Конфигурирование политики NRPT

Таблица политик преоб­разований имен

Без дополнительной конфигурации клиенты DNS будут игнорировать DNSSEC-настройки зоны. Чтобы они использовали DNSSEC-свойства зоны DNS, их нужно сконфи­гурировать так, чтобы они запрашивали безопасные записи DNS. Для этого потребуется настроить для них политику NRPT (Name Resolution Policy Table — таблица политик преоб­разований имен).

Конфигурирование политики NRPT осуществляется с помощью групповой полити­ки. Ниже перечислены шаги по созданию групповой политики NRPT для зоны secure. company.com.

  1. На контроллере домена DC1 откройте консоль Server Manager (Диспетчер сервера).
  2. Разверните последовательно узлы Features (Компоненты), Group Policy Management (Управление групповыми политиками), Forest: company.com (Лес: companyabc. com) и Domains (Домены) и выделите узел с названием company.com.
  3. Щелкните на узле company.com правой кнопкой мыши и выберите в контекст­ном меню пункт Create a GPO in This Domain, and Link It Here (Создать объект груп­повой политики и добавить на него ссылку здесь).
  4. Введите NRPT Group Policy Object (Объект групповой политики NRPT) и щелкните на кнопке ОК.
  5. Щелкните на ссылке NRPT Group Policy Object (Объект групповой политики NRPT) правой кнопкой мыши и выберите в контекстном меню пункт Edit (Редактировать).
  6. Раскройте последовательно папки Policies (Политики) и Windows Settings (Параметры Windows) и выберите папку Name Resolution Policy (Политика преобразования имен).
  7. В поле То which part of the namespace does this rule apply (К какой части простран­ства имен должно применяться данное правило) выберите вариант Suffix (Суффикс) и введите secure. company.com.
  8. На вкладке DNSSEC отметьте флажок Enable DNSSEC in This Rule (Включить DNSSEC в этом правиле).
  9. В разделе Validation (Проверка правильности) отметьте флажок Require DNS Clients to Check That Name and Address Data Has Been Validated (Требовать, чтобы клиенты DNS удостоверялись в том, что данные об имени и адресе были проверены на пред­мет правильности).
  10. В случае ее включения Windows-клиент DNS будет удостоверяться именно в том, проверил ли DNS-сервер данные на предмет правильности, а не производить такую проверку самостоятельно.
  11. Щелкните на кнопке Create (Создать), чтобы создать запись в поле Name Resolution Policy Table (Таблица политик преобразования имен).

После выполнения этих шагов все клиенты DNS в домене будут запрашивать, чтобы DNS-серверы проверяли правильность запросов на выполнение поисков в домене secure. companyabc. com с помощью DNSSEC.

2016  Командная строка Windows  
top Яндекс.Метрика