ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性

ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性
【外部リンク】
https://blogs.technet.microsoft.com/jpntsblog/2017/08/09/dnssec/
Q1.
Windows の DNS サーバーにおいてルート ゾーン KSK の更新に伴い、対策を実施する必要があるのか。

A1.
結論として、Windows OS の DNS サーバーにおいては DNSSEC の構成の有無に関わらずルート ゾーン KSK の更新に伴う対策は不要です。
*** 留意事項 ****************
Windows Server 2008 では “EDNS0” が既定で無効になっていますが、TCP フォールバックの機能は有効です。
なお、EDNS0 は以下のコマンドで、有効/無効の確認が可能です。

dnscmd /info /enableednsprobes

また、以下のコマンドで、有効にすることが可能です。

dnscmd /config /enableednsprobes 1
******************************
<参考情報>
----------------------------------------------------------------
Overview of DNSSEC
<https://msdn.microsoft.com/en-us/library/jj200221(v=ws.11).aspx#RR>

Step-by-Step: Demonstrate DNSSEC in a Test Lab
<https://msdn.microsoft.com/en-us/library/hh831411(v=ws.11).aspx#config_dc2>

DNS Servers
<https://msdn.microsoft.com/en-us/library/dn593674(v=ws.11).aspx>

Trust Anchors
<https://msdn.microsoft.com/en-us/library/dn593672(v=ws.11).aspx>

Procedure: Deploy a Root Trust Point
<https://msdn.microsoft.com/en-us/en-jp/library/dn593676(v=ws.11).aspx>
----------------------------------------------------------------
<補足情報>
----------------------------------------------------------------
運用環境の DNS サーバーにおいて、DNSSEC の機能の有効・無効の確認方法、および DNSSEC を利用するように構成されているか否かを確認する方法をおまとめしましたので、必要に応じてご参照ください。
(※ 前述しましたように、Windows Server 2008、Windows Server 2008 R2 ではパブリックのルート DNS サーバーに対して DNSSEC 検証を利用するように構成することができませんので、省略しております)
DNSSEC の機能の有効・無効の確認手順
DNSSEC の構成の有無についての確認手順
------------------------------------------------------

【外部リンク】
http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html