Krok za krokem: Demonstrace DNSSEC v testovací laboratoři
Platí pro: Windows Server 2012 R2, Windows Server 2012
Domain Name System Security Extensions (DNSSEC) je sada rozšíření, které přidávají zabezpečení protokolu DNS. S DNSSEC jsou servery DNS neautoritativní schopny ověřovat odpovědi, které obdrží při dotazu na jiné servery DNS. Klientské počítače DNS s operačním systémem Windows® 7 nebo novější mohou být navíc nakonfigurovány tak, aby vyžadovaly provedení této validace.
V této příručce
Tato příručka poskytuje podrobné pokyny pro nasazení protokolu DNSSEC v testovací laboratoři pomocí dvou serverů nebo případně tří serverových počítačů a jednoho klientského počítače. Požadavky na software a hardware jsou poskytovány, stejně jako přehled DNSSEC.
Důležité
Následující pokyny se týkají konfigurace zkušební laboratoře s použitím minimálního počtu počítačů. K oddělování poskytovaných služeb v síti a k jasnému zobrazení požadované funkce je potřeba samostatné počítače. Tato konfigurace není navržena tak, aby odrážela osvědčené postupy, ani neodráží požadovanou nebo doporučenou konfiguraci pro produkční síť. Konfigurace, včetně adres IP a všech ostatních konfiguračních parametrů, je určena pouze pro práci na samostatné zkušební laboratoři.
Informace a podrobné postupy nasazení DNSSEC ve výrobním prostředí naleznete v dokumentu DNSSEC v systému Windows Server 2012 . Poznámka : Koncepty a postupy v této příručce platí pro systémy Windows Server 2012 a Windows Server 2012 R2. V testovacím laboratoři můžete použít jeden operační systém.
Přehled DNSSEC
Protokol DNS je náchylný k útoku kvůli vlastní nedostatečné autentizaci a kontrole integrity dat, které jsou vyměňovány mezi servery DNS nebo poskytovány klientům DNS. DNSSEC přidává zabezpečení DNS reakcí tím, že umožňuje servery DNS ověřovat odpovědi DNS. S protokolem DNSSEC jsou záznamy o zdrojích doprovázeny digitálními podpisy. Tyto digitální podpisy se generují, když je DNSSEC aplikován do zóny DNS pomocí procesu nazvaného signalizace zón. Když řešitel vydal dotaz DNS pro záznam prostředků v podepsané zóně, vrátí se digitální podpis s odpovědí, aby bylo možné provést validaci. Pokud je validace úspěšná, dokazuje to, že data nebyla v žádném případě změněna nebo manipulována.
Hrozby DNS
Spofiování DNS je typ útoku, který zahrnuje zosobnění odpovědí serveru DNS za účelem uvedení nepravdivých informací. V útoku spoofingu se škodlivý uživatel pokusí odhadnout, že klient DNS nebo server odeslal dotaz DNS a čeká na odpověď DNS. Úspěšný spoofingový útok vloží falešnou odpověď DNS do mezipaměti serveru DNS, což je proces známý jako otrava z mezipaměti. Falešný server DNS nemá žádný způsob, jak ověřit, zda jsou data DNS autentická, a bude odpovídat z mezipaměti pomocí falešných informací. Útočník může také nastavit čas žít (TTL) na falešné údaje DNS na velmi dlouhý interval, což způsobí, že mezipaměť serveru DNS zůstane otrávená mnoho hodin nebo dnů. Je také možné odeslat útok spoofingu DNS přímo na klienta DNS; tyto útoky jsou však méně trvalé než útoky na cache otravy. Oba tyto typy útoků lze zabránit pomocí DNSSEC tím, že požadujeme, aby odpovědi DNS byly ověřeny jako autentické. Viz následující obrázek.
Jak funguje služba DNSSEC
DNSSEC používá digitální podpisy a šifrovací klíče k ověření pravosti DNS odpovědí. Následující témata stručně diskutují o tom, jak jsou tyto podpisy spravovány a zda se provádí ověřování.
Digitální podpisy
Podpisy generované serverem DNSSEC jsou obsaženy v samotné zóně DNS v nových záznamů o prostředcích. Tyto nové záznamy o prostředcích se nazývají záznamy RRSIG (signature record signature). Když řešitel vydává dotaz na název, záznam RRSIG je v odpovědi vrácen. Pro ověření podpisu je zapotřebí veřejný kryptografický klíč nazvaný DNSKEY. DNSKEY je načten DNS server během procesu ověřování.
Znamení zóny
Při podepisování zóny s protokolem DNSSEC jednotlivě podepisujete všechny záznamy obsažené v zóně. Umožňuje to přidávat, upravovat nebo odstraňovat záznamy v zóně bez opětovného podepisování celé zóny. Je nutné pouze aktualizovat nové záznamy.
Autentizované popření existence
Co když je dotaz DNS pro záznam, který neexistuje? Pokud DNS server odpoví, že nebyl nalezen žádný záznam, tato odpověď musí být také ověřena jako autentická. Jelikož však neexistuje záznam o zdroji, neexistuje žádný záznam RRSIG. Odpověď na tento problém je záznam Next Secure (NSEC). Záznamy NSEC vytvářejí řetězec vazeb mezi podepsanými záznamy o prostředcích. Pro vytvoření záznamů NSEC je zóna tříděna a záznamy NSEC jsou vytvořeny tak, že každý záznam NSEC má ukazatel na další záznam NSEC. Poslední záznam NSEC ukazuje na první záznam. Při zadání dotazu pro neexistující záznam vrátí server DNS záznam NSEC před tím, než by byl v pořadí existující neexistující záznam. To umožňuje něco nazvaného autentické popírání existence.
NSEC3 je náhradou nebo alternativou k NSEC, která má další výhodu při předcházení "zóně chůze", což je proces opakování dotazů NSEC, aby bylo možné načíst všechna jména v zóně. Server DNS se systémem Windows Server® 2012 podporuje systém NSEC i NSEC3. Zóna může být podepsána buď NSEC nebo NSEC3, ale ne obojí.
Důvěryhodné kotvy
Důvěryhodná kotva je přednastavený veřejný klíč přidružený ke konkrétní zóně. Ověřovací server DNS musí být konfigurován pomocí jedné nebo více důvěryhodných kotev pro provedení ověření. Pokud je server DNS spuštěn na řadiči domény, důvěryhodné kotvy jsou uloženy v adresáři doménové struktury služby Active Directory Domain Services (AD DS) a mohou být replikovány všem řadičím domény v doménové struktuře. Na samostatných serverech DNS jsou důvěryhodné kotvy uloženy v souboru s názvem TrustAnchors.dns . Server DNS se systémem Windows Server 2012 nebo Windows Server 2012 R2 také zobrazuje nakonfigurované kotvy důvěryhodnosti ve stromu konzoly DNS Manager v kontejneru Trust Points . Můžete také použít nástroje Windows PowerShell nebo Dnscmd.exe k zobrazení důvěryhodných kotev.
Správa klíčů DNSSEC
Strategie správy klíčů DNSSEC zahrnuje plánování pro generování klíčů, ukládání klíčů, vypršení platnosti klíčů a nahrazení klíčů. Společné vypršení platnosti a nahrazení klíčů v DNSSEC se nazývá převrácení klíčů. V systémech Windows Server 2012 a Windows Server 2012 R2 usnadňuje správu klíčů jednoduché a flexibilní generování klíčů, ukládání a replikace služby Active Directory, automatické převrácení klíčů.
Klienty známé DNSSEC
V systémech Windows 8, Windows Server 2012, Windows 8.1 a Windows Server 2012 R2 je služba klienta DNS nadále neověřující a bezpečnostní, stejně jako počítače se systémem Windows 7 a Windows Server® 2008 R2. Když klient DNS vydá dotaz, může na server DNS uvést, že rozumí službě DNSSEC. Klient však není ověřen. Při vydávání dotazů klient DNS spoléhá na lokální server DNS, který označuje, že validace byla úspěšná. Pokud server neprovede ověření nebo hlásí, že ověření nebylo úspěšné, může být služba Klient služby DNS nakonfigurována, aby nevrátila žádné výsledky.
NRPT
Tabulka zásad pro rozlišení názvů (NRPT) je tabulka, která obsahuje pravidla, která můžete nakonfigurovat tak, aby specifikovala nastavení DNS nebo zvláštní chování názvů nebo jmenných prostorů. Program NRPT lze konfigurovat pomocí zásad skupiny nebo pomocí registru systému Windows.
Při provádění rozlišení DNS, služba klient DNS kontroluje NRPT před odesláním dotazu DNS. Pokud dotaz DNS nebo odpověď odpovídá položce v NRPT, je zpracována podle nastavení v zásadách. Dotazy a odpovědi, které neodpovídají položce NRPT, jsou zpracovány normálně. Službu NRPT můžete použít tak, aby požadovala, aby služba DNS Client provedla DNSSEC ověření odpovědí DNS pro jmenné prostory, které zadáte.
Přehled scénářů
Tato zkušební laboratoř demonstruje nové funkce DNSSEC v systému Windows Server 2012. Používají se tři počítače se serverem a jeden klientský počítač. Viz následující obrázek.
Požadavky na hardware a software
Pro dokončení testovacího laboratoře jsou vyžadovány dva servery. Volitelně lze pro dokončení dalších kroků v testovací laboratoři použít tři počítače serveru a jeden klientský počítač.
Poznámka
Všechny odkazy na Windows Server 2012 a Windows 8 v této příručce se vztahují stejně na Windows Server 2012 R2 a Windows 8.1. Souhrn dostupných aktualizací služby Server DNS v systému Windows Server 2012 R2 naleznete v tématu Co je nového v serveru DNS . Tyto aktualizace nemají vliv na postupy v této příručce.
Potřebné součásti zkušebního laboratoře jsou následující:
Disk produktu nebo jiné instalační médium pro systém Windows Server 2012.
Dva počítače splňující minimální hardwarové požadavky pro systém Windows Server 2012.
Následující součásti se doporučují, ale nevyžadují dokončení testovacího laboratoře:
Disk produktu nebo jiné instalační médium pro systém Windows 8.
Dva počítače, které splňují minimální požadavky na hardware pro systémy Windows Server 2012 a Windows 8.
Kroky pro konfiguraci testovací laboratoře
Následující postupy se používají k konfiguraci počítačů pro demonstrační část zkušebního laboratoře:
Konfigurovat DC1 : DC1 je řadič domény a server DNS s integrovanou službou Active Directory.
Konfigurovat DNS1 : DNS1 je non-autoritativní, ukládání do mezipaměti DNS server.
Konfigurovat DC2 : DC2 je sekundární řadič domény a DNS server integrovaný se službou Active Directory.
Konfigurovat klienta1 : Nastavení zásad skupiny pro službu DNS jsou aplikovány na klienta1 a používá se k vydání dotazů klientů DNS.
Konfigurujte DC1
DC1 je počítač se systémem Windows Server 2012 a poskytuje následující služby:
Řadič domény pro doménu contoso.com služby Active Directory.
Autoritní server DNS pro zónu DNS contoso.com.
DNSSEC Key Master pro zónu DNS contoso.com.
Počáteční konfigurace DC1 se skládá z následujících kroků:
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na zařízení DC1
Nainstalujte službu Active Directory a DNS na zařízení DC1
Nakonfigurujte zónu DNS sec.contoso.com
Povolit vzdálenou plochu na zařízení DC1
Další úkoly se budou provádět na DC1 během demonstrační části zkušební laboratoře, včetně konfigurace NRPT, podepisování zón DNSSEC, distribuce důvěryhodných kotev a demonstrace převrácení klíčů DNSSEC.
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na zařízení DC1
Instalace operačního systému a konfigurace protokolu TCP / IP na zařízení DC1
Spusťte počítač pomocí disku produktu Windows Server 2012 nebo jiného digitálního média.
Po zobrazení výzvy zadejte kód Product Key, přijměte licenční podmínky, nastavte hodiny, jazyk a regionální nastavení a zadejte heslo pro místní účet správce.
Stiskněte klávesy Ctrl + Alt + Odstranit a přihlaste se pomocí účtu místního správce.
Pokud se zobrazí výzva k povolení Reportingu chyb systému Windows, klepněte na tlačítko Přijmout .
Klepněte na tlačítko Start , zadejte příkaz ncpa.cpl a stiskněte klávesu ENTER . Otevře se ovládací panel Síťová připojení .
Tip
Předchozí krok demonstruje nové funkce v systému Windows Server 2012, které umožňují vyhledávat a spouštět aplikace, nastavení a soubory klepnutím na tlačítko Start a zadáním vyhledávacího dotazu. Ovládací panel Síťová připojení také můžete otevřít klepnutím na tlačítko Připojení pomocí kabelového připojení Ethernet v Správci serverů pomocí zobrazení Místní server . Další informace naleznete v tématu Společné úlohy správy a navigace v systému Windows Server 2012 ( http://go.microsoft.com/fwlink/p/?LinkId=242147 ).
V části Síťová připojení klepněte pravým tlačítkem na položku Kabelové připojení Ethernet a potom klepněte na příkaz Vlastnosti .
Poklepejte na položku Internet Protocol verze 4 (TCP / IPv4) .
Na kartě Obecné vyberte možnost Použít následující adresu IP .
Vedle adresy IP typu 10.0.0.1 a vedle typu masky podsítě typu 255.255.255.0 . Není nutné zadat záznam vedle výchozí brány .
Vedle položky Preferovaný server DNS zadejte 10.0.0.1 .
Dvakrát klepněte na tlačítko OK a zavřete ovládací panel Síťová připojení .
Nainstalujte službu Active Directory a DNS na zařízení DC1
Služba DC1 bude sloužit jako primární řadič domény a server DNS pro doménu contoso.com Active Directory.
Konfigurace DC1 jako řadiče domény a serveru DNS
Správce serverů je ve výchozím nastavení zobrazen. Na navigačním podokně klikněte na položku Konfigurovat tento místní server .
V části VLASTNOSTI klepněte na název vedle názvu počítače . Zobrazí se dialogové okno Vlastnosti systému .
Na kartě Název počítače klepněte na tlačítko Změnit a zadejte příkaz DC1 pod název počítače .
Klepněte dvakrát na tlačítko OK a potom klepněte na tlačítko Zavřít .
Po zobrazení výzvy k restartování počítače klepněte na tlačítko Restart Now .
Po restartování počítače se přihlaste pomocí lokálního účtu správce.
Ve Správci serverů v části Konfigurovat tento místní server klepněte na tlačítko Přidat role a funkce .
V přidáním rolí a Průvodce Vlastnosti , klepněte na tlačítko Next třikrát, a pak na Vybrat rolí serveru straně vyberte Active Directory Domain Services políčko.
Po zobrazení výzvy k přidání požadovaných funkcí klepněte na tlačítko Přidat funkce .
Klepněte třikrát na tlačítko Další a potom klepněte na tlačítko Nainstalovat .
Čekat na proces instalace dokončit, ověřte na průběh instalace stránku, která požadovanou konfiguraci. Instalace se úspěšně zobrazila na obrazovce DC1 a potom klepněte na tlačítko Zavřít .
Klepněte na příznak Oznámení a potom na položku Povýšit tento server do řadiče domény .
V Průvodci konfigurací domény služby Active Directory na stránce Konfigurace zavedení vyberte možnost Přidat nový domén a potom vedle názvu domény Root zadejte contoso.com .
Klepněte na tlačítko Další a na stránce Možnosti řadiče domény v části Zadejte heslo služby DSRM (Directory Service Restore Mode) zadejte heslo vedle hesla Heslo a potvrďte heslo . Zkontrolujte, zda je vybrán server DNS (Domain Name System) a globální katalog (GC) a klepněte na tlačítko Další .
Klepněte na Další pětkrát a potom na tlačítko Instalovat .
Po dokončení procesu instalace se počítač automaticky restartuje.
Přihlaste se pomocí účtu místního správce.
Dále musí být vytvořen účet správce domény, který se používá při provádění postupů v testovací laboratoři.
Tip
V tomto testovacím laboratoři můžete použít účet CONTOSO \ Administrator a přeskočit vytvoření účtu správce domény, pokud je to požadováno. Tento účet obsahuje oprávnění správce domény a další oprávnění. Nejvýhodnější je však tento účet zakázat nebo přejmenovat. Další informace naleznete v části Nejlepší postupy služby Active Directory ( http://go.microsoft.com/fwlink/p/?LinkID=243071 ).
Vytvoření účtu správce domény
Na panelu nabídek Správce serverů klepněte na položku Nástroje a potom na položku Uživatelé a počítače služby Active Directory .
Ve stromu konzoly Uživatelé a počítače služby Active Directory poklepejte na contoso.com , klepněte pravým tlačítkem myši na položku Uživatelé , přejděte na příkaz Nový a potom klepněte na položku Uživatel .
V dialogovém okně Nový objekt - uživatel zadejte uživatel1 pod názvem Přihlašovací jméno uživatele a vedle Úplné jméno a potom klepněte na tlačítko Další .
Vedle hesla a hesla pro potvrzení zadejte heslo pro účet uživatele1.
Zrušte zaškrtnutí políčka vedle položky Uživatelé musí při příštím přihlášení změnit heslo , zaškrtněte políčko Heslo nikdy nevyprší , klepněte na tlačítko Další a potom klepněte na tlačítko Dokončit .
Poklepejte na uživatele1 a potom klepněte na kartu Člen .
Klepněte na tlačítko Přidat , zadejte správce domény pod Zadat názvy objektů, které chcete vybrat , dvakrát klepněte na tlačítko OK a zavřete konzolu Uživatelé a počítače služby Active Directory .
Klepněte na tlačítko Start , klepněte na položku Správce a potom klepněte na položku Odhlásit se .
Přihlaste se k počítači pomocí pověření uživatele1 klepnutím na šipku vlevo vedle položky CONTOSO \ Administrator a poté na možnost Další uživatel .
Nakonfigurujte zónu DNS sec.contoso.com
Poté nakonfigurujte novou zónu DNS: sec.contoso.com. Tato zóna se použije k prokázání podpisu zóny DNSSEC.
Varování
Zónu domény (contoso.com) lze také podepsat pomocí protokolu DNSSEC. Avšak zkušební laboratoř obsahuje scénáře selhání ověření, které dodávají složitost v případě, že je zóna domény podepsána.
Konfigurace zóny DNS sec.contoso.com
V nabídce Správce serverů klepněte na položku Nástroje a potom klepněte na položku DNS .
Ve stromu konzoly služby DNS Manager klepněte pravým tlačítkem myši na zóny dopředného vyhledávání a potom klepněte na položku Nová zóna .
V Průvodci vytvořením zóny klepněte na tlačítko Next třikrát, a pak pod zóny jméno typu sec.contoso.com .
Klepněte dvakrát na tlačítko Další a potom klepněte na tlačítko Dokončit .
Ověřte, zda je v části Forward Lookup Zones zobrazena zóna " sec.contoso.com " .
Poté přidejte do zóny sec.contoso.com jeden nebo více záznamů o prostředcích DNS.
Nechte konzolu Správce DNS otevřít.
Přidání záznamů o prostředcích DNS do zóny sec.contoso.com
Klikněte pravým tlačítkem myši na sec.contoso.com a potom klikněte na Nový hostitel (A nebo AAAA) .
V Hostitel Nový dialogovém okně zadejte DC1 podle názvu , typu 10.0.0.1 pod IP adresou , a potom klepněte na tlačítko Přidat hostitele . Adresa IP dc1.contoso.com se zde používá k tomu, aby prokázala scénáře úspěšnosti a selhání DNSSEC.
Potvrďte, že byl úspěšně přidán záznam hostitele dc1.sec.contoso.com a klepněte na tlačítko OK .
Pokud chcete, přidejte do zóny další záznamy o prostředcích a klepněte na tlačítko Hotovo .
Povolit vzdálenou plochu na zařízení DC1
DC1 bude použit pro demonstraci funkčnosti síťové aplikace v prostředí s DNSSEC.
Povolení funkce Vzdálená plocha na kartě DC1
V navigačním podokně Správce serverů klepněte na položku Místní server .
Klepněte na slovo Zakázáno vedle funkce Vzdálená plocha.
V dialogovém okně Vlastnosti systému na kartě Vzdálená klepněte na příkaz Povolit připojení z počítačů s libovolnou verzí vzdálené plochy (méně zabezpečená) a potom klepněte na tlačítko OK.
Nakonfigurujte službu DNS1
DNS1 je počítač se systémem Windows Server® 2012 a poskytuje následující služby:
Nepovolený, rekurzivní server DNS.
Počítač klienta DNS (volitelný: Není-li používán klient1).
Počáteční konfigurace DNS1 se skládá z následujících kroků:
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na serveru DNS1
Nainstalujte a konfigurujte DNS na DNS1
Volitelné: Nainstalujte monitor sítě na serveru DNS1
Během demonstrační části zkušební laboratoře bude služba DNS1 použita k provádění rekurzivních dotazů DNS, hostiteli důvěryhodnosti pro doménu contoso.com a poskytnutí ověření DNSSEC pro dotazy klientů DNS. Volitelně (pokud se nepoužívá samostatný klientský počítač DNS), DNS1 se použije k vydání dotazů klientů DNS.
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na serveru DNS1
Tip
Níže uvedený postup je shodný s kroky použitými k instalaci operačního systému a konfigurování protokolu TCP / IP na zařízení DC1, s výjimkou, že DNS1 je nakonfigurován s adresou IP 10.0.0.2.
Chcete-li nainstalovat operační systém a konfigurovat protokol TCP / IP na serveru DNS1
Spusťte počítač pomocí disku produktu Windows Server 2012 nebo jiného digitálního média.
Po zobrazení výzvy zadejte kód Product Key, přijměte licenční podmínky, nastavte hodiny, jazyk a regionální nastavení a zadejte heslo pro místní účet správce.
Stiskněte klávesy Ctrl + Alt + Odstranit a přihlaste se pomocí účtu místního správce.
Pokud se zobrazí výzva k povolení Reportingu chyb systému Windows, klepněte na tlačítko Přijmout .
V navigačním podokně Správce serverů klepněte na položku Místní server a potom klepněte na adresu IP vedle kabelového připojení Ethernet . Otevře se ovládací panel Síťová připojení .
V části Síťová připojení klepněte pravým tlačítkem na položku Kabelové připojení Ethernet a potom klepněte na příkaz Vlastnosti .
Poklepejte na položku Internet Protocol verze 4 (TCP / IPv4) .
Na kartě Obecné vyberte možnost Použít následující adresu IP .
Vedle adresy IP typu 10.0.0.2 a vedle typu masky podsítě typu 255.255.255.0 . Není nutné zadat záznam vedle výchozí brány .
Vedle položky Preferovaný server DNS zadejte 10.0.0.1 .
Dvakrát klepněte na tlačítko OK a zavřete ovládací panel Síťová připojení .
Nainstalujte a konfigurujte DNS na DNS1
DNS1 je server člena domény se službou rolí serveru DNS. DNS1 není řadičem domény.
Instalace a konfigurace DNS v DNS1
V navigačním podokně Dashboard Správce serverů klepněte na položku Konfigurovat tento místní server .
V části VLASTNOSTI klepněte na název vedle názvu počítače . Zobrazí se dialogové okno Vlastnosti systému .
Na kartě Název počítače klepněte na tlačítko Změnit a do pole Název počítače zadejte název DNS1 .
V části Člen vyberte doménu , zadejte contoso.com a klepněte na tlačítko OK .
Po zobrazení výzvy k zadání pověření k připojení k doméně zadejte pověření pro účet uživatele1, který byl dříve vytvořen.
Zkontrolujte, zda byly úspěšné změny názvu počítače a domény, klepněte na tlačítko OK a potom klepněte na tlačítko Zavřít .
Po zobrazení výzvy k restartování počítače klepněte na tlačítko Restart Now .
Po restartování počítače se přihlaste pomocí účtu CONTOSO \ user1.
Ve Správci serverů v části Konfigurovat tento místní server klepněte na tlačítko Přidat role a funkce .
V Průvodci přidáním rolí a funkcí klikněte třikrát na tlačítko Další a na rolovací stránce Vybrat server vyberte zaškrtávací políčko Server DNS .
Po zobrazení výzvy k přidání požadovaných funkcí klepněte na tlačítko Přidat funkce .
Klepněte třikrát na tlačítko Další a potom klepněte na tlačítko Nainstalovat .
Počkejte, než se proces dokončení dokončí, ověřte na stránce Průběh instalace, kterou se instalace úspěšně zobrazila na stránce DNS1.contoso.com , a klepněte na tlačítko Zavřít .
Na panelu nabídek Správce serverů klepněte na položku Nástroje a potom klepněte na položku DNS .
Ve stromu konzoly DNS Manager klepněte pravým tlačítkem myši na položku DNS1 a potom klepněte na příkaz Vlastnosti .
Klepněte na kartu předávači , klepněte na tlačítko Upravit , zadejte 10.0.0.1 a potom dvakrát klepněte na tlačítko OK .
Nechte konzolu Správce DNS otevřít.
Volitelné: Nainstalujte monitor sítě na serveru DNS1
Sledování sítě bude použito k zobrazení podrobných informací o dotazy DNS. Instalace monitoru sítě je volitelná v testovací laboratoři. Výsledky analýz síťové dopravy pomocí nástroje Sledování sítě jsou uvedeny v části Výsledky monitorování sítě .
Instalace nástroje Sledování sítě
Stáhněte si nejnovější verzi sledování sítě z webu služby Stažení softwaru: Sledování sítě 3.4 ( http://go.microsoft.com/fwlink/p/?LinkId=103158 ).
Poklepejte na instalační soubor, klepněte na tlačítko Ano po zobrazení výzvy k pokračování klepněte na tlačítko Další , přečtěte si a přijměte licenční smlouvu a potom klepněte na tlačítko Další .
Zvolte Použít Microsoft Update při kontrole aktualizací (doporučeno) a potom klepněte na tlačítko Další .
Zvolte typ úplné instalace a klepněte na tlačítko Nainstalovat .
Klepněte na tlačítko Ano v dialogovém okně Řízení uživatelských účtů .
Klepněte na tlačítko Dokončit a v dialogovém okně Řízení uživatelských účtů klepněte na tlačítko Ano .
Konfigurace DC2
DC2 je počítač se systémem Windows Server 2012 a poskytuje následující služby:
Řadič sekundární domény pro doménu contoso.com Active Directory.
Autoritní server DNS pro zónu DNS contoso.com.
Poznámka
Instalace a konfigurace DC2 se doporučuje, ale je volitelná. DC2 je povinen provést některé, ale ne všechny, kroky v testovací laboratoři. Pokud musíte omezit počet počítačů používaných v testovacím laboratoři, přeskočte kroky k instalaci a konfiguraci DC2. Pro demonstrování replikace služby Active Directory a přenos role Key Master z DC1 na DC2 je vyžadován systém DC2.
Počáteční konfigurace DC2 se skládá z následujících kroků:
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na zařízení DC2
Nainstalujte službu Active Directory a DNS na server DC2
Během ukázkové části zkušební laboratoře bude služba DC2 použita k prokázání replikace služby Active Directory zóny označené DNSSEC a k přenosu role Key Master na server DC1 na jiný autorizovaný server DNS.
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na zařízení DC2
Tip
Následující postup je shodný s kroky použitými k instalaci operačního systému a konfigurování protokolu TCP / IP na zařízení DC1 s výjimkou, že je adresa DC2 konfigurována s adresou IP 10.0.0.3.
Chcete-li nainstalovat operační systém a konfigurovat protokol TCP / IP na zařízení DC2
Spusťte počítač pomocí disku produktu Windows Server 2012 nebo jiného digitálního média.
Po zobrazení výzvy zadejte kód Product Key, přijměte licenční podmínky, nastavte hodiny, jazyk a regionální nastavení a zadejte heslo pro místní účet správce.
Stiskněte klávesy Ctrl + Alt + Odstranit a přihlaste se pomocí účtu místního správce.
Pokud se zobrazí výzva k povolení Reportingu chyb systému Windows, klepněte na tlačítko Přijmout .
V navigačním podokně Správce serverů klepněte na položku Místní server a potom klepněte na adresu IP vedle kabelového připojení Ethernet . Otevře se ovládací panel Síťová připojení .
V části Síťová připojení klepněte pravým tlačítkem na položku Kabelové připojení Ethernet a potom klepněte na příkaz Vlastnosti .
Poklepejte na položku Internet Protocol verze 4 (TCP / IPv4) .
Na kartě Obecné vyberte možnost Použít následující adresu IP .
Vedle adresy IP typu 10.0.0.3 a vedle typu masky podsítě typu 255.255.255.0 . Není nutné zadat záznam vedle výchozí brány .
Vedle položky Preferovaný server DNS zadejte 10.0.0.1 .
Dvakrát klepněte na tlačítko OK a zavřete ovládací panel Síťová připojení .
Nainstalujte službu Active Directory a DNS na server DC2
Kroky k instalaci služby Active Directory a DNS na server DC2 jsou téměř stejné jako u DC1. Všechny kroky jsou uvedeny níže pro úplnost.
Postup instalace služby Active Directory a DNS na server DC2
V navigačním podokně Správce serverů Správce serverů klepněte na položku Konfigurovat tento místní server .
V části VLASTNOSTI klepněte na název vedle názvu počítače . Zobrazí se dialogové okno Vlastnosti systému .
Na kartě Název počítače klepněte na tlačítko Změnit a zadejte příkaz DC2 pod název počítače .
V části Člen vyberte doménu , zadejte contoso.com a klepněte na tlačítko OK .
Po zobrazení výzvy k zadání pověření k připojení k doméně zadejte pověření pro účet uživatele1.
Zkontrolujte, zda byly úspěšné změny názvu počítače a domény, klepněte na tlačítko OK a potom klepněte na tlačítko Zavřít .
Po zobrazení výzvy k restartování počítače klepněte na tlačítko Restart Now .
Po restartování počítače se přihlaste pomocí účtu CONTOSO \ user1.
Ve Správci serverů v části Konfigurovat tento místní server klepněte na tlačítko Přidat role a funkce .
V přidáním rolí a Průvodce Vlastnosti , klepněte na tlačítko Next třikrát, a pak na Vybrat rolí serveru straně vyberte Active Directory Domain Services políčko.
Po zobrazení výzvy k přidání požadovaných funkcí klepněte na tlačítko Přidat funkce .
Klepněte třikrát na tlačítko Další a potom klepněte na tlačítko Nainstalovat .
Čekat na proces instalace dokončit, ověřte na průběh instalace stránku, která požadovanou konfiguraci. Instalace se úspěšně zobrazila na stránce DC2.contoso.com a potom klepněte na tlačítko Zavřít .
Ve Správci serverů klepněte na příznak Oznámení a potom na položku Povýšit tento server na řadič domény .
V Průvodci konfigurací služby Active Directory domény vyberte na stránce Konfigurace zavedení možnost Přidat řadič domény do existující domény , potvrďte, že název zobrazený vedle domény je contoso.com , zadání pověření pro účet CONTOSO \ user1 a klepněte na tlačítko Další .
Na stránce Možnosti řadiče domény zaškrtněte políčka Server DNS (Domain Name System) a Globální katalog (GC) . Zadejte heslo DSRM ( Password Services Restore Mode) vedle hesla Password and Confirm ( Heslo pro potvrzení hesla) , klepněte na tlačítko Další pětkrát a pak klepněte na tlačítko Install .
Potvrďte, že instalace byla úspěšná. Počítač se automaticky restartuje.
Po restartování počítače se přihlaste pomocí pověření CONTOSO \ user1.
Nakonfigurujte klienta1
Client1 je počítač se systémem Windows® 8, který funguje jako klient DNS. Konfigurace klienta1 se skládá z následujících kroků:
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na Client1
Připojte se k klientovi1 do domény contoso.com
Připojte Windows PowerShell k hlavnímu panelu
Během demonstrační části zkušební laboratoře Client1 obdrží nastavení NRPT ze Zásady skupiny a použije k provedení dotazy DNS.
Nainstalujte operační systém a nakonfigurujte protokol TCP / IP na Client1
Chcete-li nainstalovat operační systém a nakonfigurovat protokol TCP / IP na Client1
Spusťte počítač pomocí disku produktu Windows 8 nebo jiného digitálního média.
Po zobrazení výzvy zadejte kód Product Key a přijměte licenční podmínky.
Po zobrazení výzvy k zadání názvu počítače zadejte Client1 a klepněte na tlačítko Další .
Klikněte na možnost Použít výslovná nastavení .
Na stránce Přihlášení k počítači klepněte na tlačítko Nechcete se přihlásit pomocí účtu Microsoft a potom klepněte na položku Místní účet .
Vedle uživatelského jména zadejte uživatel1 , zadejte heslo a heslo a klepněte na tlačítko Dokončit .
Na úvodní stránce zadejte příkaz ncpa.cpl a stiskněte klávesu ENTER . Otevře se ovládací panel Síťová připojení .
V části Síťová připojení klepněte pravým tlačítkem na položku Kabelové připojení Ethernet a potom klepněte na příkaz Vlastnosti .
Poklepejte na položku Internet Protocol verze 4 (TCP / IPv4) .
Na kartě Obecné vyberte možnost Použít následující adresu IP .
Vedle adresy IP typu 10.0.0.4 a vedle typu masky podsítě typu 255.255.255.0 . Není nutné zadat záznam vedle výchozí brány .
Vedle položky Preferovaný server DNS zadejte 10.0.0.2 .
Důležité
Počítač klienta DNS by měl pro tuto zkušební laboratoř používat server DNS bez autorizace. Adresa IP používaná pro preferovaný server DNS by měla odpovídat DNS1 (10.0.0.2), nikoliv server DNS spuštěný na řadiči domény (DC1 nebo DC2).
Dvakrát klepněte na tlačítko OK a zavřete ovládací panel Síťová připojení .
Připojte se k klientovi1 do domény contoso.com
Aby mohl Client1 přijímat nastavení zásad skupiny domény, musí být připojen k doméně contoso.com.
Připojit se ke klientovi1 do domény contoso.com
Klepněte na tlačítko Start , zadejte příkaz sysdm.cpl a stiskněte klávesu ENTER.
V dialogovém okně Vlastnosti systému klepněte na tlačítko Změnit .
Ve skupinovém rámečku Člen vyberte doménu , zadejte contoso.com a klepněte na tlačítko OK .
Po zobrazení výzvy k zadání účtu s oprávněním k připojení k doméně poskytněte pověření účtu CONTOSO \ user1 a klepněte na tlačítko OK .
Potvrďte, že je zobrazena zpráva Vítejte v doméně contoso.com , dvakrát klepněte na tlačítko OK a potom klepněte na tlačítko Zavřít .
Po zobrazení výzvy k restartování počítače klepněte na tlačítko Restart Now .
Po restartování počítače stiskněte klávesy Ctrl + Alt + Delete , klepněte na šipku vlevo, klepněte na položku Jiný uživatel a přihlaste se pomocí pověření pro účet CONTOSO \ user1.
Připojte Windows PowerShell k hlavnímu panelu
Demonstrace DNSSEC na Client1 využívá službu Windows PowerShell k dotazování serverů DNS. Chcete-li, aby byl systém Windows PowerShell snadněji dostupný, připojí se k hlavnímu panelu.
Připojení systému Windows PowerShell k hlavnímu panelu
Na domovské stránce zadejte příkaz powershell , klepněte pravým tlačítkem myši na položku Windows PowerShell a klepněte na tlačítko Pin na panel úloh. Stisknutím klávesy ESC se vrátíte na plochu.
Ověřte, zda je systém Windows PowerShell připojen k hlavnímu panelu.
Demonstrace DNSSEC
U demonstrační části DNSSEC zkušební laboratoře můžete použít DNS1 namísto Client1 k provedení dotazy klientů DNS, pokud není k dispozici počítač Client1. Není-li počítač DC2 k dispozici, musíte některé metody níže přeskočit.
Demonstrace funkce DNSSEC v systému Windows Server 2012 se skládá z následujících postupů:
Požádejte o nepodepsanou zónu bez ověření DNSSEC .
Zapsání zóny na DC1 a distribuci důvěryhodných kotev
Požadovaná podepsaná zóna bez ověření DNSSEC
Požádejte o podepsanou zónu s ověřením DNSSEC .
Zrušte označení zóny a znova zadejte zónu pomocí vlastních parametrů .
Demonstrace neúspěšného ověření .
Demonstruovat replikaci služby Active Directory záznamů o prostředku s protokolem DNSSEC .
Přeneste roli Master Key pro sec.contoso.com do DC2
Požádejte o nepodepsanou zónu bez ověření DNSSEC
Nejprve použijte příkaz cmdlet vyřešit-dnsname k dotazování nepodepsané zóny, pokud není vyžadováno ověření.
Chcete-li dotazovat nepodepsanou zónu bez ověření DNSSEC
V klientském počítači klepněte na panel nástrojů na panel Windows PowerShell , zadejte příkaz cd \ a stiskněte klávesu ENTER.
V případě potřeby spusťte sledování sítě. Zastavte zachycení po vydání následujícího příkazu a uložte zachycení pomocí jména: Capture1 .
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
Tip
Možnost dnssecok ve výše uvedeném příkazu říká serveru DNS, který klient rozumí službě DNSSEC a server může odeslat tyto další záznamy. Vzhledem k tomu, že oblast ještě není podepsána, v odpovědi nejsou zobrazeny žádné záznamy o podpisu (RRSIG).
Ponechejte příkaz Windows PowerShell otevřený pro následující postupy.
Ověření vzdáleného připojení na stránce dc1.sec.contoso.com
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
mstsc /v:dc1.sec.contoso.com
Zadejte heslo pro účet uživatele1 a klepněte na tlačítko OK .
Po zobrazení výzvy k chybě zabezpečení vzdáleného počítače klepněte na tlačítko Ano .
Ověřte, zda se můžete úspěšně připojit k serveru dc1.sec.contoso.com a ukončete vzdálené relaci.
Zapsání zóny na DC1 a distribuci důvěryhodných kotev
Dále podepsat zónu sec.contoso.com a distribuovat důvěryhodnou kotvu pro zónu. Distribuce důvěryhodnosti kotev je ruční pro servery DNS, které nejsou spuštěny na řadičích domény, jako například DNS1. Automatické distribuce důvěryhodnosti kotvy může být povoleno pro servery DNS integrované se službou Active Directory, jako je DC2.
Chcete-li podepsat zónu na kartě DC1
Ve stromu konzoly služby DNS Manager na kartě DC1 přejděte do zóny Forward Lookup> sec.contoso.com .
Klepněte pravým tlačítkem na sec.contoso.com , přejděte na položku DNSSEC a potom klepněte na položku Zapsat zónu .
V Průvodci podepisování zón klepněte na tlačítko Další a poté na možnost Zapsat zónu vyberte možnost Použít doporučená nastavení .
Dvakrát klikněte na tlačítko Další , potvrďte, že se zobrazí Zóna úspěšně podepsaná a klepněte na tlačítko Dokončit .
Aktualizujte konzolu služby DNS Manager a ověřte, zda je pro zónu sec.contoso.com zobrazena nová ikona, která označuje, že je aktuálně podepsána s DNSSEC.
Klepněte na zónu sec.contoso.com a zkontrolujte nové záznamy o prostředcích, které jsou k dispozici, včetně záznamů DNSKEY, RRSIG a NSEC3.
Nechte konzolu Správce DNS otevřít.
Rozdělit důvěryhodnou kotvu na DNS1
V DC1 klepněte na Průzkumník Windows na hlavním panelu.
Přejděte do složky C: \ Windows \ System32 , klepněte pravým tlačítkem myši na složku dns , přejděte na položku Sdílet a potom klepněte na položku Rozšířené sdílení .
V DNS Vlastnosti dialogovém okně klepněte na tlačítko Rozšířené možnosti sdílení , vyberte Sdílet tuto složku políčko, ověřte název Share je dns a potom klepněte na tlačítko OK .
Klepněte na tlačítko Zavřít a zavřete Průzkumník Windows.
Na DNS1 ve stromu konzoly DNS Manager přejděte do složky Trust Points .
Klepněte pravým tlačítkem myši na body důvěryhodnosti , přejděte na příkaz Import a klepněte na tlačítko DNSKEY .
V dialogovém okně Import DNSKEY zadejte \\ dc1 \ dns \ keyset-sec.contoso.com a klepněte na tlačítko OK .
Ověřit důvěryhodné kotvy
Ve stromu konzoly přejděte na položku Trust Points> com> contsoso> sec a ověřte, zda je import úspěšný.
Tip
Zobrazí se dva body důvěryhodnosti služby DNSKEY, jedna pro aktivní tlačítko a druhá pro tlačítko pohotovostního režimu.
Na libovolném počítači klepněte na položku Windows PowerShell , zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname –name sec.contoso.com.trustanchors –type dnskey –server dns1
Ověřte, zda jsou zobrazeny dvě kotevní důvěry.
Na serveru DNS1 klepněte pravým tlačítkem myši na položku Windows PowerShell a potom klepněte na příkaz Spustit jako správce .
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
get-dnsservertrustanchor sec.contoso.com
Ověřte, zda jsou zobrazeny dvě kotevní důvěry.
Odstraňte a znovu distribuujte důvěryhodné kotvy pomocí systému Windows PowerShell
V okně DNS1 v okně Správce Windows PowerShell zadejte následující příkaz a dvakrát stiskněte klávesu ENTER:
kopírovat
remove-dnsservertrustanchor –name sec.contoso.com
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
get-dnsservertrustanchor sec.contoso.com
Ověřte, zda je zobrazeno "Nezdařilo se výčet důvěryhodných kotev".
Zadejte následující příkaz a dvakrát stiskněte klávesu ENTER:
kopírovat
remove-dnsserverzone –name trustanchors
Důležité
Trustanchors zóna je odstraněna použitím odstranit, dnsserverzone rutinu, takže lze prokázat, že doplněk dnsserverprimaryzone rutiny. Obvykle se po odstranění důvěryhodných kotev nepotřebuje odstranit a obnovit zónu trustanchors .
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
add-dnsserverprimaryzone –computername dns1 trustanchors –zonefile trustanchors.dns
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
get-dnsserverresourcerecord –zonename sec.contoso.com –rrtype dnskey –computername dc1 | %{ $_.recorddata | add-dnsservertrustanchor -name sec.contoso.com }
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
get-dnsservertrustanchor sec.contoso.com
Ověřte, zda jsou znovu zobrazeny dvě kotevní důvěry.
Distribuovat důvěryhodnou kotvu do DC2
V DC1 ve stromu konzoly DNS Manager přejděte do oblasti Forward Lookup Zones> sec.contoso.com .
Klepněte pravým tlačítkem myši na sek.contoso.com , přejděte na položku DNSSEC a potom klepněte na příkaz Vlastnosti .
Klikněte na kartu Trust Anchor .
Zaškrtněte políčko Povolit distribuci důvěryhodných kotev pro tuto zónu a klepněte na tlačítko OK .
Po zobrazení výzvy k potvrzení změn v zóně klepněte na tlačítko Ano .
Po zobrazení výzvy, zda byla konfigurace úspěšná, klepněte na tlačítko OK .
Na serveru DC2 obnovte zobrazení v nástroji DNS Manager a potvrďte, že jsou k dispozici důvěryhodné kotvy pro sec.contoso.com.
Důležité
Možná budete muset počkat několik minut, než se replikace na DC2 vyskytne.
Požadovaná podepsaná zóna bez ověření DNSSEC
Další informace související s protokolem DNSSEC se zobrazují pro podepsané záznamy o prostředcích. Porovnejte výsledky dotazu pro dc1.contoso.com s výsledky dotazů pro dc1.sec.contoso.com, pokud je to potřeba.
Chcete-li dotazovat podepsanou zónu bez ověření DNSSEC
V případě potřeby spusťte sledování sítě. Zastavte zachycení po vydání následujícího příkazu a uložte zachycení pomocí názvu: Capture2 .
Do pole Client1 na výzvu Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
Chcete-li ověřit, zda není v současné době vyžadováno ověření DNSSEC, zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
get-dnsclientnrptpolicy
Ujistěte se, že v klientském počítači se aktuálně nepoužívá žádná politika NRPT pro jmenný prostor sec.contoso.com.
Ponechejte výzvu Windows PowerShell otevřené.
Požádejte o podepsanou zónu s ověřením DNSSEC
Tabulka zásad pro rozlišení názvu (NRPT) se používá k vyžadování ověření DNSSEC. Program NRPT lze nakonfigurovat v místní zásadě skupiny pro jeden počítač nebo zásady skupiny domény pro některé nebo všechny počítače v doméně. Následující postup používá skupinové zásady domény.
Požadovat ověření DNSSEC
V DC1 na panelu nabídek Správce serverů klepněte na položku Nástroje a potom na položku Správa zásad skupiny .
Ve stromu konzoly Správa zásad skupiny v části Domény> contoso.com> Zásady skupiny objektů klepněte pravým tlačítkem myši na položku Výchozí zásady domény a potom klepněte na tlačítko Upravit .
Ve stromu konzoly Editoru správy zásad skupiny přejděte do části Konfigurace počítače> Zásady> Nastavení systému Windows> Zásady pro rozlišení názvů .
V podokně podrobností, pod položkou Vytvořit pravidla a Do které části oboru názvů se toto pravidlo vztahuje , zvolte v rozevíracím seznamu možnost Suffix a zadejte příkaz sec.contoso.com vedle položky Suffix .
Na DNSSEC kartě, vyberte Enable DNSSEC v tomto pravidle políčko a pak pod validaci vyberte klientů DNS vyžadovat ke kontrole těchto dat jméno a adresa byla ověřena podle serveru DNS políčko.
V pravém dolním rohu klepněte na tlačítko Vytvořit a ověřte, zda bylo do tabulky zásad pro rozlišení názvu přidáno pravidlo sec.contoso.com .
Klepněte na tlačítko použít a potom zavřete Editor zásad skupiny.
V DC1 zadejte následující příkazy do příkazového řádku systému Windows PowerShell a stiskněte klávesu ENTER:
kopírovat
gpupdate /force
get-dnsclientnrptpolicy
Ověřte, zda aktualizace počítače a uživatelské politiky byly úspěšné a zda hodnota DnsSecValidationRequired je pravdivá pro obor názvů .sec.contoso.com .
Opakujte aktualizaci zásad skupiny (gpupdate / force) a ověřte zásadu NRPT na klienta1.
Chcete-li dotazovat podepsanou zónu s ověřením DNSSEC, je nutné
V případě potřeby spusťte sledování sítě. Zastavte zachycení po vydání následujícího příkazu a uložte zachycení pomocí názvu: Capture3 .
V klientském počítači 1 v příkazovém řádku systému Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
Potvrďte, že stejné výsledky jsou vráceny jako předtím, než bylo vyžadováno ověření. Vzhledem k tomu, že na DNS1 je k dispozici platná kotva důvěryhodnosti, je dotaz úspěšný, i když je vyžadováno ověření.
Dotazování záznamů DNSSEC v zóně sec.contoso.com
Před nepodpisováním a opětovným podepsáním zóny můžete zadat některé dotazy pro záznamy DNSSEC. Tyto typy dotazů mohou být užitečné při odstraňování problémů s DNSSEC.
Chcete-li dotazovat záznamy DNSSEC v zóně sec.contoso.com
V klientském počítači 1 v příkazovém řádku systému Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname –name dc1.sec.contoso.com –type soa –server dns1 -dnssecok
V klientském počítači 1 v příkazovém řádku systému Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname –name sec.contoso.com –type dnskey –server dns1 -dnssecok
Tip
Chcete-li vidět syntaxi pro řešení-dnsname včetně všech možných hodnot parametru Type , zadejte příkaz get-help resolve-dnsname .
Zrušte označení zóny a znova zadejte zónu pomocí vlastních parametrů
Podpis DNSSEC bude odebrán z zóny sec.contoso.com a zóna bude opětovně podepsána pomocí vlastních parametrů DNSSEC.
Chcete-li zónu zrušit
V DC1 ve stromu konzoly DNS Manager přejděte do oblasti Forward Lookup Zones> sec.contoso.com .
Klepněte pravým tlačítkem myši na sec.contoso.com , přejděte na položku DNSSEC a potom klepněte na příkaz Odhlásit zónu .
V průvodci Zrušení přihlášení klepněte na tlačítko Další .
Ověřte, zda je zóna úspěšně nepodepsána , a klepněte na tlačítko Dokončit .
Obnovte zobrazení v nástroji DNS Manager a ověřte, že zóna sec.contoso.com již neobsahuje záznamy podepsané protokolem DNSSEC a ikona vedle zóny označuje, že není aktuálně podepsána.
Znovu zadejte zónu s vlastními parametry
V DC1 klepněte pravým tlačítkem myši na sek.contoso.com , přejděte na položku DNSSEC a potom klepněte na položku Zapsat zónu .
V Průvodci podepisování zón klepněte na tlačítko Další .
Přizpůsobení parametrů podepisování zóny je standardně zvoleno. Klepněte na tlačítko Další .
Na klíč mistr stránky, DNS server DC1 je klíč mistr je vybrána ve výchozím nastavení, protože zóna podepisování je prováděno na DC1.
Pokud jste v této zkušební laboratoři nakonfigurovali protokol DC2, volby možností kontroly jsou k dispozici, pokud zvolíte jiný primární server jako Master Key . Nevybírejte tuto možnost, ale ověřte, že dc2.contoso.com je také k dispozici jako možný Key Master pro tuto zónu. Jakmile budete upozorněni, že budou načteny všechny autorizační servery schopné podepisování online DNSSEC, klepněte na tlačítko Ano .
Ujistěte se, že DC1 je vybrán jako Master Key a poté dvakrát klepněte na tlačítko Další .
Na stránce Key Signing Key (KSK) klepněte na existující KSK (s délkou klíče 2048) a potom klepněte na tlačítko Odebrat .
Chcete-li přidat nový kód KSK, klepněte na tlačítko Přidat .
V dialogovém okně Nový klíč k podepisování klíčů (KSK) v části Vlastnosti klíče klepněte na rozbalovací nabídku vedle kryptografického algoritmu a vyberte položku RSA / SHA-512 .
Ve skupinovém rámečku Vlastnosti klíče klepněte na rozbalovací nabídku vedle délky klíče (Bits) a vyberte 4096 a klepněte na tlačítko OK .
Klepněte na tlačítko Další, dokud se nepodařilo nakonfigurovat následující parametry pro signování zóny .
Zkontrolujte parametry, které jste vybrali, a poté klepněte na tlačítko Další a spusťte proces podepisování zón.
Potvrďte, že je zobrazena úspěšně podepsaná zóna , klepněte na tlačítko Dokončit a obnovte zobrazení v nástroji DNS Manager a ověřte, zda je zóna znovu podepsána.
Obnovte zobrazení složky důvěryhodných bodů a ověřte, zda jsou přítomny nové body důvěryhodnosti služby DNSKEY, které používají algoritmus RSA / SHA-512.
Na výzvě Správce systému Windows PowerShell zadejte následující příkazy a stiskněte klávesu ENTER:
kopírovat
Get-dnsservertrustanchor –name sec.contoso.com –computername dns1
Get-dnsservertrustanchor –name sec.contoso.com –computername dc1
Get-dnsservertrustanchor –name sec.contoso.com –computername dc2
Všimněte si, že DC1 a DC2 používají nové důvěryhodné kotvy, ale DNS1 má staré důvěryhodné kotvy. Možná budete muset počkat několik minut k automatické distribuci nových důvěryhodných kotev do DC2.
Demonstrace neúspěšného ověření
Protože důvěryhodná kotva, která byla distribuována na DNS1, již není platná, ověření DNSSEC selže, když jsou záznamy o prostředku dotazovány v zóně sec.contoso.com.
Prokázat neúspěšnou validaci
Na serveru DNS1 zobrazte aktuálně nainstalované body důvěryhodnosti pro sec.contoso.com a ověřte, zda je k dispozici stará kotva důvěryhodnosti, která používá algoritmus RSA / SHA-1.
Chcete-li vyprázdnit mezipaměť serveru DNS, klepněte pravým tlačítkem myši na položku DNS1 a potom klepněte na příkaz Vymazat mezipaměť .
V případě potřeby spusťte sledování sítě. Zastavte zachycení po vydání následujícího příkazu a uložte zachycení pomocí názvu: Capture4 .
Na klientském počítači zadejte následující příkaz příkazového řádku systému Windows PowerShell a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
Důležité
Automatické aktualizace důvěryhodných kotev na neautoritativním ověřovacím serveru DNS (podle RFC 5011) probíhá pouze při převzetí klíčů. Pokud nepodepíšete a znova podepisujete zónu ručně novými klíči, musíte také ručně rozdělit novou kotvu důvěry. Pokud ověřující server DNS má nesprávnou kotvu důvěryhodnosti, dotazy DNS, které vyžadují ověření, signalizují selhání serveru. Pokud není kotevní důvěryhodnost, dotazy se také zdají neúspěšné ověření. Jelikož není kotevní důvěryhodnost, server se nepokouší ověřit odpověď. V tomto scénáři je zobrazena nezabezpečená paketová chyba:
Prokázat nezabezpečenou odpověď
Na serveru DNS1 na výzvě Správce systému Windows PowerShell zadejte následující příkaz a dvakrát stiskněte klávesu ENTER:
kopírovat
remove-dnsservertrustanchor sec.contoso.com
V případě potřeby spusťte sledování sítě. Zastavte zachycení po vydání následujícího příkazu a uložte zachycení pomocí jména: Capture5 .
Zadejte následující příkaz a stiskněte klávesu ENTER:
kopírovat
resolve-dnsname –name dc1.sec.contoso.com –server dns1 -dnssecok
Demonstrace selhání vzdálené plochy
Vzhledem k selhání ověření DNSSEC se nemůžete připojit k serveru dc1.sec.contoso.com pomocí funkce Vzdálená plocha.
Demonstrace selhání vzdálené plochy
Na klientském počítači zadejte následující příkazy do příkazového řádku systému Windows PowerShell a stiskněte klávesu ENTER:
kopírovat
ipconfig /flushdns
mstsc /v:dc1.sec.contoso.com
Ověřte, že služba Vzdálená plocha nemůže najít počítač "dc1.sec.contoso.com" .
Demonstruovat replikaci služby Active Directory záznamů o prostředku s protokolem DNSSEC
Když jsou servery DNS integrovány se službou Active Directory, důvěryhodné kotvy a záznamy podepsaných prostředků se automaticky aktualizují, i když je zóna nepodepsána a ručně znovu podepsána.
Chcete-li demonstrovat replikaci služby Active Directory registrované záznamy o prostředku DNSSEC
Na kartě DC2 v aplikaci Správce DNS zobrazte obsah složky Trust Points . V případě potřeby aktualizujte zobrazení, abyste mohli zobrazit aktuální kotvy důvěry.
Ověřte, zda kotvy DNSKEY důvěryhodnosti pro sec.contoso.com jsou automaticky aktualizovány, aby byly použity algoritmy RSA / SHA-512 .
Ve stromu konzoly služby DNS Manager klepněte na položku Globální protokoly> Události DNS a zkontrolujte ID události 7653, které uvádí, že server DNS zjistil, že parametry podepisování zóny pro zónu sec.contoso.com byly změněny a zóna bude znovu podepsána. Po dokončení podepisování zóny se nezobrazí žádná událost.
Klepněte na položku Prohledávací zóny> sec.contoso.com ve stromu konzoly a ověřte, zda jsou přítomny záznamy DNSKEY se zabezpečeným vstupním bodem, které používají algoritmus RSA / SHA-512 .
V DC1 v nástroji DNS Manager přidejte nový záznam hostitele (A) pro dns1.sec.contoso.com s adresou IP 10.0.0.2.
Obnovte zobrazení v nástroji DNS Manager a ověřte, zda je automaticky vytvořen záznam RR Signature (RRSIG) pro dns1.
Na serveru DC2 obnovte zobrazení v nástroji DNS Manager a ověřte, že nový podepsaný záznam byl replikován na tento server.
Tip
Přidání nebo úprava existujících záznamů v zóně nespustí opětovné podepisování zón. Pouze nové nebo aktualizované záznamy o prostředcích jsou podepsány s aktualizovaným záznamem o autoritě (SOA) pro danou zónu.
Přeneste roli Master Key pro sec.contoso.com do DC2
Pokud může být nutné převést roli Key Master pro zónu na jiný server DNS. Přenos rolí lze provádět z jakéhokoli autorizovaného serveru DNS a současný Key Master může být online nebo offline. V následujícím příkladu je aktuální klíčový klíč online.
Přenesení role Key Master pro sec.contoso.com na DC2
Na kartě DC1 nebo DC2 v nástroji DNS Manager klepněte pravým tlačítkem myši na zónu sec.contoso.com , přejděte na položku DNSSEC a potom klepněte na příkaz Vlastnosti .
Na kartě Klíčové klávesy vyberte jako klíčový klíč použít následující server DNS .
Klepněte na rozbalovací seznam a po upozornění, že budou načteny všechny autorizační servery DNS, klepněte na tlačítko Ano .
Zvolte dc2.contoso.com ze seznamu a klepněte na tlačítko OK .
Jakmile budete upozorněni, že se změní nastavení klíče klíče, klepněte na tlačítko Ano .
Ověřte, zda je klíč Master pro zónu sec.contoso.com úspěšně aktualizován .
Ověřte, zda je ID události DNS 7649 zobrazeno v novém Key Master a ID události DNS 7648 je zobrazena na předchozím Key Master.
Dodatek: Výsledky monitorování sítě
Následující části poskytují informace o výsledcích sledování sítě (netmon) zachycují se během demonstrační části DNSSEC testovací laboratoře. Analýza síťového provozu využívá zobrazení Konverzace v síti , Shrnutí rámce a Podrobnosti rámce .
Výsledky zachycení paketů
Ve všech testovacích laboratořích se zobrazují dvě konverzace sítě IPv4. Konverzace sítě IPv4 obsahují dotazy týkající se dns1.contoso.com a dc1.sec.contoso.com . Dotazy na dc1.sec.contoso.com bude rovněž zahrnovat A záznam dotazů a AAAA záznam dotazů. Pro účely zkušební laboratoře můžete ignorovat síťovou konverzaci IPv6 a všechny dotazy pro záznamy hostitele pro dotazy dns1.contoso.com a AAAA pro dc1.sec.contoso.com. Zobrazená dvě konverzace sítě IPv4 jsou:
10.0.0.4 - 10.0.0.2 : Výměna paketů mezi Client1 (10.0.0.4) a DNS1 (10.0.0.2). Vyhledejte dotaz hostitele (A) pro dc1.sec.contoso.com. Ve skupinovém rámečku Přehled rámce jsou dvě fáze , jedna se zdrojem klienta1 a druhá s zdrojem DNS1. Vyhledejte pakety se zdrojem DNS1 (s cílem = Client1).
Důležité upozornění v této konverzaci v síti jsou:
V Podrobnosti Frame pod DNS \ Flags se AuthenticatedData (AD) vlajka bude zapnuto ( „1“) nebo vypnout ( „0“) v závislosti na tom, zda informace, které bylo vráceno byl ověřen jako autentický.
V Podrobnosti Frame , pod DNS \ Flags \ arecord data RRSIG je vrácena, pokud je zóna podepsána tak dlouho, dokud hodnota RCODE pod DNS \ Flags je úspěch .
10.0.0.2 - 10.0.0.1 : Výměna paketů mezi DNS1 (10.0.0.2) a DC1 (10.0.0.1).
Věc, které je třeba poznamenat, jsou:
V části Podrobnosti rámce pod položkou Dns \ Flags \ ARecord vydává DNS1 dotaz na sec.contoso.com typu DNSKEY, pokud je na DNS1 přítomna kotva důvěryhodnosti.
Pokud jste spustili, zastavili a uložili síťovou konverzaci v každém z doporučených bodů v příručce, budete mít následující snímky:
Zachytit název souboru
Zóna byla podepsána
Potřebné ověření
AD bit
Žádost DNSKEY
Capture1
Ne
Ne
0
Ne
Capture2
Ano (bez TA)
Ne
0
Ne
Capture3
Ano (platný TA)
Ano
1
Ano
Capture4
Ano (neplatná TA)
Ano
0
Ano
Capture5
Ano (bez TA)
Ano
0
Ne