Home
  •  

Popření existence Windows DNS 2016 a 1709+ DNSSEC – monitorování zabezpečení zóny

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Toto monitorování sleduje, jestli se k bezpečnému popření existence používá podepsaná zóna s povolenými záznamy NSEC3 nebo prostými NSEC. Když se k bezpečnému popření existence bude používat pouze NSEC, může to způsobit výčet zón. Ve výchozím stavu zakázáno.

Knowledge Base article:

Shrnutí

Monitoruje, jestli má zóna povolený záznam NSEC3 nebo NSEC. Toto monitorování je ve výchozím nastavení taky zakázané. Někteří uživatelé můžou chtít monitorovat typ Popření existence.

Příčiny

Toto monitorování sleduje, jestli zóna může používat záznamy NSEC3, nebo jenom obyčejné záznamy NSEC. Obyčejný záznam NSEC vede k výčtu dat zóny. Některým zákazníkům to může vadit. Kdykoliv se stav DenialOfExistence změní na NSEC, musí na to monitorování upozornit.

Řešení

Změňte typ popření existence ve vlastnostech zóny DNSSEC. Použijte k tomu nástroje na správu serveru DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>