Windows server 2012 och DNS/DNSSEC 2017-04-06 Windows server 2012 och DNS/DNSSEC Torbjörn Eklöv © 2002 These slides where produced by Bill Manning (ISI), Ed Lewis (NAI labs) and Olaf M. Kolkman (RIPE NCC).
SOA RRSIG Det hamnar en “massa” trasiga RRSIG för SOA RR när man editerar SOA eller NS RR Det ser riktigt ut i hidden master men i den synliga slaven blir det knas Lösning: dnscmd dnsservernsnamn /ZoneResign kommunen.se Microsoft: Startar du om mastern så löser det sig nog….
Signerar inte om Hidden master signerar inte om alla RR innan sista förbrukningsdatum är förbrukat Lösning: dnscmd dnsservernsnamn /ZoneResign kommunen.se
TTL på noll sekunder Torsas.se fick 0 sek TTL på sina NS RR Ändrade det till 1 timme, syns fortfarande inte vad det är. Sett det på fler kommuner med Windows
När ska den signera om? Varje RR kontrolleras manuellt och signeras om när >10% och <20% av livslängden återstår => dnscmd /zoneresign måste användas ändå om vi ska överleva en långhelg/semster
Signaturslivslängder DNSKEY satt till 30 dagar A RR blir då 10 dagar => Maximalt 10 dagars nedtid på en Windows hidden master innan det går sönder
DNS utan glue Microsoft: Regarding glue, you can create delegations with dnscmd or with PowerShell if the GUI is not letting you do what you want.