Home
  •  

Negazione dell'esistenza con DNSSEC di Windows DNS 2016 e 1709+: monitoraggio della sicurezza di zona

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Il monitoraggio rileva se la zona firmata è abilitata per NSEC3 o se viene usato NSEC semplice per la negazione sicura dell'esistenza. Se si usa solo NSEC per la negazione sicura dell'esistenza, può verificarsi l'enumerazione di zone. Disabilitato per impostazione predefinita.

Knowledge Base article:

Riepilogo

Monitora se per la zona è abilitato NSEC3 o NSEC. Per impostazione predefinita anche questo monitoraggio è disabilitato. Alcuni utenti potrebbero voler monitorare il tipo di negazione dell'esistenza.

Cause

Il monitoraggio verifica se per la zona è abilitato NSEC3 o NSEC semplice. Poiché NSEC semplice comporta l'enumerazione dei dati di zona, potrebbe rappresentare un problema per alcuni clienti. Ogni volta che lo stato DenialOfExistence viene impostato su NSEC, il monitoraggio dovrebbe mostrare un avviso.

Soluzioni

Modificare il tipo di negazione dell'esistenza nelle proprietà DNSSEC della zona usando gli strumenti di gestione DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>