Windows DNSSEC Migration Fail
Hallo!
Musste vergangene Woche einen abgerauchten DNS-Server unter Windows 2012 R2 auf einen neuen Windows 2019 bringen. Da Standalone Server
ohne AD-Integration und Speicherung der Domain-Daten als Dateien in C:\Windows\system32\DNS sollte es ja kein Problem sein, das Backup auf
den neuen Server (gleiche IP) einzuspielen.
Leider falsch gedacht, da dieser Server auch noch DNSSEC hatte und zwei Umstände eingetreten sind:
a) es gibt einen Bug in Windows 2016 aufwärts (siehe https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-932 ..), wonach DNSSEC nicht mehr in der GUI aktiviert werden kann und demnach inaktiv wird
b) in Folge ist nun die Domäne ungültig (da kein RRSIG returned und nach manueller Aktivierung von DNSSEC waren die RRSIGs am Vortag abgelaufen) geworden und die Vertrauenskette wurde unterbrochen
Habe nun die Zone am Server unsigniert und frisch signiert, aber es hakt noch. Dazu meine Frage: wo ist der DNSSEC-PrivateKey des Servers gespeichert bzw. wie kann
ich überprüfen, ob er mit dem des alten Servers (von dem ich wie gesagt ein Backup habe) sicher identisch ist?
Andernfalls müsste ich ja den neuen Public-Key dem Provider raufladen, damit die Vertrauenskette wieder klappt, sehe ich das richtig?
Danke im voraus!
Musste vergangene Woche einen abgerauchten DNS-Server unter Windows 2012 R2 auf einen neuen Windows 2019 bringen. Da Standalone Server
ohne AD-Integration und Speicherung der Domain-Daten als Dateien in C:\Windows\system32\DNS sollte es ja kein Problem sein, das Backup auf
den neuen Server (gleiche IP) einzuspielen.
Leider falsch gedacht, da dieser Server auch noch DNSSEC hatte und zwei Umstände eingetreten sind:
a) es gibt einen Bug in Windows 2016 aufwärts (siehe https://social.technet.microsoft.com/Forums/en-US/34e0d2b2-438b-4116-932 ..), wonach DNSSEC nicht mehr in der GUI aktiviert werden kann und demnach inaktiv wird
b) in Folge ist nun die Domäne ungültig (da kein RRSIG returned und nach manueller Aktivierung von DNSSEC waren die RRSIGs am Vortag abgelaufen) geworden und die Vertrauenskette wurde unterbrochen
Habe nun die Zone am Server unsigniert und frisch signiert, aber es hakt noch. Dazu meine Frage: wo ist der DNSSEC-PrivateKey des Servers gespeichert bzw. wie kann
ich überprüfen, ob er mit dem des alten Servers (von dem ich wie gesagt ein Backup habe) sicher identisch ist?
Andernfalls müsste ich ja den neuen Public-Key dem Provider raufladen, damit die Vertrauenskette wieder klappt, sehe ich das richtig?
Danke im voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 655034
Url: https://administrator.de/contentid/655034
Ausgedruckt am: 21.11.2024 um 22:11 Uhr