Home
  •  

Windows Server 2016 és 1709+-os DNS DNSSEC létezéstagadása – zónabiztonsági figyelő

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Ez a figyelő nyomon követi, hogy az aláírt zónában engedélyezve van-e az NSEC3, vagy egyszerű NSEC-et használ a létezéstagadásra. Ha csak NSEC használatával történik a létezés biztonságos tagadása, az zónaszámbavételt okozhat. Alapértelmezés szerint letiltva.

Knowledge Base article:

Összefoglalás

Figyeli, hogy a zónában az NSEC3 vagy az NSEC van-e engedélyezve. Ez a figyelő alapértelmezés szerint szintén le van tiltva. Egyes felhasználóknak szükségük lehet a létezéstagadás típusának figyelésére.

Okok

Ez a figyelő azt követi, hogy a zónában az NSEC3 vagy az egyszerű NSEC van-e engedélyezve. Mivel az egyszerű NSEC lehetővé teszi a zóna adatainak számbavételét, ez problémát jelenthet egyes ügyfeleknek. Ha a létezéstagadás beállítása NSEC-re változik, a figyelő generál egy figyelmeztetést.

Megoldások

A létezéstagadás típusát a zóna DNSSEC-tulajdonságaiban módosíthatja a DNS-felügyeleti eszközben.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>