Home
  •  

Windows DNS 2016 och 1709+, nekad existens för DNSSEC – zonsäkerhetsövervakare

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Denna övervakare kontrollerar om den signerade zonen är NSEC3-aktiverad eller om bara NSEC används för säker nekad existens. Användning av endast NSEC för säker nekad existens kan orsaka zonuppräkning. Inaktiverad som standard.

Knowledge Base article:

Sammanfattning

Övervakar om zonen har NSEC3 eller NSEC aktiverat. Som standard är den här övervakaren också inaktiverad. Vissa användare kan vilja övervaka övervakartypen nekad existens

Orsaker

Denna övervakare kontrollerar om zonen är aktiverad för NSEC3 eller bara NSEC. Eftersom vanlig NSEC leder till uppräkning av zondata så kan det vara ett problem för en del kunder. När NekadExistens-statusen ändras till NSEC så ska övervakaren visa en varning.

Lösningar

Ändra typ av nekad existens i DNSSEC-zonegenskaper med hjälp av DNS-hanteringsverktygen.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>