我目前正在将 DNS 服务器从 Windows 2012 R2 迁移到 Windows 2016。但是,我遇到了 DNSSEC 问题。到目前为止,我刚刚将一个域(未使用的测试域)从 Win2012 服务器移动到 Win2016 服务器,并且我在几乎每个我测试过的 DNSSEC 验证工具上都收到 DNSSEC 验证错误(“未找到 RRSIG”、“名称服务器未进行 DNSSEC 额外处理”、“未找到由与 DS RR 相对应的密钥生成的有效 RRSIG 覆盖 DNSKEY RRset,导致没有安全进入点 (SEP)。”等)
在 Win2012 框中,DNS 服务器配置对话框有一个选项“启用远程响应的 DNSSEC 验证”:
Windows 2016 上缺少相同的选项:
救命,这是怎么回事?
显然,其他人也遇到了同样的问题,以下是我在谷歌搜索此问题时发现的另外两个讨论: http://webcache.googleusercontent.com/search?q=cache:fEdkPUHEA40J:lists.cloudapp.net/pipermail/windns-users/2016-July/000133.html+&cd=2&hl=en&ct=clnk https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-9329-78ecc1e1d550/dnssec-validation-fail-in-windows-server-2016
更新:经过一番谷歌搜索后,我发现了这篇文章:
http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation
...它有一个用于启用 DNSSEC 的命令行选项:
DnsCmd.exe /Config /enablednssec 1
...这就帮我解决了。
答案1
解决方案位于http://info.menandmice.com/blog/bid/88297/Windows-2012-Server-Enabling-DNSSEC-validation,运行:
DnsCmd.exe /Config /enablednssec 1
答案2
运行此命令“ DnsCmd.exe /Config /enablednssec 1
这是 - dnscmd.exe /RetrieveRootTrustAnchors
再次。