2
DNSSEC Validierung unter Windows Server
Hallo liebe Kolleginnen und Kollegen,
es soll in einer Umgebung die DNSSEC Validierung zum Einsatz kommen. Es handelt sich dabei um Server, welche unter Windows Server 2012R2 Standard (Updates: Jan. 2019) laufen. Diese haben wiederum Weiterleitungen in den Eigenschaften des DNS-Server eingerichtet, welche die Anfragen an DNS-Server in weitere Instanz weitergeben.
Die vorgelagerten DNS Server laufen unter Debian und BIND9 bzw. PowerDNS. Auf diesen Systemen ist bereits die DNSSEC Validierung aktiviert und läuft bisher problemlos.
Nun haben wir die DNSSEC Validierung auf den Windows Servern aktiviert und konfiguiert. Es gibt dazu einige Artikel im Internet. Referenz ist dieser hier.
Wie es so üblich ist, befindet sich zwischen dem Netzwerksegment in dem die Windows Server und den Debian DNS-Server eine Firewall. Sind schließlich zwei Sicherheitszonen.
Sobald eine Anfrage von Windows Server bearbeitet (wurde) sehen wir im Logfile der Firewall, dass dieser versucht hat über Port 53/UDP eine Verbindung zu einem DNS-Server im Internet aufzubauen. Ich habe etliche Versuche gemacht, um irgendwie ein Schema zu erkennen. Wie ich es bisher analysieren konnte, wird immer (einer) der authoritative Nameserver der Domain angesprochen. Sogar wenn dessen Schlüsselmaterial noch im Cache gespeichert und gültig ist. Sperrt man die direkten, externen DNS Abfragen, ist auch eine merkbare Verzögerung beim Aufruf einer Internetseite spürbar.
Bei den DNS-Server unter Linux ist dem nicht so. Eine absichtliche Reproduktion der Thematik war nicht möglich. Dort werden ausschließlich die konfiguierten DNS-Server im Bereich "forwards" abgefragt - immer.
Hat von euch jemand die selbe bzw. ähnliche Problematik unter Windows Server 2012R2 beobachtet? Im Internet konnte ich bisher keine detailierte Info (DNSSEC, Validierung und Outbound Firewalling) finden.
Hat von euch jemand die DNSSEC Validierung unter Windows Server 2016 oder sogar 2019 im Einsatz? Nicht das es zuletzt noch ein Bug unter Windows Server 2012R2 ist.
Gruß,
Dani
es soll in einer Umgebung die DNSSEC Validierung zum Einsatz kommen. Es handelt sich dabei um Server, welche unter Windows Server 2012R2 Standard (Updates: Jan. 2019) laufen. Diese haben wiederum Weiterleitungen in den Eigenschaften des DNS-Server eingerichtet, welche die Anfragen an DNS-Server in weitere Instanz weitergeben.
Die vorgelagerten DNS Server laufen unter Debian und BIND9 bzw. PowerDNS. Auf diesen Systemen ist bereits die DNSSEC Validierung aktiviert und läuft bisher problemlos.
Nun haben wir die DNSSEC Validierung auf den Windows Servern aktiviert und konfiguiert. Es gibt dazu einige Artikel im Internet. Referenz ist dieser hier.
Wie es so üblich ist, befindet sich zwischen dem Netzwerksegment in dem die Windows Server und den Debian DNS-Server eine Firewall. Sind schließlich zwei Sicherheitszonen.
Sobald eine Anfrage von Windows Server bearbeitet (wurde) sehen wir im Logfile der Firewall, dass dieser versucht hat über Port 53/UDP eine Verbindung zu einem DNS-Server im Internet aufzubauen. Ich habe etliche Versuche gemacht, um irgendwie ein Schema zu erkennen. Wie ich es bisher analysieren konnte, wird immer (einer) der authoritative Nameserver der Domain angesprochen. Sogar wenn dessen Schlüsselmaterial noch im Cache gespeichert und gültig ist. Sperrt man die direkten, externen DNS Abfragen, ist auch eine merkbare Verzögerung beim Aufruf einer Internetseite spürbar.
Bei den DNS-Server unter Linux ist dem nicht so. Eine absichtliche Reproduktion der Thematik war nicht möglich. Dort werden ausschließlich die konfiguierten DNS-Server im Bereich "forwards" abgefragt - immer.
Hat von euch jemand die selbe bzw. ähnliche Problematik unter Windows Server 2012R2 beobachtet? Im Internet konnte ich bisher keine detailierte Info (DNSSEC, Validierung und Outbound Firewalling) finden.
Hat von euch jemand die DNSSEC Validierung unter Windows Server 2016 oder sogar 2019 im Einsatz? Nicht das es zuletzt noch ein Bug unter Windows Server 2012R2 ist.
Gruß,
Dani
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 421884
Url: https://administrator.de/contentid/421884
Printed on: May 9, 2024 at 00:05 o'clock
2 Comments
Latest comment
Moin,
mal eine kurze Zwischenfrage zu dem Design:
Wenn Deine eigentlichen DNS Server (Debian) DNSSEC schon validieren, warum muss/willst Du das dann noch auf den nachgelagerten Servern aktivieren? Reicht das nicht aus?
Gruss
mal eine kurze Zwischenfrage zu dem Design:
Wenn Deine eigentlichen DNS Server (Debian) DNSSEC schon validieren, warum muss/willst Du das dann noch auf den nachgelagerten Servern aktivieren? Reicht das nicht aus?
Gruss
Moin,
Warum? Kannst du hier nachlesen.
Gruß,
Dani
Wenn Deine eigentlichen DNS Server (Debian) DNSSEC schon validieren, warum muss/willst Du das dann noch auf den nachgelagerten Servern aktivieren? Reicht das nicht aus?
Wenn ich dir sage, dass vor den Debian Systemen nochmals DNS-Server stehen, was sagt du dann? Warum? Kannst du hier nachlesen.
Gruß,
Dani
