Home
  •  

Windows DNS 2016 および 1709+ DNSSEC 存在否定 - ゾーン セキュリティ モニター

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

このモニターは、署名ゾーンの安全存在否定に NSEC3 が有効にされているか、またはプレーン NSEC が使用されているかを追跡します。安全存在否定に NSEC のみを使用すると、ゾーンの列挙が発生します。既定では無効

Knowledge Base article:

概要

ゾーンで NSEC3 が有効か、NSEC が有効かを監視します。既定では、このモニターも無効です。ユーザーによっては、存在否定の種類を監視する場合があります。

原因

このモニターは、ゾーンで NSEC3 が有効か、プレーン NSEC かを追跡します。プレーン NSEC はゾーン データ列挙を引き起こすので、一部のユーザーにとっては懸案事項になる可能性があります。DenialOfExistence 状態が NSEC に変更されるたびに、モニターに警告が表示されます。

解決方法

DNS 管理ツールを使用して、ゾーン DNSSEC プロパティの存在否定の種類を変更します。

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>