Таблица политик преобразований имен
Без дополнительной конфигурации клиенты DNS будут игнорировать DNSSEC-настройки зоны. Чтобы они использовали DNSSEC-свойства зоны DNS, их нужно сконфигурировать так, чтобы они запрашивали безопасные записи DNS. Для этого потребуется настроить для них политику NRPT (Name Resolution Policy Table — таблица политик преобразований имен).
Конфигурирование политики NRPT осуществляется с помощью групповой политики. Ниже перечислены шаги по созданию групповой политики NRPT для зоны secure. company.com.
- На контроллере домена DC1 откройте консоль Server Manager (Диспетчер сервера).
- Разверните последовательно узлы Features (Компоненты), Group Policy Management (Управление групповыми политиками), Forest: company.com (Лес: companyabc. com) и Domains (Домены) и выделите узел с названием company.com.
- Щелкните на узле company.com правой кнопкой мыши и выберите в контекстном меню пункт Create a GPO in This Domain, and Link It Here (Создать объект групповой политики и добавить на него ссылку здесь).
- Введите NRPT Group Policy Object (Объект групповой политики NRPT) и щелкните на кнопке ОК.
- Щелкните на ссылке NRPT Group Policy Object (Объект групповой политики NRPT) правой кнопкой мыши и выберите в контекстном меню пункт Edit (Редактировать).
- Раскройте последовательно папки Policies (Политики) и Windows Settings (Параметры Windows) и выберите папку Name Resolution Policy (Политика преобразования имен).
- В поле То which part of the namespace does this rule apply (К какой части пространства имен должно применяться данное правило) выберите вариант Suffix (Суффикс) и введите secure. company.com.
- На вкладке DNSSEC отметьте флажок Enable DNSSEC in This Rule (Включить DNSSEC в этом правиле).
- В разделе Validation (Проверка правильности) отметьте флажок Require DNS Clients to Check That Name and Address Data Has Been Validated (Требовать, чтобы клиенты DNS удостоверялись в том, что данные об имени и адресе были проверены на предмет правильности).
- В случае ее включения Windows-клиент DNS будет удостоверяться именно в том, проверил ли DNS-сервер данные на предмет правильности, а не производить такую проверку самостоятельно.
- Щелкните на кнопке Create (Создать), чтобы создать запись в поле Name Resolution Policy Table (Таблица политик преобразования имен).
После выполнения этих шагов все клиенты DNS в домене будут запрашивать, чтобы DNS-серверы проверяли правильность запросов на выполнение поисков в домене secure. companyabc. com с помощью DNSSEC.