70 likes | 184 Views
Windows server 2012 och DNS/DNSSEC. Torbjörn Eklöv. SOA RRSIG. Det hamnar en “ massa ” trasiga RRSIG för SOA RR när man editerar SOA eller NS RR Det ser riktigt ut i hidden master men i den synliga slaven blir det knas
E N D
Windows server 2012 och DNS/DNSSEC Torbjörn Eklöv
SOA RRSIG Dethamnar en “massa” trasiga RRSIG för SOA RR när man editerar SOA eller NS RR Detserriktigtuti hidden master men i den synligaslavenblirdetknas Lösning: dnscmddnsservernsnamn /ZoneResignkommunen.se Microsoft: Startar du ommasternsålöserdet sig nog….
Signerarinteom Hidden master signerarinteomalla RR innansistaförbrukningsdatumärförbrukat Lösning: dnscmddnsservernsnamn /ZoneResignkommunen.se
TTL pånollsekunder Torsas.sefick 0 sek TTL påsina NS RR Ändradedet till 1 timme, synsfortfarandeintevaddetär. Sett detpåflerkommuner med Windows
Närska den signeraom? • Varje RR kontrollerasmanuelltochsignerasomnär >10% och <20% avlivslängdenåterstår • => dnscmd /zoneresignmåsteanvändasändåom vi skaöverleva en långhelg/semster
Signaturslivslängder DNSKEY satt till 30 dagar A RR blirdå 10 dagar => Maximalt 10 dagarsnedtidpå en Windows hidden master innandetgårsönder
DNS utan glue Microsoft: Regarding glue, you can create delegations with dnscmd or with PowerShell if the GUI is not letting you do what you want.