DNSSEC auf dem Resolver ("validierend")
Bei der Einführung von DNSSEC ist die Einrichtung der DNSSEC-Überprüfung auf den eigenen Resolvern der einfachste Vorgang. Dazu müssen keine DNSKEYs erstellt werden oder Zonen regelmäßig signiert werden.
Es ermöglicht aber DNS-Abfragen fremder autotaritiver Nameserver zu validieren und damit den Clients authentizierte Antworten (AD Flag) zu liefern. Ein validierender Nameserver, dem man vertraut, ist die Voraussetzung zur Einrichtung ausgehender DANE-Validierung TLS-verschlüsselter Übertragung zwischen Mailservern.
Hier finden sich Schritt-für-Schritt-Anleitungen zur Einrichtung eines validierenden Resolvers mit gängigen Nameserver-Paketen. Dabei ist es natürlich nur bedingt möglich, auf alle Besonderheiten verschiedener Versionen einzugehen. Daher beschränken sich die Anleitungen auf die gängigsten Versionen, die auf aktuellen Linux-Distributionen unterstützt werden.
Konfiguration mit Unbound >1.4
Für die Konfiguration von Unbound auf Windows verweisen wir auf ein externes Tutorial:
Konfiguration mit Unbound unter Windows
Die Konfiguration von Windows 2012 Server als validierender Resolver ist in einem Tutorial bei "Men and Mice" beschrieben.