Voici comment configurer le DNSSEC en powershell sur un Windows serveur 2012.
#Définir le nom de la zone
$zonename =
"secure.domaine.tld"
#Création d'une zone
intégrée à l'AD avec une réplication dans la forêt.
Add-DnsServerPrimaryZone -Name $zonename
-ReplicationScope Forest
#Ajout
d'enregistrement dans la zone
Add-DnsServerResourceRecord -ZoneName $zonename
-A -Name mail -IPv4Address 10.0.0.5
Add-DnsServerResourceRecord -ZoneName $zonename
-MX -Name . -MailExchange mail.domaine.tld -Preference 10
#Définir ou redéfinir
le maitre des clés pour la zone
Reset-DnsServerZoneKeyMasterRole -ZoneName $zonename
-KeyMasterServer dc2.domaine.tld -SeizeRole -Force
#Définir la méthode
utilisée pour les RR non existants (nsec ou nsec3)
#Set-DnsServerDnsSecZoneSetting -ZoneName $zonename
-DenialOfExistence NSec
Set-DnsServerDnsSecZoneSetting -ZoneName
$zonename -DenialOfExistence NSec3 -DistributeTrustAnchor DnsKey
-DSRecordGenerationAlgorithm Sha256 -EnableRfc5011KeyRollover $False
-NSec3HashAlgorithm RsaSha1
#Création de la clé KSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type
KeySigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 2048
#Création de la clé ZSK pour NSEC3
Add-DnsServerSigningKey -ZoneName $zonename -Type
ZoneSigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 1024
#Signer la zone
Invoke-DnsServerZoneSign -ZoneName $zonename
-ForceProchain article sur la mise en place d'un serveur WSUS via Powershell sur un serveur 2012.
Salutation,
Guillaume