我目前正在将 DNS 服务器从 Windows 2012 R2 迁移到 Windows 2016。但是,我遇到了 DNSSEC 的问题。到目前为止,我刚刚将一个域(一个未使用的测试域)从 Win2012 服务器移动到 Win2016 服务器,并且在我测试过的几乎每个 DNSSEC 验证工具上都遇到了 DNSSEC 验证错误(“未找到 RRSIG”、“Nameserver不做 DNSSEC 额外处理。”、“没有找到由与 DS RR 对应的密钥生成的有效 RRSIG 覆盖 DNSKEY RRset,导致没有安全入口点 (SEP) 进入该区域。”等)
在 Win2012 框中,DNS 服务器配置对话框有一个选项“为远程响应启用 DNSSEC 验证”:
Windows 2016 上缺少相同的选项:
求助,这是怎么回事?
显然,其他人也遇到了同样的问题,这是我在谷歌搜索这个问题时发现的另外两个讨论: http ://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J:lists.cloudapp.net/pipermail/windns- users/2016-July/000133.html+&cd=2&hl=en&ct=clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail -in-windows-server-2016
更新:经过一番谷歌搜索,我找到了这篇文章:
http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation
...它有一个用于启用 DNSSEC 的命令行选项:
DnsCmd.exe /Config /enablednssec 1
...这为我解决了这个问题。