签名区域

　　DNSSEC同样对区域签名，使用的是dnscmd.exe工具离线签名，结果会生成签名区域文件，该签名区域文件包含RRSIG、DNSKEY、DNS和NSEC资源数据记录。如果区域被签名，该区域还必须使用dnscmd.exe工具或者DNS 管理器控制台进行重新加载。

　　对区域签名的一个限制是动态更新将被禁用。Windows Server 2008 R2仅限DNSSEC用于静态区域，只要区域发生任何变化，每次都必须重新签名，这可能会严重影响DNSSEC在很多环境的应用。

　　信任锚的作用

　　DNSKEY资源记录用于支持信任锚，验证DNS服务器必须包括至少一个信任锚。信任锚同样适用于签名区域，如果DNS服务器承载几个区域，那么必须使用多个信任锚。

　　只要区域中部署了信任锚，DNSSEC就能使DNS服务器为客户端请求中的名称执行验证。客户端不需要知道这种DNSSEC验证，所以不清楚DNSSEC验证的客户端能够继续使用这个DNS服务器来解析局域网中的名称。

　　NSEC和NSEC3

　　NSEC和NSEC3是可以用于为DNS记录提供认证否定存在的有效方法，NSEC3是原来 NSEC的升级版，允许我们防止“区域走动”，即防止攻击者重新获取DNS区域的所有名称。这是攻击者用于侦察网络的有力工具，这种功能在Windows Server 2008 R2中不支持，仅支持NSEC。

　　以下是对NSEC3的有限支持：

　　Windows Server 2008 R2可以承载有NSEC3代表的NSEC区域，但NSEC3子区域并不在windows DNS服务器上。

　　Windows Server 2008 R2可以作为非授权DNS服务器，为NSEC签名并有NSEC3子区的区域配置了信任锚。

　　Windows 7可以用于非微软DNS服务器(支持NSEC3)来进行域名解析

　　当某区域被NSEC签名时，你可以配置NRPT不对该区进行验证。这样做的话，DNS服务器将不会执行验证，并会直接返回数据。

　　部署 DNSSEC

　　要部署DNSSEC的，需要按照以下步骤进行：

　　了解DNSSEC的重要概念

　　将DNS服务器升级到Windows Server 2008 R2

　　审查区域签名要求，选择密钥滚动机制，并确定计算机和DNSSEC保护区域的安全性

　　生成和备份为区域签名的密钥，确保DNS仍在运行，并在签名区域后回答查询请求

　　将信任锚分发到使用DNSSEC执行DNS验证的非授权服务器

　　为DNS服务器部署证书和Ipsec政策

　　配置NRPT设置，并向客户端计算机部署Ipsec政策

　　总结

　　在本文中，我们探讨了DNSSEC和保护DNS基础设施对企业的重要性。Windows Server 2008 R2中存在的很多新功能可以帮助企业保护DNS基础设施的安全，这主要通过使用签名DNS区域、SSL安全连接到可信DNS服务器以及Ipsec验证和加密来实现。