lcer00
28.10.2018, aktualisiert um 08:30:37 Uhr
view13055
view8
3
Goto Top

DNSSEC Validation für Windows Server aktivieren

TippMicrosoftWindows Server
Hallo zusammen,

es gab ja gerade ein paar schöne Artikel auf Heise zum Thema DNSSEC. Die Jungs dort hätten vielleicht mal vorher miteinander reden sollen...

https://www.heise.de/newsticker/meldung/Kommentar-Vom-DNS-aktuellen-Hype ...
https://www.heise.de/security/meldung/Kommentar-zu-DNS-over-HTTPS-Die-Gr ...

jedenfalls lesenswert!

Fazit: Die DNSSEC Validierung sollte auf jeden Fall genutzt werden. (Zum klarstellen - ich meine hier DNSSEC zwischen dem DNS-Server im LAN und dem externen DNS-Server, an den DNS-Anfragen weitergeleitet werden. Ich meine nicht die Signierung eigener Zonen)

Zu bind9 gibt es schöne Anleitungen, z.B. https://ftp.isc.org/isc/dnssec-guide/dnssec-guide.pdf

Zu Windows Server (bei mir 2012 R2) habe ich nicht gleich was gefunden, dann aber doch:

https://www.heise.de/ct/hotline/dnscmd-holt-keinen-Vertrauensanker-40948 ...
https://blog.cdemi.io/enabling-windows-dns-server-to-validate-dnssec/

Zuerst muss die Eigenschaften des DNS-Server überprüfen
  • dnsmgmt.msc
  • Server auswählen
  • Rechtsklick auf Server
  • Eigenschaften -> Reiter "Erweitert"
  • Häkchen bei DNSSEC-Überprüfung für Remote antworten aktivieren!

Dann kann man das Schlüsselherunterladen manuell anstoßen:
dnscmd.exe localhost /RetrieveRootTrustAnchors /f

Ganz wichtig ist dabei das /f ! Ohne das erscheint eine Sicherheitsabfrage, die man nur falsch beantworten kann.

Alternativ gibt man den TrustAnchor per Hand ein:

  • dnsmgmt.msc
  • Server auswählen
  • Rechtsklick auf Vertrauenspunkte
  • Hinzufügen -> DS
  • Name: . (nur ein Punkt!)
  • Schlüsselkennzeichen: (siehe unten)
  • Algoritmus: RSA/SHA256
  • Digesttyp: SHA-256
  • Digest: (siehe unten)


Wichtig: Momentan werden bei iana https://data.iana.org/root-anchors/root-anchors.xml 2 TrustAnchors angezeigt. Beim manuellen Hinzufügen muss man beide nacheinander angeben (also das ganze 2 mal"):

<?xml version="1.0" encoding="UTF-8"?>  
<TrustAnchor id="0AF79DEA-A7CD-43DC-9EDD-AD241CA63AE2" source="http://data.iana.org/root-anchors/root-anchors.xml">  
<Zone>.</Zone>
<KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00">  
<KeyTag>19036</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest>
</KeyDigest>
<KeyDigest id="Klajeyz" validFrom="2017-02-02T00:00:00+00:00">  
<KeyTag>20326</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D</Digest>
</KeyDigest>
</TrustAnchor>

Testen kann man das dann hier:
https://dnssec.vs.uni-due.de/
http://www.dnssec-or-not.com/ (gefällt mit besonders gut face-smile )

Grüße

lcer

PS: Das ist keine Anleitung - Da es keine Kategorie "Kurzanleitung" gibt - ist es ein Tipp
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 390982

Url: https://administrator.de/contentid/390982

Ausgedruckt am: 27.11.2024 um 02:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 28.10.2018 aktualisiert um 12:18:40 Uhr
Goto Top
Moin Icer,
vielen Dank für den Beitrag.

Die beiden (Prüf)Links zeigen auch bereits vor der Aktivierung einen positives Resultat an. Die mir einzigst bekannte Variante die Validierung zu prüfen ist über dig.


Gruß,
Dani
LordGurke
LordGurke 28.10.2018 um 15:07:42 Uhr
Goto Top
Die Prüf-Links testen nur, ob eine absichtlich mit kaputter Signatur versehene Subdomain aufgelöst wird oder nicht.
Wird diese nicht aufgelöst, geht der Test davon aus dass DNSSEC eingesetzt wird - wo das aber umgesetzt wird, kann man daran nicht erkennen.
Ob das dein Client selbst macht, der Resolver im LAN oder ein eventuell vorgeschalteter Resolver kann so nicht unterschieden werden.
Dani
Dani 28.10.2018 aktualisiert um 18:15:44 Uhr
Goto Top
Moin @LordGurke,
wenn ich solch eine Technik auf meinen DNS-Server aktiviere, will ich doch wissen, ob beim Client die Daten unverfälscht an kommen und nicht was mir eine Webseite sagt?! Vllt. stehe ich auch aufm Schlauch...


Gruß,
Dani
LordGurke
LordGurke 28.10.2018 um 17:48:46 Uhr
Goto Top
Mein Hinweis war auch nicht an dich gerichtet face-wink
Dani
Dani 28.10.2018 um 18:16:14 Uhr
Goto Top
Guten Abend,
war für mich nicht direkt ersichtlich, da du auf meinen Kommentar geantwortet hast. face-smile


Gruß,
Dani
lcer00
lcer00 10.06.2021 um 10:16:44 Uhr
Goto Top
Hallo,

kleines Update zu Windows Server 2019

Die RootTrustAnchors können mit folgendem Powershellbefehl geladen werden:
Add-DnsServerTrustAnchor -Root
Die Verwendung von dnscmd schlug bei mit dafür fehl.

Die Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnableDnsSec 1
Danach Neustart des Dienstes.

Wieder ausschalten:
dnscmd /config /EnableDnsSec 0
Danach Neustart des Dienstes.

Status anzeigen:
dnscmd /info /EnableDnsSec

oder
Get-DNSServerSetting -All | fl EnableDNSSec


Grüße

lcer
ketanest112
ketanest112 18.01.2022 aktualisiert um 10:41:00 Uhr
Goto Top
Zitat von @lcer00:
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnabledDnsSec 1
Danach Neustart des Dienstes.

Wieder ausschalten:
dnscmd /config /EnabledDnsSec 0
Danach Neustart des Dienstes.

Kurze Anmerkung hierzu, da es nicht funktioniert hat: Die genaue Syntax ist
dnscmd /config /EnableDnsSec 1
oder eben 0 am Ende, das kleine d am Ende von Enabled muss weg. Tippfehler oder? face-wink

EDIT: Schon madig, dass das seit Server 2016 nicht mehr komfortabel über die Checkbox geht... Manchmal baut MS auch einfach Müll...

Grüße
Ketanest
lcer00
lcer00 18.01.2022 um 10:51:29 Uhr
Goto Top
Zitat von @ketanest112:

Zitat von @lcer00:
Die Aktivierung der Funktion ist weiter über dnscmd möglich:
dnscmd /config /EnabledDnsSec 1
Danach Neustart des Dienstes.

Wieder ausschalten:
dnscmd /config /EnabledDnsSec 0
Danach Neustart des Dienstes.

Kurze Anmerkung hierzu, da es nicht funktioniert hat: Die genaue Syntax ist
dnscmd /config /EnableDnsSec 1
oder eben 0 am Ende, das kleine d am Ende von Enabled muss weg. Tippfehler oder? face-wink

EDIT: Schon madig, dass das seit Server 2016 nicht mehr komfortabel über die Checkbox geht... Manchmal baut MS auch einfach Müll...

Grüße
Ketanest

Tippfehler, ich habs geändert.

Grüße

lcer
TippMicrosoftWindows Server
Mehr von lcer00lcer00Ereignisweiterleitung: Benötigt ein quellinitiiertes Abonnement WinRM eingehend am Quellcomputer?lcer00 - 2 Kommentarelcer00Kann man sich in Teams benachrichtigen lassen, wenn eine neue Email in einem freigegebenen Postfach eintrifft?lcer00 - 2 Kommentarelcer00Was hat einen Salesforce ODBC Treiber installiert?lcer00 - 2 Kommentarelcer00FortiGate 40F, 60E, 60F, 80E, oder 90E kann ab FortiOS 7.2.6 nicht mehr Fabric Root seinlcer00 - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 KommentareStefanKittelWarum machen Leute eigentlich einen Job von dem sie keine Ahnung haben?StefanKittel - 17 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 15 KommentareCoreknabePCIe x8 problemlos in x16?Coreknabe - 14 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareRalBloHausverkabelung Teil 2RalBlo - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 Kommentare