Home
  •  

Отрицание существования DNSSEC Windows DNS 2016 версии 1709 и более поздних версий — монитор безопасности зоны

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Этот монитор отслеживает включение записи NSEC3 для подписанной зоны или использование обычной записи NSEC для безопасного отрицания существования. Использование только записи NSEC для безопасного отрицания существования может привести к перечислению зон. По умолчанию отключено.

Knowledge Base article:

Сводка

Отслеживает, включена ли для зоны запись NSEC3 или NSEC. Этот монитор по умолчанию также отключен. Некоторым пользователям может потребоваться отслеживать тип отрицания существования.

Причины

Этот монитор отслеживает, включена ли для зоны запись NSEC3 или обычная запись NSEC. Так как обычный NSEC приводит к перечислению данных зоны, это может быть проблемой для некоторых клиентов. При изменении состояния DenialOfExistence на NSEC монитор должен отобразить предупреждение.

Решения

Измените тип отрицания существования в свойствах DNSSEC зоны с помощью средств управления DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>