Home
  •  

Moniteur Déni d'existence de Windows 2016 et 1709+ DNS SEC - Sécurité de la zone

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Ce moniteur signale si la zone signée prend en charge NSEC3 ou si NSEC standard est utilisé pour un déni d'existence sécurisé. L'utilisation de NSEC seul pour un déni d'existence sécurisé peut provoquer une énumération des zones. Désactivé par défaut.

Knowledge Base article:

Résumé

Surveille si la zone prend en charge NSEC3 ou NSEC. Ce moniteur est également désactivé par défaut. Certains utilisateurs veulent peut-être surveiller le type de déni d'existence.

Causes

Ce moniteur signale si la zone prend en charge NSEC3 ou NSEC standard. Comme NSEC standard aboutit à une énumération des données des zones, cela peut être un problème pour quelques clients. Chaque fois que l'état DenialOfExistence est remplacé par NSEC, le moniteur doit afficher un avertissement.

Résolutions

Modifiez le type de déni d'existence dans les propriétés DNSSEC de zone à l'aide des outils de gestion DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>