Paano i -configure ang DNSSEC sa Windows Server

Mga extension ng Security ng Security ng Domain o ang DNSSEC ay isang koleksyon ng mga extension upang ma -secure ang DNS protocol. Ito ay isa sa mga pamamaraan upang maprotektahan ang server ng DNS, kasama ang Pag -lock ng cache ng DNS at DNS Socket Pool . Gumagamit ito ng mga pirma ng cryptographic upang mapatunayan ang mga tugon ng DNS upang maprotektahan ang iyong system. Sa post na ito, makikita namin kung paano mo magagawa I -configure ang DNSSEC sa Windows Server

I -configure ang DNSSEC sa Windows Server

Dnssec Pinahusay ang seguridad ng DNS sa pamamagitan ng paggamit ng mga pirma ng cryptographic upang mapatunayan ang mga tugon ng DNS, tinitiyak ang kanilang pagiging tunay at integridad. Pinoprotektahan ito laban sa mga karaniwang banta tulad ng DNS spoofing at cache tampering, na ginagawang mas maaasahan ang imprastraktura ng DNS. Sa pamamagitan ng pag-sign ng mga zone ng DNS, ang DNSSEC ay nagdaragdag ng isang layer ng pagpapatunay nang hindi binabago ang pangunahing mekanismo ng pagtugon sa query. Tinitiyak nito na ang data ng DNS ay nananatiling ligtas sa panahon ng paghahatid, na nagbibigay ng isang mapagkakatiwalaang kapaligiran para sa mga gumagamit at organisasyon. Dahil ang aming pangunahing layunin ay upang ma -secure ang iyong DNS server, pupunta kami upang i -configure hindi lamang DNSSEC, kundi pati na rin ang DNS socket pool at DNS cache locking.

Upang i -configure ang DNSSEC, DNS socket pool, at pag -lock ng cache ng DNS, maaari mong sundin ang mga hakbang na nabanggit sa ibaba.

1. I -configure ang DNSSEC
2. I -configure ang Patakaran sa Grupo
3. DNS Socket Pool
4. Pag -lock ng cache ng DNS

Pag -usapan natin ang mga ito nang detalyado.

1] I -configure ang DNSSEC

Magsimula muna tayo sa pamamagitan ng pag -set up ng DNSSEC sa aming domain controller. Upang gawin ito, kailangan mong sundin ang mga hakbang na nabanggit sa ibaba.

1. Buksan ang  Server Manager.
2. Pagkatapos, pumunta sa  Mga tool> dns.
3. Palawakin ang server, pagkatapos  Forward lookup zone,  Mag-right-click sa domain controller, at piliin DNSSEC> I -sign ang zone .
4. Kapag ang  Zone Pag -sign Wizard  Lumilitaw, mag -click sa Susunod.
5. Piliin I -customize ang mga parameter ng pag -sign ng zone  at mag -click sa Susunod.
6. Kung ikaw ay nasa  Key Master  Window, tik Ang DNS Server Cloud-Server ay napili bilang Key Master,  at mag -click sa Susunod.
7. Kapag nasa Key Signing Key (KSK) Interface,  Mag -click sa Idagdag.
8. Pumunta sa mga pagpipilian, at kailangan mong punan nang tama ang lahat ng mga patlang. Kailangan mong punan ito ayon sa mga kinakailangan ng iyong samahan at pagkatapos ay idagdag ang susi.
9. Kapag naidagdag, mag -click sa Susunod.
10. Pagkatapos mong maabot ang Zone Pag -sign Key (ZSK)  Pagpipilian, mag -click sa Idagdag, Punan ang Form, at I -save. Mag -click sa Susunod.
11. Sa Susunod na Secure (NSEC)  screen, punan ang mga detalye. Ang NSEC (Susunod na Secure) ay isang tala ng DNSSEC na ginamit upang patunayan ang hindi pagkakaroon ng isang pangalan ng domain sa pamamagitan ng pagbibigay ng mga pangalan na darating bago at pagkatapos nito sa DNS zone, tinitiyak na ang tugon ay napatunayan at tamper-proof.
12. Kapag ikaw ay nasa TA screen, tik Paganahin ang pamamahagi ng mga tiwala na anchor para sa tseke ng zone na ito  at  Paganahin ang awtomatikong pag -update ng mga tiwala na anchor sa key rollover  Mga checkbox. Mag -click sa Susunod.
13. Sa Mga parameter ng pag -sign at botohan Screen, ipasok ang mga detalye ng DS, at mag -click sa Susunod.
14. Sa wakas, dumaan sa buod at mag -click sa Susunod.
15. Kapag nakuha mo ang matagumpay na mensahe, mag -click sa Tapos na.

Matapos i -configure ang zone, kailangan mong puntahan  Trust Point> Ae> Pangalan ng Domain  sa manager ng DNS upang kumpirmahin.

2] I -configure ang Patakaran sa Grupo

Matapos i -configure ang zone, kailangan nating gumawa ng ilang mga pagbabago sa aming patakaran sa domain gamit ang utility ng pamamahala ng patakaran ng pangkat. Upang gawin ito, sundin ang mga hakbang na nabanggit sa ibaba.

1. Buksan ang  Pamamahala ng Patakaran sa Grupo  programa
2. Ngayon, kailangan mong puntahan  Kagubatan: Windows.ae> Domain> Windows.ae> Mag-right click sa default na patakaran ng domain,  at piliin ang I -edit.
3. Mag -navigate sa Pag -configure ng Computer> Mga Patakaran> Mga Setting ng Windows> Mag -click sa Patakaran sa Paglutas ng Pangalan sa editor ng pamamahala ng patakaran ng pangkat.
4. Sa kanang pane, sa ilalim Lumikha ng mga patakaran , ipasok Windows.ae Sa kahon ng suffix upang mailapat ang panuntunan sa suffix ng namespace.
5. Suriin pareho Paganahin ang DNSSEC sa panuntunang ito at Nangangailangan ng mga kliyente ng DNS upang mapatunayan ang data at data ng address Mga kahon, pagkatapos ay i -click Lumikha Upang tapusin ang panuntunan.

Iyon ay kung paano mo mai -configure ang DNSSEC. Gayunpaman, ang aming trabaho ay hindi tapos na. Upang ma -secure ang aming server, dapat nating i -configure ang DNS socket pool at pag -lock ng cache ng DNS

3] DNS Socket Pool

Pinahuhusay ng DNS Socket Pool ang seguridad ng DNS sa pamamagitan ng paggawa ng mga mapagkukunan ng random para sa mga papalabas na query, na ginagawang mas mahirap para sa mga umaatake upang mahulaan at mapagsamantalahan ang mga transaksyon. Kailangan mong magbukas  PowerShell  bilang isang admin at patakbuhin ang sumusunod na utos.

Get-DNSServer

O

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Kailangan mong suriin  Socketpoolsize  Upang malaman ang kasalukuyang laki ng pool.

Ang aming layunin ay upang madagdagan ang laki ng socket; Ang mas malaki ang halaga, mas mahusay ang proteksyon. Upang gawin ito, kailangan mong patakbuhin ang sumusunod na utos.

Tandaan: Ang halaga ay maaari lamang sa pagitan ng 0 - 10000.

I -restart ang iyong server ng DNS, at magiging mahusay kang pumunta.

4] DNS Cache Locking

Pinipigilan ng pag -lock ng DNS ang mga tala ng DNS mula sa pagiging overwritten sa kanilang TTL, tinitiyak ang integridad ng data at proteksyon laban sa pagkalason sa cache. Kailangan nating patakbuhin ang sumusunod na utos upang suriin ang halaga.

Dapat itong 100; Kung hindi, patakbuhin ang utos na nabanggit sa ibaba upang itakda ito sa 100.

sap ides install

Set-DnsServerCache –LockingPercent 100

Kung gagawin mo ang mga hakbang na ito, magiging ligtas ang iyong DNS server.

Basahin:  Kung paano baguhin ang server ng DNS na may command prompt o powerhell

Sinusuportahan ba ng Windows Server ang DNSSEC?

Oo, sinusuportahan ng Windows Server ang DNSSEC at pinapayagan kang i -configure ito upang ma -secure ang mga zone ng DNS. Gumagamit ito ng mga digital na lagda upang mapatunayan ang mga tugon ng DNS at maiwasan ang mga pag -atake tulad ng spoofing. Maaari mong paganahin ang DNSSEC sa pamamagitan ng DNS Manager o PowerShell na utos.

Basahin:  Paganahin at i -configure ang DNS Aging & Scavenging sa Windows Server

Paano ko mai -configure ang DNS para sa windows server?

Upang i -configure ang DNS sa Windows Server, kailangan nating i -install muna ang papel ng DNS Server. Kapag tapos na, kailangan nating magtalaga ng isang static na IP address at i -configure ang entry sa DNS. Inirerekumenda namin na suriin mo ang aming gabay sa kung paano I -install at i -configure ang DNS sa Windows Server.

Basahin din: Baguhin ang mga setting ng DNS sa Windows 11 madali.