こんにちは、Windows プラットフォーム サポートです。
今回は、DNS サーバー上で DNSSEC が意図せず無効化される事象についてご説明いたします。
事象の概要
DNS サーバー上で以下の操作を行ったときに DNSSEC が無効化されます。
- DNS サーバーに管理者としてログオンし、DNS マネージャーを起動します。
- 左ペインで DNS サーバー名を右クリックして DNS サーバーの [プロパティ] をクリックします。
- [詳細設定] タブを開き、[OK] をクリックして閉じます。
※ 1 度 [詳細設定] タブを開いた場合には、その後の操作の有無に関わらず DNSSEC が無効化されます。
※ 1 度 [詳細設定] タブを開いた場合には、他のタブに移動してから閉じた場合でも DNSSEC が無効化されます。
※ [OK] ではなく [キャンセル] で閉じた場合には DNSSEC は無効化されません。
※ DNSSEC は DNS サーバー毎の設定のため、AD 兼 DNS サーバー環境の場合でも複製の対象にはなりません。上述の操作を行った DNS サーバーのみで DNSSEC が無効化されます。
// DNS サーバーのプロパティの詳細設定タブ
DNSSEC の設定確認方法
DNS サーバー上で管理者として PowerShell を起動し、以下のコマンドレットを実行します。
Get-DnsServerSetting | ft EnableDnsSec
// DNSSEC が有効の場合
// DNSSEC が無効の場合
発生条件
DNS Server が以下の OS の場合に発生します。
- Windows Server 2016
- Windows Server 2019
※ Windows Server 2012 R2 以前、および Windows Server 2022 では発生しません。
影響
DNSSEC が無効化された場合、DNSSEC を利用できなくなります。
なお、DNSSEC を構成していない環境では、DNSSEC が無効化されても影響はありません。
参考のための簡易確認方法としては、DNS マネージャー上に [トラスト ポイント] が表示されていない場合、および表示されていても配下にリソースが存在しない場合には DNSSEC は構成されていないため、影響はありません。
// [トラスト ポイント] が表示されていない場合
// 表示されていても配下にリソースが存在しない場合
対処方法
DNSSEC が意図せず無効化された場合には、以下のコマンドで DNSSEC を有効化してください。
DnsCmd.exe /Config /enablednssec 1
※ コマンド実行後に即時反映されるため、DNS サーバー サービスの再起動は不要です。
[特記事項]
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。