https://dwt.life/tag/dnssec/ https://dwt.life/archives/251/ 2022-06-14T16:43:00+08:00 如果没有经过递归服的查询是无法获取到dnssec do的bit位的，所以只能手动指定dnssec ok，Microsoft doc给出了比较全面的文档，本文仅做部分指令的记录，且需要在powershell下执行。普通dns查询Resolve-DnsName 主机名 –type A -server 127.0.0.1设置DO为1resolve-dnsname -name 主机名 -type A -server 127.0.0.1 -dnssecok获取dnssec key记录resolve-dnsname -name 主机名 -type dnskey -server 127.0.0.1 -dnssecok其他检测工具versign lab：https://dnssec-analyzer.verisignlabs.com/https://dnsviz.net/从图中可以看出来，.和.net都是有dnssec签名保护的，包括我们的二级域也是被保护的（绿色框框），至于红色警告，是国内机器屏蔽了海外UDP导致的。[1] https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj200221(v=ws.11)