Il monitoraggio rileva se la zona firmata è abilitata per NSEC3 o se viene usato NSEC semplice per la negazione sicura dell'esistenza. Se si usa solo NSEC per la negazione sicura dell'esistenza, può verificarsi l'enumerazione di zone. Disabilitato per impostazione predefinita.
Monitora se per la zona è abilitato NSEC3 o NSEC. Per impostazione predefinita anche questo monitoraggio è disabilitato. Alcuni utenti potrebbero voler monitorare il tipo di negazione dell'esistenza.
Il monitoraggio verifica se per la zona è abilitato NSEC3 o NSEC semplice. Poiché NSEC semplice comporta l'enumerazione dei dati di zona, potrebbe rappresentare un problema per alcuni clienti. Ogni volta che lo stato DenialOfExistence viene impostato su NSEC, il monitoraggio dovrebbe mostrare un avviso.
Modificare il tipo di negazione dell'esistenza nelle proprietà DNSSEC della zona usando gli strumenti di gestione DNS.
Target | Microsoft.Windows.DNSServer.2016.Zone |
Parent Monitor | System.Health.PerformanceState |
Category | PerformanceHealth |
Enabled | False |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Microsoft.Windows.DNSServer.2016.ActionAccount |
<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">
<Category>PerformanceHealth</Category>
<OperationalStates>
<OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>
<OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>
</OperationalStates>
<Configuration>
<ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
</Configuration>
</UnitMonitor>