Nous avons vu dans un article précédent, comment activer DNSSEC sur les zones DNS de votre domaine Active Directory. Nous avons également vu le rôle joué par les ancres de confiance pour la signature des enregistrements DNS.

Dans cette article nous allons voir comment mettre à jour les ancres de confiance publié par l'IANA concernant la racine d'internet. Le lien suivant https://data.iana.org/root-anchors/root-anchors.xml permet de retrouver les ancres de confiances.

Vous pouvez d'ailleurs identifié l'adresse de téléchargement dans Windows avec la commande PowerShell suivante :

Get-DnsServerSetting -All | Select RootTrustAnchorsURL

Pour importer les ancres de confiances sur votre serveur DNS, il suffit d'exécuter la commande PowerShell suivante :

Add-DnsServerTrustAnchor -Root

ou avec la commande dnscmd ci dessous :

dnscmd.exe /RetrieveRootTrustAnchors

Vous pouvez vérifier l'ancre de confiance pour le domaine "." sur un contrôleur de domaine en particulier avec la commande suivante :

Get-DnsServerTrustAnchor -name "." -ComputerName lab2016dc1 

Il vous faudra encore redémarrer le service DNS pour que l'ancre apparaisse valide. Par exemple avec :

Restart-Service dns

Vous pouvez également consulté vos ancres d'approbations depuis la console DNSMgmt.msc :