• Startseite
• Microsoft
  • Windows 11
  • Windows 10
  • Windows 8 / 8.1
  • Windows 7
  • Vista
  • WinXP
  • Windows Server
  • Aktive-Directory
  • Exchange Server
  • Microsoft 365
  • Windows Hyper-V
  • FAQs
  • FAQs - Windows Updates
  • FAQs - LAN
  • Windows IPv6
  • Edge / Internet-Explorer
  • WinPE
  • Kommandozeile
  • PowerShell
  • Scripte
  • Windows Subsystem for Linux
  • Windows Tasten und Verzeichnisse
  • Registry
  • Windows 9x
• Linux
  • Linux_Befehle
  • Programme_einrichten
  • Linux_System
  • Firewall
  • Shell_Scripte
  • FAQs
  • Debian
  • ubuntu
  • ArchLinux
  • OpenSUSE
  • RedHat/Feudora
  • Solus
• andere Betriebssysteme
  • Übersicht
  • NAS / ISCSI
  • Firewall
  • Security
  • Solaris
  • Novell
  • Mac OSX
  • Übersicht
  • BSD FAQs
  • OpenBSD
  • FreeBSD
• Software
  • diverse Software
  • Tobit DvISE
  • Virtualisierung
  • Emulatoren
  • SQL-Server
  • CMS
  • Groupware
  • DMS
  • Cloud-Dienste
  • VoIP
• Hardware
  • diverse Hardware
  • Router / WLAN
  • NAS
  • Mobile Device
  • UEFI
• TCP/IP
  • TCP/IP
  • Subnetting
  • IPv6
  • VoIP
  • Shell Verbindungen
  • VLAN einrichten
• Security Tipps
• Kabelbelegung
  • Ethernet
  • Telefon
  • serielle / V24
  • Mouse / Tastatur
  • paralell
  • SATA
  • SCSI
  • Power
  • USB
  • FireWire
  • Modem / Nullmodem
  • Monitor
  • Kabellängen
• DNS Suffix
• Begriffserläuterung
• sonstiges
  • sonstiges
  • Suchmaschinen
  • ADSL-Tips
  • Suche

Windows Server

---

Navigation:

• DNSSEC
• sonstiges

Links:
 

DNSSEC

Das die DNS-Daten durch den DNS-Server validiert werden können, ist es nötig den Vertrauensanker (Trust Anchor) einzurichten. Das ist der öffentliche DNSSEC-Schlüssel einer DNS-Domain, sowie der Vertrauensanker der DNS-Root-Zone. Durch den DNS-Server können mehrere Vertrauensanker verwaltet werden, wenn auf dem DNS mehrere DNS-Domains vorhanden sind.

- laden der Vertrauensanker der DNS-Root-Zone

Windows Server 2012

dnscmd.exe /RetrieveRootTrustAnchors

Windows Server 2016

dnscmd.exe localhost /RetrieveRootTrustAnchors /f

- DNSSEC Aktivierung des DNS-Servers prüfen

Get-DnsServerSetting -All | fl EnableDnsSec
EnableDnsSec : True

wenn EnableDnsSec auf False steht, mit folgenden Befehl aktivieren

$a = Get-DnsServerSetting -All
$a.EnableDnsSec = 1
$a | Set-DnsServerSetting

- Aktivierung des Vertrauensankers anzeigen

Get-DnsServerTrustPoint
TrustPointName                           TrustPointState      LastActiveRefreshTime     NextActiveRefreshTime
--------------                           ---------------      ---------------------     ---------------------
.                                        Active               01.01.2018 00:00:00       02.01.2018 00:00:00

- Vertrauensanker anlegen

Add-DnsServerTrustAnchor -Root

- Root Vertrauensanker URL anzeigen und Cache löschen

(Get-DnsServerSetting -All).RootTrustAnchorsURL
Clear-DnsServerCache -Force

- Validierung prüfen

nslookup www.dnssec.works ::1
...
Name:    www.dnssec.works
Addresses:  2a01:198:2b6:1000:203:2dff:fe29:8424
          5.45.109.212

werden die IP-Adressen der Domain angezeigt ist alles Ok, bei einer fehlerhaft signierten Domain werden keine IP-Adressen zurückgeliefert. Wie im folgenden Beispiel.

nslookup fail01.dnssec.works ::1
...
*** fail01.dnssec.works wurde von UnKnown nicht gefunden: Server failed.

 

Fehlersuche

Wenn die folgende Meldung gezeigt wird, beim Versuch den Vertrauensanker (Trust Anchor) zu laden, ist DNSSEC auf dem Server deaktiviert

Fehler bei Befehl:  DNS_ERROR_INVALID_ZONE_OPERATION     9603    0x2583

 

sonstiges