信任锚的作用

在上文已经提到了信任锚。DNSKEY资源记录用来支持信任锚。一个验证DNS服务器必须包含至少一个信任锚。信任锚也只适用于那些已经被赋值的区域。如果DNS服务器可以承载了多个区域，那么就可以使用多个信任锚。

DNSSEC可以让DNS服务器在客户端查询中执行一个名称验证，只要信任锚在该区域内。客户端不需要让DNSSEC意识到验证发生了。所以，非DNSSEC的DNS客户端依然可以使用这个DNS服务器来解析局域网上的名称。

NSEC/NSEC3

NSEC和NSEC3是可以用来提供存在于DNS记录上的权威认证否认的方法。NSEC3是在原有NSEC详细规范上的一个改进，并且允许用户来避免“区域暴走”，这就允许攻击者恢复在DNS区域的所有名称。这是一个攻击者可以使用来重新联网的强有力的方法。这种能力在Windows Server 2008 R2上是不存在的，只有支持NSEC才可以被包括在内。

但是，对于NSEC3的支持是有限制的：

Windows Server 2008 R2可以包括NSEC的具有NSEC3代表的一个区域，但是，NSEC2的子区域没有在Windows DNS服务器。

Windows Server 2008 R2可以是一个非权威的配置一个信任锚的DNS服务器，该信任锚可以别标记为NSEC，同时它还有个NSEC3字区域。

在服务器是有NSEC意识的情况下，Windows7客户端可以使用非微软DNS服务器来处理DNS名称解决方案。

当一个区域被标记了NSEC的时候，用户可以在不需要对区域提供验证的情况下来配置名称解析政策表。当用户这么做的时候，DNS服务器将会执行验证，并对动态目录返回一个明确的响应。

如何部署DNSSEC

用户可以遵守以下方法来部署DNSSEC：

理解DNSSEC的关键概念；

把DNS服务器升级到Windows Server 2008R2；

回顾区域签名的要求，选择一个关键的过渡机制，同时确定电脑安全和DNSSEC保护区域的安全；

生成和备份用户签名区的关键字。确认DNS依然是工作状态，挺回答区域签名以后出现的所有问题；

把信任锚分发到所有非权威服务器上，这需要使用DNSSEC执行DNS认证；

为DNS服务器排至证书和IPsec策略；

配置NRPT设置，同时为客户端计算机部署IPsec策略。

总结

在这篇文章里，我们提供了一个对DNSSEC更高层次水平的概述，并讨论了保护DNS基础配置对整体架构是如此重要的原因。Windows Servers 2008 R2也推出了一些新功能，该功能可以帮助DNS基础配置比以前任何时候都更加安全，这种安全性的实现是通过联合DNS区域签名，SSL安全连接到具有安全性保障的DNS服务器上，同时IPsec认证和加密来实现的。