Tipps, Tricks & Tools

»Bereits mit Windows Server 2008 R2 hat Microsoft ja DNSSEC eingeführt, um Zonen und Einträge abzusichern. In Windows Server 2016 lassen sich Zonen online digital signieren. DNSSEC integriert sich in der neuen Version komplett in das Active Directory. Dies umfasst nicht zuletzt die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Können Sie das kurz erklären und dabei auch auf die Rolle von RODC eingehen?«

Windows Server 2016 unterstützt bei DNS-Anfragen offizielle Standards wie NSEC3 und RSA/SHA-2. Seit Windows Server 2012 ist auch die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC) vorhanden. Findet ein RODC mit Windows Server 2012 R2/2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Dies hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.

DNSSEC lässt sich über das Kontextmenü von Zonen erstellen. Eine komplizierte Konfiguration in der Eingabeaufforderung ist mit Windows Server 2016 nicht mehr notwendig. Auch Zonen off-line zu setzen, ist nicht mehr erforderlich. Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Sie recht einfach DNS-Zonen vor Manipulationen schützen. Der Assistent erlaubt die manuelle Signierung, eine Aktualisierung der Signierung und eine Signierung auf Basis automatischer Einstellungen. Mit Windows Server 2016 lassen sich nicht zuletzt signierte Zonen problemlos auch auf andere DNS-Server im Netzwerk replizieren.

(ln)

»Wir beschäftigen uns derzeit intensiv mit der Härtung von Windows Server 2016. Als besonders unsicheres Einfallstor erscheint uns der Webserver IIS. Welche Maßnahmen und Einstellungen empfehlen Sie, um hier für einen umfassenden Schutz zu sorgen?«

Wenn Sie dafür

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.