<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><span>The purpose behind this is not to protect the internal AD DNS from hijacking.  But rather to allow internal clients to run DNSSEC related queries without having to reference external resolvers.</span></div><div><br><span></span></div><div><span>dig +dnssec somedomain<br></span></div><div><br><span></span></div><div><span>By the way, integrating BIND into AD will not be permitted.  The AD staff will not allow that.  That would be ideal though.</span></div><div><br><span></span></div><div><span>Thanks,</span></div><div><br><span></span></div><div><span>JT<br></span></div><div><br></div>  <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font face="Arial" size="2"> <hr
 size="1">  <b><span style="font-weight:bold;">From:</span></b> Marc Lampo <marc.lampo@eurid.eu><br> <b><span style="font-weight: bold;">To:</span></b> 'John Williams' <john.1209@yahoo.com>; bind-users@lists.isc.org <br> <b><span style="font-weight: bold;">Sent:</span></b> Friday, June 29, 2012 3:07 AM<br> <b><span style="font-weight: bold;">Subject:</span></b> RE: BIND, DNSSEC & AD<br> </font> </div> <br>
<div id="yiv166176305"><style><!--
#yiv166176305  
 _filtered #yiv166176305 {font-family:"Cambria Math";panose-1:2 4 5 3 5 4 6 3 2 4;}
 _filtered #yiv166176305 {font-family:Calibri;panose-1:2 15 5 2 2 2 4 3 2 4;}
 _filtered #yiv166176305 {font-family:Tahoma;panose-1:2 11 6 4 3 5 4 4 2 4;}
#yiv166176305  
#yiv166176305 p.yiv166176305MsoNormal, #yiv166176305 li.yiv166176305MsoNormal, #yiv166176305 div.yiv166176305MsoNormal
        {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"serif";}
#yiv166176305 a:link, #yiv166176305 span.yiv166176305MsoHyperlink
        {color:blue;text-decoration:underline;}
#yiv166176305 a:visited, #yiv166176305 span.yiv166176305MsoHyperlinkFollowed
        {color:purple;text-decoration:underline;}
#yiv166176305 span.yiv166176305EmailStyle17
        {font-family:"sans-serif";color:#1F497D;}
#yiv166176305 .yiv166176305MsoChpDefault
        {font-size:10.0pt;}
 _filtered #yiv166176305 {margin:72.0pt 72.0pt 72.0pt 72.0pt;}
#yiv166176305 div.yiv166176305WordSection1
        {}
--></style><div><div class="yiv166176305WordSection1"><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">Hello,</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">(not a Bind related question !)</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">Last time I looked at Microsoft documentation I remember having seen that DNSSEC is for static files only,<br>*<b>not</b>* for “Active Directory<i> integrated</i>” domains !<br>If that is still true, I think the question about
 importing keys is irrelevant …</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">You would be needing Bind – from 9.7 onwards – for the DNS servers of the AD domains.<br>Bind can do the trick (DNSSEC + dynamic updating).</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">It would be sufficient to share the KSK, ZSK’s can be separate (as they are signed by the then shared KSK).</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">But is the an internal
 AD domain really an plausible attack vector for hackers ?</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">Kind regards,</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">Marc Lampo</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">Security Officer</span></div><div class="yiv166176305MsoNormal"><span style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">EURid (for .eu)</span></div><div class="yiv166176305MsoNormal"><span
 style="font-size:11.0pt;font-family:"sans-serif";color:#1F497D;">  </span></div><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm;"><div class="yiv166176305MsoNormal"><b><span style="font-size:10.0pt;font-family:"sans-serif";" lang="EN-US">From:</span></b><span style="font-size:10.0pt;font-family:"sans-serif";" lang="EN-US"> John Williams [mailto:john.1209@yahoo.com] <br><b>Sent:</b> 28 June 2012 10:35 PM<br><b>To:</b> bind-users@lists.isc.org<br><b>Subject:</b> BIND, DNSSEC & AD</span></div></div></div><div class="yiv166176305MsoNormal">  </div><div><div class="yiv166176305MsoNormal" style="background:white;"><span style="color:black;">I have an environment that hosts a BIND based internet facing domain, call it <a target="_blank" href="http://abc.com/">abc.com</a>.  I also have an internal Active Directory instance that hosts a MS based DNS instance called abc.com as
 well.  Everything works fine until we decided to implement DNSSEC on Active Directory.<br><br>Here is my question, is it possible to integrate the two domains?  Can I import the BIND DNSSEC keys into MS AD and build DNSSEC into AD using that method?  Is there better method?  I don't want to have AD DNS be my forward (Internet) facing application.<br><br>Thanks.<br><br>JT</span></div></div></div></div></div><br><br> </div> </div>  </div></body></html>