A funcionalidade do DNSSEC é muito interessante, e teve uma considerável melhora no Windows 2012 Server, abaixo os passos para a configuração do DNS seguro através do PowerShell:
Criando uma zona chamada contoso.local:
>add-dnsServerPrimaryZone -Name contoso.local -ReplicationScope Forest
Setando a zona como segura:
>Invoke-DnsServerZoneSign -ZoneName contoso.local -SignWithDefault
Verificando os registros tipos DnsKey da zona:
>Get-DnsServerResourceRecord -ZoneName contoso.local -RRType DnsKey
Distribuindo o TrustAnchor para todos os servidores DNS da floresta:
>Set-DnsServerDnsSecZoneSetting -ZoneName contoso.local -DistributeTrustAnchor DnsKey
Adicionando um registro:
>Add-DnsServerResourceRecordA -ZoneName contoso.local -Name webserv -IPv4Address 10.10.8.1
Adicionado uma nova GPO:
>New-GPO -Name NRPT -Domain contoso.local
Criando um link da GPO para o domínio:
>New-GPLink -Name NRPT -Target "DC=contoso,DC=local" -LinkEnabled Yes
Adicionando as configurações NRTP na GPO:
>Add-DnsClientNrptRule -GpoName NRPT -Namespace contoso.local -NameServers IP_DNS_Server -DnsSecEnable
Verificando as configurações:
>Get-DnsClientNrptRule -GpoName NRPT
Para testar se o servidor DNS seguro está funcionando corretamente, deve-se usar o cmdlets Resolve-DnsName:
>Resolve-DnsName -name webserv.contoso.local -DnssecOk
Referência:
https://technet.microsoft.com/en-us/library/dn593694%28v=ws.11%29.aspx