Один путь состоит в том, чтобы купить сервер с Основой Windows Server на нем, которая является "более дешева, чем SBS" 15 пользовательских Windows Server 2008 R2 только для OEM без требований CAL.
Вы не будете. AD не установлен авторитетными серверами, только рекурсивными сопоставителями, которые проверили цепочку доверия. Я знаю, что это кажется глупым, так как авторитетный сервер имеет ключи - но это - то, как это.
На ответ user53814 Вы не доберетесь AD
бит с авторитетного сервера. Это дизайном - просто, потому что сервер имеет ключи, не доказывает, что он имеет правильные ключи.
Ваш рекурсивный сопоставитель выполнит проверку, но это не передаст обратно AD
бит, если клиент не указал на осведомленность DNSSEC путем отправки DO
бит в запросе (т.е. с +dnssec
опция к dig
). Это - то, как DNSSEC поддерживает назад совместимость путем обеспечения, что неожиданные данные DNSSEC не отправляются клиентам, которые не ожидают это.
Обратите внимание однако, что Ваш проверяющий рекурсивный сопоставитель все еще укажет на отказ проверки путем возврата a SERVFAIL
код ошибки. Следовательно тупик, который не DNSSEC-знает, может все еще быть защищен от получения плохих ответов только, говоря с DNSSEC-осведомленным recursor.
У меня была такая же проблема. И решил это, обновив привязку, содержащуюся в Debian jessie (1: 9.9.5.dfsg-7), и поместив следующее в dnssec-validation auto;
в /etc/bind/ named.conf.options . Теперь рекламный флаг установлен для всех, кроме авторитетных доменов.