Home
  •  

Denegación de existencia de DNSSEC de Windows DNS 2016 y 1709+: Monitor de seguridad de zona

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Este monitor supervisa si la zona firmada tiene habilitado NSEC3 o si usa NSEC estándar para una denegación de existencia segura. Si se usa únicamente NSEC para una denegación de existencia segura, se puede producir una enumeración de zonas. Deshabilitada de forma predeterminada.

Knowledge Base article:

Resumen

Supervisa si la zona tiene habilitado NSEC3 o NSEC. Este monitor también está deshabilitado de manera predeterminada. Algunos usuarios pueden preferir supervisar el tipo de denegación de existencia.

Causas

Este monitor supervisa si la zona tiene habilitado NSEC3 o NSEC estándar. Como NSEC estándar provoca la enumeración de datos de zona, esto puede ser motivo de preocupación para algunos clientes. Cuando el estado de DenialOfExistence cambie a NSEC, el monitor deberá mostrar una advertencia.

Soluciones

Cambie el tipo de denegación de existencia en las propiedades de DNSSEC de zona mediante las herramientas de administración de DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>