Tipps, Tricks & Tools

Windows

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Immer größere Datenmengen bei gleichzeitig steigenden Anforderungen an die Sicherheit sowie Zugriffsmöglichkeiten stellen Administratoren vor neue ... (mehr)

»Bereits mit Windows Server 2008 R2 hat Microsoft ja DNSSEC eingeführt, um Zonen und Einträge abzusichern. In Windows Server 2016 lassen sich Zonen online digital signieren. DNSSEC integriert sich in der neuen Version komplett in das Active Directory. Dies umfasst nicht zuletzt die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Können Sie das kurz erklären und dabei auch auf die Rolle von RODC eingehen?«

Windows Server 2016 unterstützt bei DNS-Anfragen offizielle Standards wie NSEC3 und RSA/SHA-2. Seit Windows Server 2012 ist auch die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC) vorhanden. Findet ein RODC mit Windows Server 2012 R2/2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Dies hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.

DNSSEC lässt sich über das Kontextmenü von Zonen erstellen. Eine komplizierte Konfiguration in der Eingabeaufforderung ist mit Windows Server 2016 nicht mehr notwendig. Auch Zonen off-line zu setzen, ist nicht mehr erforderlich. Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Sie recht einfach DNS-Zonen vor Manipulationen schützen. Der Assistent erlaubt die manuelle Signierung, eine Aktualisierung der Signierung und eine Signierung auf Basis automatischer Einstellungen. Mit Windows Server 2016 lassen sich nicht zuletzt signierte Zonen problemlos auch auf andere DNS-Server im Netzwerk replizieren.

(ln)

»Wir beschäftigen uns derzeit intensiv mit der Härtung von Windows Server 2016. Als besonders unsicheres Einfallstor erscheint uns der Webserver IIS. Welche Maßnahmen und Einstellungen empfehlen Sie, um hier für einen umfassenden Schutz zu sorgen?«

Wenn Sie dafür

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

FreeNAS 10 ist fertig und heißt Corral

Mit dem neuen FreeNAS-Release gibt es eine komplett überarbeitete Version der frei verfügbaren NAS-Software auf BSD-Basis. Eine Namensänderung soll dies unterstreichen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022