SID-500

Home » Security » Windows Server 2016: DNS Serveroptionen (Cache vor Beschädigungen sichern, Round Robin …)

Windows Server 2016: DNS Serveroptionen (Cache vor Beschädigungen sichern, Round Robin …)

In diesem Artikel widme ich mich den erweiterten Einstellungen eines DNS-Server unter Windows Server 2016 und Vorgängerversionen. Was bedeuten die Einstellungen Round-Robin, Cache vor Beschädigungen sichern, Rekursionsvorgang (und Weiterleitungen) deaktivieren, BIND-Sekundärzonen aktivieren, Beim Laden unzulässiger Zonendaten einen Fehler zurückgeben und Netzwerkmaskenanforderung aktivieren im Detail? Genau diese Frage möchte ich beantworten.

Standardeinstellungen

Die Settings sind in dnsmgmt.msc in den Eigenschaften des DNS-Servers zu finden (rechte Maustaste auf den Computernamen – Eigenschaften).

20.PNG

Was bedeutet das für meinen DNS-Server?

Ich habe die Settings durchnummeriert um es übersichtlicher zu gestalten.

22.PNG

 

 

 

 

 

 

 

 

 

1 – Rekursionsvorgang (und Weiterleitungen) deaktivieren

Wird der Rekursionsvorgang deaktiviert dann nimmt der Server nur iterative Anfragen entgegen.

Rekursiv

Rekursiv bedeutet, dass der DNS-Server Daten von einem anderen DNS-Server holt. Clients fragen in der Regel immer rekursiv. Clients erwarten eine Antwort oder keine und keine weiteren Verweise. Um das zu verdeutlichen aktiviere ich das Feature.

Unbenannt.PNG

Die Namensauflösungsanfrage bei deaktiviertem Rekursionsvorgang geht dann mit einem Query refused ins Leere.

23.PNG

Iterativ

Die Einstellung Rekursionsvorgang (und Weiterleitungen) deaktivieren ist unter anderem bei den DNS Root Servern aktiv. Bei der iterativen Anfrage verweist der Root Server den DNS-Server A auf andere DNS-Server. Soll bedeuten, dass der Root Server nicht die Arbeit für DNS-Server A macht.

2 – BIND-Sekundärzonen aktivieren

Dieses Feature ist für Legacy BIND (Open Source, Linux) Secondary DNS-Server gedacht. Wenn der Windows DNS-Server mit einem Linux DNS-Server einen DNS-Zonentransfer durchführen soll, dann muss dieses Feature aktiviert sein.

3 – Beim Laden unzulässiger Zonendaten einen Fehler zurückgeben

Bei fehlerhaften Einträgen in der Zonendatenbank wird diese nicht geladen, Fehler werden protokolliert. Das heißt einfacher gesagt, dass bei Fehler der Datenbank einer Zone der Server die Funktion als DNS-Server dieser Zone einstellt.

4 – Roundrobin aktivieren

Existieren mehrere A oder AAAA Einträge für einen Host gibt der DNS-Server einmal Eintrag A und beim nächsten Mal Eintrag B zurück (Lastverteilung). Im Screenshot hat Computer A zwei Einträge.

24.PNG

Der DNS-Server wird nun bei einer DNS-Anfrage für Computer A einmal die IP 192.168.0.150 und das nächste Mal die IP 192.168.0.151 zurückgeben und dann wieder 192.168.0.150 usw… Mit nslookup lässt sich der Vorgang zeigen.

25.PNG

5 – Netzwerkmaskenanforderung aktivieren

Existieren mehrere Einträge für einen Host wird die IP-Adresse zurückgegeben, welche sich im gleichen Subnetz wie der anfragende DNS-Client befindet (setzt Roundrobin außer Kraft). Für ComputerB existieren zwei Einträge.

26.PNG

Mein Computer befindet sich im Subnetz 192.168.0.0/24. Dies entspricht dem ersten Eintrag von ComputerB (192.168.0.152). Bei einem ping zu ComputerB wird – intelligent – die IP 192.168.0.152 zurückgegeben.

27.PNG

6 – Cache vor Beschädigungen sichern

Hindert einen Angreifer an einer Beschädigung des Server-Cache durch Ressourcen-Einträge, die nicht vom DNS-Server angefordert wurden. Sprich keine Fragen keine Antworten. Antworten ohne Fragen werden nicht angenommen.

Weiterführendes

Mehr zur DNS Namensauflösung in meinem Beitrag Wie funktioniert die DNS Namensauflösung?. Wer aus einem Nano Server, der kleinsten Variante eines Windows Servers einen DNS-Server machen möchte wird hier fündig: Nano Server (Teil 4): Nano Server als DNS-Server konfigurieren


2 Comments

  1. […] Das schaut gut aus. Der DNS-Server ist installiert und antwortet auf Requests. Wie man den Server absichert ist in meinem Beitrag Windows Server 2016: DNS Serveroptionen (Cache vor Beschädigungen sichern, Round Robin …) beschrieben. […]

    Like

  2. […] eines der wichtigsten Tools zur Überprüfung der DNS Funktionalität. Nslookup kontaktiert den konfigurierten DNS Server und  ermittelt so den Namen oder die IP-Adresse eines Computers. Im Unterschied zu A-Records unter […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com