Windows DNS 2016 和 1709+ DNSSEC 否认存在 - 区域安全性监视器 - Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor) (CHS)

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

此监视器跟踪已签名区域是启用 NSEC3 还是将使用明文 NSEC 来保障否认存在的安全。仅使用 NSEC 来保障否认存在的安全可能会导致区域枚举。默认情况下禁用。

Knowledge Base article:

摘要

监视区域启用的是 NSEC3 还是 NSEC。默认情况下，此监视器也已禁用。某些用户可能想要监视否认存在类型。

原因

此监视器跟踪区域启用的是 NSEC3 还是明文 NSEC。由于明文 NSEC 会导致区域数据枚举，因此可能会对一些用户带来困扰。无论何时，只要 DenialOfExistence 状态更改为 NSEC，监视器就会显示一条警告。

解决方法

使用 DNS 管理工具更改区域 DNSSEC 属性中的否认存在类型。

Element properties:

Target	Microsoft.Windows.DNSServer.2016.Zone
Parent Monitor	System.Health.PerformanceState
Category	PerformanceHealth
Enabled	False
Alert Generate	False
Alert Auto Resolve	True
Monitor Type	Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
Remotable	True
Accessibility	Public
RunAs	Microsoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount"> <Category>PerformanceHealth</Category> <OperationalStates> <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/> <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/> </OperationalStates> <Configuration> <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName> <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName> <IntervalSeconds>900</IntervalSeconds> <SyncTime/> <TimeoutSeconds>300</TimeoutSeconds> </Configuration> </UnitMonitor>