta az első alkalommal, vagy ha a gyermek zóna újra aláírta az új kulccsal aláírási kulcs. Ha a tulajdonos az aláírt zónában, de nem tartoznak a gyermek zóna, és ha a folyamat DNSSEC aláírás felváltva gyermek zónák, akkor újra kell aláírni a zóna hozzáadása után a küldöttség rögzíti az egyes alkalommal, amikor új gyermek zóna alá. A folyamat során azonban a regisztráció többzónás optimalizálni lehet, ha a szülő és a gyermek objektum zónák, melyek alá kell írni.
Ahogy DNSKEY erőforrás rekord rögzítőerőforrást felhatalmazás aláíró (DS) lehet használni, hogy hozzon létre egy bizalmi horgony az aláírt zónát. Records Active Directory Domain Services kisebb, mint a felvétel DNSKEY, mert tartalmaz csak egy hash-t a nyilvános kulcsot.
Records Active Directory Domain Services nem adunk a zóna aláírási eljárás egyes erőforrás rekordok társított a DNSSEC akkor is, ha a küldött már létezik a környéken. Bejegyzés hozzáadása az Active Directory tartományi szolgáltatások, akkor manuálisan kell hozzáadni vagy importálja. Szerencsére készlet Active Directory Domain Services Resource Records (DSSET) automatikusan hozzáadódik a mester kulcs fájlt, amikor aláírta a zónában. Akkor használja ezt a fájlt sImport-DnsServerResourceRecordDS bejegyzések parancsmaggal importálja az Active Directory tartományi szolgáltatások a szülő zónában. Lásd. A következő példa.
Az előző példában, írja Active Directory Domain Services a gyermek corp.adatum.com zóna hozták be a szülő adatum.com zóna DSSET fájl, ami Bc: \ windows \ system32 \ dns könyvtárba. DSSET fájlok ebben a könyvtárban, mert a helyi DNS-kiszolgáló az elsődleges kulcsot a gyermek zónában. Ha a DNS-kiszolgáló a mester kulcs a gyermek zóna nem ugyanazon a számítógépen, mint az elsődleges mérvadó DNS-kiszolgáló a szülő zónában, ahol az Active Directory tartományi szolgáltatások bejegyzésekkel egészül ki, be kell szerezni DSSET fájlt a gyermek zónának, és elérhetővé tegye a fő proxy szerver a szülő zónában. Ezen felül, akkor manuálisan bejegyzéseket az Active Directory tartományi szolgáltatások.
Minden szülőzónához láncolata hitelesítés, az Active Directory tartományi szolgáltatások számlákat ki kell egészíteni. Mint például az Active Directory tartományi szolgáltatások bejegyzéseket finance.corp.adatum.com adhatunk corp.adatum.com befejezni a hitelesítése finance.corp.adatum.com adatum.com lánc. Lásd. A következő példa.
Ha a lánc hitelesítés megtörtént a szükséges felhatalmazás az egyes területeken, és írjon Active Directory tartományi szolgáltatások, hozzáadjuk a szülő elem, a rekurzív DNS szerver lehet jelen csak a szülő zónában bizalom horgonyt, és ellenőrizze az összes gyermek zónákat. A következő példában a DNS-ügyfél igényel névtér proverkiadatum.com.
Mivel a bizalom horgony nyilvános kulcsokat a zónák, a bizalom horgony frissíteni kell, ha változik a nyilvános kulcsokat a zóna, például amikor a zóna újra aláírta. Továbbá, ha a bizalom horgony elosztott aláírása után a és a zóna lesz aláírva a jövőben el kell távolítania a bizalom horgonyok a zóna. Ha a bizalom horgonyok nem törlődnek, amikor a zóna nem kerül aláírásra a DNS-szerverek továbbra is megpróbálja ellenőrizni a DNS-válaszok a terület, de ez a teszt nem sikerül, és így van DNS feloldás hiba a zóna.
Trust horgony, amely tartalmazta az RFC 5011 Automatikus frissítések információt a fájlban tárolt% Windir% \ system32 \ dns \ RFC5011.csv a DNS-szerver, ahol a bizalom horgonyt.
Például aláírása után secure.contoso.com zónában, a következő fájlok jönnek létre a mester kulcsot.
Abban az időben az aláírásával DNSKEY-zóna erőforrás rekordokat is hozzá RRSIG zóna NSEC, és egyéb feljegyzések. Active Directory Domain Services bejegyzések nem kerülnek automatikusan hozzáadódik a zónában.
KEY (DNSKEY) fájl formátum a következő: <имя зоны>
Két kulcs van jelen a fájlt. Ha az indikátor mező páratlan szám, a kulcs egy kulcs-aláíró kulcsot (biztonságos belépési pont). Ha a flag mező páros kulcs ZSK. Az előző példában mindkét kulcsok KSKs, mivel az indikátor mező 257. A protokoll mindig DNSSEC, amely a 3-as szám, és az algoritmus az RSA / SHA-256, ami a 8-as szám.
DSSET (DS) fájl formátum a következő: <имя зоны>
Ha hozzá egy horgony a bizalom az Active Directory tartományi szolgáltatások Active Directory DNS-kiszolgáló és a DS rekord van jelen a DNS-zóna, emlékeztetni kell arra, hogy az Active Directory Domain Services bejegyzések nem kerülnek automatikusan során hozzáadott aláírása Zone - DNS-kiszolgáló az Active Directory tartományi szolgáltatások bejegyzések Digest a DNSKEY zónában.