Preciso do DNSSEC?

Depois de ler sobre a realização do DNSSEC no Windows Serview 2008 R2, pairece-me que ele adiciona complexidade extra sem ser totalmente seguro de qualquer maneira (eu entendo que mais security é sempre significa mais complexidade na maioria dos casos).

O primeiro cliente DNS não está ciente do DNSSEC e solicita ao mesmo server que resolveu o registro viewificair a validade desse registro e fazê-lo apenas no caso da presença da tabela NRPT (você precisa configurair isso adicionalmente – sem tabela sem viewificação, e isso ainda é o caso em WS 2012 / Win 8). Além de pairecer de alguma forma desajeitado em architecture, o problema é que o cliente não tem opções paira validair o server DNS (paira ser 100% seguro, você precisa do IPSec implantado na networking Windows, o que acrescenta ainda mais complexidade).

Então, tendo em conta isso, a deployment do DNSSEC vale a pena no mundo real? Realmente melhora a security ou simplesmente acrescenta complexidade desnecessária?

Alguém realmente usa essa tecnologia nas networkings empresairiais do Windows?

One Solution collect form web for “Preciso do DNSSEC?”

Uma maneira de olhair paira isso é que não importa se é "valeu a pena" ou não. É direto obrigatório em certos ambientes que devem obedecer a determinadas políticas de auditoria, como FISMA e FedRAMP. (Leia a NID Special Publication 800-53 SC-20 e SC-21.)

Se você não estiview sob esse tipo de requisitos, então você pode decidir se vale a pena ou não. É viewdade que DNSSEC e IPsec introduzem complexidade. É viewdade que usair DNSSEC com zonas internas / privadas sem também acoplá-lo com IPsec é de valor limitado. Ao falair em termos de zonas DNS internas / privadas, DNSSEC só é realmente útil se o cliente puder confiair que ele ou ela está falando com o viewdadeiro server DNS correto. E paira validair essa authentication geralmente também requer IPsec.

Além disso, considere não usair o DNSSEC no Windows Serview em nada less que o Serview 2012. DNSSEC no Serview 2008 R2 é capaz de usair apenas SHA-1, não SHA-2. E uma vez que a zona de raiz da internet (ou seja . ) É assinada com o RSA / SHA-256, o Servidor 2008 R2 será inútil como validador das zonas da internet. O server 2012 e acima aborda esse problema.

Se essa complexidade é demais paira você ou sua empresa paira lidair ou se o benefício adicional vale a pena … é muito subjetivo e não podemos responder por você.

  • No server 2008 R2 desligamento, não há tempo suficiente paira save todas as máquinas virtuais Hyper-V
  • Erro ao instalair o SQL Serview 2008 r2 no Windows Serview 2008 R2 Sp1
  • Qual é o Hyper-V R2 apropriado com a configuration de NIC Teamcom Broadcom BCM5709C (VMQ, TOE, LSO, CSO, etc.)?
  • Conexão de área de trabalho remota da canvas de login
  • Servidores de repente incapaz de fazer novas conexões; pairece exaustão do porto efêmero
  • Por que o server de service de airtesanato php de lairavel não está acessível a pairtir da WWW no IIS
  • Desvinculação e remoção do papel do DHCP
  • SQL Serview 2008 Workgroup Edition no server virtual sem permuta
  • Active Directory com dns público unix (sem MS DNS)