Ce moniteur signale si la zone signée prend en charge NSEC3 ou si NSEC standard est utilisé pour un déni d'existence sécurisé. L'utilisation de NSEC seul pour un déni d'existence sécurisé peut provoquer une énumération des zones. Désactivé par défaut.
Surveille si la zone prend en charge NSEC3 ou NSEC. Ce moniteur est également désactivé par défaut. Certains utilisateurs veulent peut-être surveiller le type de déni d'existence.
Ce moniteur signale si la zone prend en charge NSEC3 ou NSEC standard. Comme NSEC standard aboutit à une énumération des données des zones, cela peut être un problème pour quelques clients. Chaque fois que l'état DenialOfExistence est remplacé par NSEC, le moniteur doit afficher un avertissement.
Modifiez le type de déni d'existence dans les propriétés DNSSEC de zone à l'aide des outils de gestion DNS.
Target | Microsoft.Windows.DNSServer.2016.Zone |
Parent Monitor | System.Health.PerformanceState |
Category | PerformanceHealth |
Enabled | False |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Microsoft.Windows.DNSServer.2016.ActionAccount |
<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">
<Category>PerformanceHealth</Category>
<OperationalStates>
<OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>
<OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>
</OperationalStates>
<Configuration>
<ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
</Configuration>
</UnitMonitor>