此监视器跟踪已签名区域是启用 NSEC3 还是将使用明文 NSEC 来保障否认存在的安全。仅使用 NSEC 来保障否认存在的安全可能会导致区域枚举。默认情况下禁用。
监视区域启用的是 NSEC3 还是 NSEC。默认情况下,此监视器也已禁用。某些用户可能想要监视否认存在类型。
此监视器跟踪区域启用的是 NSEC3 还是明文 NSEC。由于明文 NSEC 会导致区域数据枚举,因此可能会对一些用户带来困扰。无论何时,只要 DenialOfExistence 状态更改为 NSEC,监视器就会显示一条警告。
使用 DNS 管理工具更改区域 DNSSEC 属性中的否认存在类型。
Target | Microsoft.Windows.DNSServer.2016.Zone |
Parent Monitor | System.Health.PerformanceState |
Category | PerformanceHealth |
Enabled | False |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Microsoft.Windows.DNSServer.2016.ActionAccount |
<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">
<Category>PerformanceHealth</Category>
<OperationalStates>
<OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>
<OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>
</OperationalStates>
<Configuration>
<ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
</Configuration>
</UnitMonitor>