(0) exportieren Drucken
Alle erweitern

Schritt für Schritt: Vorführen von DNSSEC in einem Testlabor

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Februar 2012

Betrifft: Windows Server 2012

DNSSEC (Domain Name System Security Extensions) ist eine Sammlung von Erweiterungen zur Erhöhung der Sicherheit des DNS-Protokolls. Mit DNSSEC können nicht autoritative DNS-Server die Antworten überprüfen, die sie beim Abfragen anderer DNS-Server erhalten. Außerdem können Computer unter Windows® 7 oder höher so konfiguriert werden, dass diese Überprüfung ausgeführt werden muss.

Diese Anleitung enthält schrittweise Anleitungen zum Bereitstellen von DNSSEC in einer Testumgebung mit zwei Servercomputern oder – optional – drei Servercomputern und einem Clientcomputer. Die Software- und Hardwareanforderungen sind angegeben, und es ist auch eine Übersicht über DNSSEC enthalten.

ImportantWichtig
Die folgenden Anweisungen beschreiben das Konfigurieren einer Testumgebung mit der Mindestanzahl an Computern. Es werden einzelne Computer benötigt, um die im Netzwerk bereitgestellten Dienste voneinander zu trennen und die gewünschte Funktionalität deutlich zu demonstrieren. Bei dieser Konfiguration handelt es sich weder um eine empfohlene Vorgehensweise noch um eine erwünschte oder empfohlene Konfiguration für ein Produktionsnetzwerk. Die Konfiguration, einschließlich IP-Adressen und aller anderen Konfigurationsparameter, ist ausschließlich zur Verwendung in einem separaten Testlabornetzwerk vorgesehen.

Das DNS-Protokoll ist aufgrund eines vererbten Mangels an Authentifizierungs- und Integritätsüberprüfungen von Daten, die zwischen DNS-Servern ausgetauscht oder für DNS-Clients bereitgestellt werden, anfällig für Angriffe. DNSSEC erhöht die Sicherheit für DNS-Antworten, indem DNS-Server DNS-Antworten überprüfen können. Bei DNSSEC werden Ressourceneinträgen digitale Signaturen hinzugefügt. Diese digitalen Signaturen werden mithilfe eines als Zonensignatur bezeichneten Vorgangs generiert, wenn DNSSEC auf eine DNS-Zone angewendet wird. Wenn ein Resolver eine DNS-Abfrage für einen Ressourceneintrag in einer signierten Zone ausgibt, wird mit der Antwort eine digitale Signatur zurückgegeben, damit die Überprüfung ausgeführt werden kann. Wenn die Überprüfung erfolgreich war, beweist dies, dass die Daten in keiner Weise geändert oder manipuliert wurden.

DNS-Spoofing ist ein Angriffstyp, der den Identitätswechsel von DNS-Serverantworten zum Einführen falscher Informationen beinhaltet. Bei einem Spoofingangriff vermutet ein böswilliger Benutzer, dass ein DNS-Client oder Server eine DNS-Abfrage gesendet hat und auf eine DNS-Antwort wartet. Im Falle eines erfolgreichen Spoofingangriffs wird eine gefälschte DNS-Antwort in den Cache des DNS-Servers eingefügt. Dieser Vorgang wird als Cache-Poisoning bezeichnet. Ein gespoofter DNS-Server hat keine Möglichkeit zu überprüfen, ob die DNS-Daten authentisch sind, und antwortet aus dem Cache mithilfe der gefälschten Informationen. Ein Angreifer kann auch die Gültigkeitsdauer (Time to Live, TTL) für gefälschte DNS-Daten auf ein sehr langes Intervall festlegen, damit der DNS-Servercache viele Stunden oder Tage "vergiftet" bleibt. Es ist auch möglich, einen DNS-Spoofingangriff direkt an einen DNS-Client zu senden. Diese Angriffe sind jedoch nicht so dauerhaft wie Cache-Poisoning-Angriffe. Diese beiden Angriffstypen können mit DNSSEC verhindert werden, indem DNS-Antworten auf ihre Echtheit überprüft werden müssen. Siehe folgende Abbildung.

DNS-Spoofingangriff

DNSSEC verwendet digitale Signaturen und Kryptografieschlüssel, um zu überprüfen, ob DNS-Antworten echt sind. In den folgenden Themen wird die Verwaltung dieser Signaturen und die Ausführung der Überprüfung kurz erläutert.

Mit DNSSEC generierte Signaturen sind in der DNS-Zone selbst in den neuen Ressourceneinträgen enthalten. Diese neuen Ressourceneinträge werden als RRSIG-Einträge (Ressourceneintragssignatur) bezeichnet. Wenn ein Resolver eine Abfrage für einen Namen ausstellt, wird der RRSIG-Eintrag in der Antwort zurückgegeben. Es ist ein als DNSKEY bezeichneter öffentlicher Kryptografieschlüssel erforderlich, um die Signatur zu überprüfen. DNSKEY wird während der Überprüfung von einem DNS-Server abgerufen.

Wenn Sie eine Zone mit DNSSEC signieren, signieren Sie alle in der Zone enthaltenen Einträge einzeln. Dadurch können Einträge in der Zone hinzugefügt, geändert oder gelöscht werden, ohne die gesamte Zone erneut signieren zu müssen. Nur die aktualisierten Einträge müssen erneut signiert werden.

Was geschieht bei einer DNS-Abfrage für einen nicht vorhandenen Eintrag? Wenn der DNS-Server antwortet, dass kein Eintrag gefunden wurde, muss die Echtheit dieser Antwort auch überprüft werden. Da es jedoch keinen Ressourceneintrag gibt, gibt es auch keinen RRSIG-Eintrag. Die Antwort auf dieses Problem ist der NSEC-Eintrag (Next Secure). NSEC-Einträge erstellen eine Kette mit Verknüpfungen zwischen signierten Ressourceneinträgen. Zum Erstellen von NSEC-Einträgen wird die Zone sortiert, und die NSEC-Einträge werden so erstellt, dass jeder NSEC-Eintrag einen Zeiger auf den nächsten NSEC-Eintrag aufweist. Der letzte NSEC-Eintrag zeigt wieder auf den ersten Eintrag. Wenn eine Abfrage für einen nicht vorhandenen Eintrag gesendet wird, gibt der DNS-Server den NSEC-Eintrag vor der Stelle zurück, an der sich der nicht vorhandene Eintrag in der Reihenfolge befunden hätte. Dies ermöglicht die so genannte authentifizierte Abwesenheit.

NSEC3 ist ein Ersatz für oder eine Alternative zu NSEC und weist den zusätzlichen Vorteil auf, dass "Zone Walking" verhindert wird. Dabei handelt es sich um wiederholte NSEC-Abfragen, um alle Namen in einer Zone abzurufen. Ein DNS-Server unter Windows Server® 2012 unterstützt NSEC und NSEC3. Eine Zone kann mit NSEC oder NSEC3 signiert werden, jedoch nicht mit beiden.

Ein Vertrauensanker ist ein vorkonfigurierter öffentlicher Schlüssel, der einer bestimmten Zone zugeordnet ist. Ein DNS-Server für die Überprüfung muss mit mindestens einem Vertrauensanker konfiguriert sein, um die Überprüfung auszuführen. Wenn der DNS-Server auf einem Domänencontroller ausgeführt wird, werden die Vertrauensanker in der Verzeichnispartition der Gesamtstruktur in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert und können auf allen Domänencontrollern in der Gesamtstruktur repliziert werden. Auf eigenständigen DNS-Servern werden Vertrauensanker in einer Datei mit dem Namen TrustAnchors.dns gespeichert. Auf einem DNS-Server unter Windows Server 2012 werden konfigurierte Vertrauensanker auch in der DNS-Manager-Konsolenstruktur im Container Vertrauenspunkte angezeigt. Sie können Vertrauensanker auch mit Windows PowerShell oder "Dnscmd.exe" anzeigen.

Die DNSSEC-Schlüsselverwaltungsstrategie umfasst das Planen der Schlüsselgenerierung, der Schlüsselspeicherung, des Schlüsselablaufs und der Schlüsselersetzung. Der Schlüsselablauf und die Schlüsselersetzung in DNSSEC werden zusammen als Schlüsselrollover bezeichnet. Unter Windows Server 2012 wurde die Schlüsselverwaltung durch eine einfache und flexible Schlüsselgenerierung, Active Directory-Speicherung und -Replikation und ein automatisiertes Schlüsselrollover erleichtert.

Unter Windows 8 und Windows Server 2012 nimmt der DNS-Clientdienst wie Computer unter Windows 7 und Windows Server® 2008 R2 weiterhin keine Überprüfung vor, und er ist nicht sicherheitsbewusst. Wenn der DNS-Client eine Abfrage ausgibt, kann er dem DNS-Server angeben, dass er DNSSEC versteht. Der Client nimmt jedoch keine Überprüfung vor. Beim Ausgeben von Abfragen verwendet der DNS-Client den lokalen DNS-Server, um anzugeben, dass die Überprüfung erfolgreich war. Wenn der Server die Überprüfung nicht ausführen kann oder meldet, dass die Überprüfung nicht erfolgreich war, kann der DNS-Clientdienst so konfiguriert werden, dass keine Ergebnisse zurückgegeben werden.

Die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) ist eine Tabelle mit Regeln, die Sie konfigurieren können, um DNS-Einstellungen oder spezielle Verhaltensweisen für Namen oder Namespaces anzugeben. Die NRPT kann mithilfe der Gruppenrichtlinie oder der Windows-Registrierung konfiguriert werden.

Beim Ausführen der DNS-Namensauflösung überprüft der DNS-Clientdienst die NRPT, bevor eine DNS-Abfrage gesendet wird. Wenn eine DNS-Abfrage oder -Antwort mit einem Eintrag in der NRPT übereinstimmt, wird sie gemäß den Einstellungen in der Richtlinie verarbeitet. Abfragen und Antworten, die mit keinem NRPT-Eintrag übereinstimmen, werden normal verarbeitet. Sie können mithilfe der NRPT fordern, dass der DNS-Clientdienst eine DNSSEC-Überprüfung von DNS-Antworten für die von Ihnen angegebenen Namespaces vornimmt.

Mit dieser Testumgebung wird die neue DNSSEC-Funktionalität unter Windows Server 2012 veranschaulicht. Es werden drei Server- und ein Clientcomputer verwendet. Siehe folgende Abbildung.

DNSSEC-Lab-Setup

Zum Abschließen dieser Testumgebung sind zwei Servercomputer erforderlich. Optional können drei Servercomputer und ein Clientcomputer verwendet werden, um zusätzliche Schritte in der Testumgebung auszuführen.

Die folgenden Komponenten sind für die Testumgebung erforderlich:

  1. Die Produkt-CD oder Installationsmedien für Windows Server 2012.

  2. Zwei Computer, die die Mindesthardwareanforderungen für Windows Server 2012 erfüllen.

Die folgenden Komponenten werden für die Testumgebung empfohlen, sie sind jedoch nicht erforderlich:

  1. Die Produkt-CD oder Installationsmedien für Windows® 8.

  2. Zwei Computers, die die Mindesthardwareanforderungen für Windows Server 2012 und Windows 8 erfüllen.

Mit den folgenden Verfahren werden Computer für den Demonstrationsteil der Testumgebung konfiguriert:

  • Konfigurieren von DC1: DC1 ist ein Domänencontroller und in Active Directory integrierter autoritativer DNS-Server.

  • Konfigurieren von DNS1: DNS1 ist ein nicht autoritativer DNS-Cacheserver.

  • Konfigurieren von DC2: DC2 ist ein sekundärer Domänencontroller und in Active Directory integrierter DNS-Server.

  • Konfigurieren von Client1: Es werden Gruppenrichtlinieneinstellungen für DNS auf Client1 angewendet, und mit diesem Computer werden DNS-Clientabfragen ausgegeben.

DC1 ist ein Computer, auf dem Windows Server 2012 ausgeführt wird, und der die folgenden Dienste zur Verfügung stellt:

  • Einen Domänencontroller für die Active Directory-Domäne "contoso.com".

  • Ein autorisierender DNS-Server für die DNS-Zone "contoso.com".

  • Ein DNSSEC-Schlüsselmaster für die DNS-Zone "contoso.com".

Die Erstkonfiguration von DC1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden auf DC1 zusätzliche Aufgaben ausgeführt. Dazu gehören die NRPT-Konfiguration, die DNSSEC-Zonensignatur, die Verteilung von Vertrauensankern und die Demonstration des DNSSEC-Schlüsselrollovers.

  1. Starten Sie Ihren Computer mit der Produkt-CD für Windows Server 2012 oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf und verwenden Sie für die Anmeldung das lokale Administratorkonto.

  4. Wenn Sie aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren, klicken Sie auf Annehmen.

  5. Klicken Sie auf Start, geben Sie ncpa.cpl ein, und drücken Sie die EINGABETASTE. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

    TipTipp
    Der vorangehende Schritt demonstriert eine neue Funktionalität in Windows Server 2012, mit der Sie Anwendungen, Einstellungen und Dateien suchen und ausführen können, indem Sie auf Start klicken und dann einen Suchbegriff eingeben. Sie können den Systemsteuerungsbereich Netzwerkverbindungen auch öffnen, indem Sie im Server-Manager in der Ansicht Lokaler Server neben Wired Ethernet Connection klicken. Weitere Informationen finden Sie unter Allgemeine Verwaltungsaufgaben und Navigation in Windows Server 2012 (http://go.microsoft.com/fwlink/p/?LinkId=242147).

  6. Unter Netzwerkverbindungen klicken Sie mit der rechten Maustaste auf Wired Ethernet Connection und anschließend auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Neben IP-Adresse geben Sie 10.0.0.1 ein und neben Subnetzmaske geben Sie 255.255.255.0 ein. Es ist nicht erforderlich neben Standardgateway einen Eintrag vorzunehmen.

  10. Neben Bevorzugter DNS-Server geben Sie 10.0.0.1 ein.

  11. Klicken Sie zwei Mal auf OK, und schließen Sie den Systemsteuerungsbereich Netzwerkverbindungen.

DC1 dient als primärer Domänencontroller und DNS-Server für die Active Directory-Domäne "contoso.com".

  1. Das Server-Manager-Dashboard wird standardmäßig angezeigt. Klicken Sie im Navigationsbereich auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter EIGENSCHAFTEN auf den Namen neben Computername. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DC1 als Computername ein.

  4. Klicken Sie zweimal auf OK, und klicken Sie dann auf Schließen.

  5. Wenn Sie zum Neustarten des Computers aufgefordert werden, klicken Sie auf Restart Now.

  6. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das lokale Administratorkonto.

  7. Klicken Sie im Server-Manager unter Configure this local server auf Add Roles and Features.

  8. Klicken Sie im Add Roles and Features Wizard drei Mal auf Weiter. Aktivieren Sie anschließend auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Domänendienste.

  9. Wenn Sie aufgefordert werden, erforderliche Features hinzuzufügen, klicken Sie auf Features hinzufügen.

  10. Klicken Sie dreimal auf Weiter und dann auf Installieren.

  11. Warten Sie, bis der Installationsvorgang abgeschlossen wurde und überprüfen Sie auf der Seite Installationsfortschritt, dass die Meldung Konfiguration erforderlich. Installation auf DC1 wurde abgeschlossen angezeigt wird, und klicken Sie auf Schließen.

  12. Klicken Sie auf "Benachrichtigung", und klicken Sie dann auf Promote this server to a domain controller.

    Benachrichtigen
  13. Wählen Sie im Konfigurations-Assistenten für Active Directory-Domänendienste auf der Seite Bereitstellungskonfiguration die Option Add a new forest und geben Sie neben Stammdomänenname den Namen contoso.com ein.

  14. Klicken Sie auf Weiter, und geben Sie anschließend auf der Seite Domänencontrolleroptionen unter Type the Directory Services Restore Mode (DSRM) password ein Kennwort neben Kennwort ein, und bestätigen Sie dieses. Stellen Sie sicher, dass Domänennamenserver (DNS) und Globaler Katalog (GC) ausgewählt wurden, und klicken Sie auf Weiter.

  15. Klicken Sie fünfmal auf Weiter und dann auf Installieren.

  16. Der Computer wird automatisch neu gestartet, um den Installationsvorgang abzuschließen.

  17. Verwenden Sie für die Anmeldung das lokale Administratorkonto.

  18. Als Nächstes muss ein Domänenadministratorkonto erstellt werden, das beim Ausführen von Verfahren in der Testumgebung verwendet wird.

    TipTipp
    Sie können das CONTOSO-\Administratorkonto dieser Testumgebung verwenden und die Erstellung eines Domänenadministratorkontos überspringen, falls gewünscht. Dieses Konto verfügt unter anderem über Domänenadministratorberechtigungen. Es hat sich jedoch als sinnvoll erwiesen, dieses Konto zu deaktivieren oder umzubenennen. Weitere Informationen finden Sie unter Active Directory – Empfehlungen(http://go.microsoft.com/fwlink/p/?LinkID=243071).

  1. Klicken Sie in der Menüleiste von Server-Manager auf Tools und anschließend auf Active Directory-Benutzer und -Computer.

  2. Doppelklicken Sie in der Konsolenstruktur Active Directory-Benutzer und -Computer auf contoso.com. Klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer.

  3. Geben Sie im Dialogfeld New Object – User unter Benutzeranmeldename und neben Vollständiger Name den Namen user1 ein. Klicken Sie anschließend auf Weiter.

  4. Geben Sie neben Kennwort und Kennwort bestätigen ein Kennwort für das Konto "user1" ein.

  5. Deaktivieren Sie das Kontrollkästchen neben Benutzer muss Kennwort bei der nächsten Anmeldung ändern, aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

  6. Doppelklicken Sie auf user1, und klicken Sie dann auf die Registerkarte Member Of.

  7. Klicken Sie auf Hinzufügen, geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Eintrag domain admins ein, und klicken Sie zweimal auf OK. Schließen Sie nun die Konsole Active Directory-Benutzer und -Computer.

  8. Klicken Sie auf Start, klicken Sie auf Administrator, und klicken Sie auf Abmelden.

  9. Melden Sie sich beim Computer mit den Anmeldeinformationen von "user1" an, indem Sie neben CONTOSO\Administrator auf den Pfeil nach links und anschließend auf Other user klicken.

Konfigurieren Sie dann eine neue DNS-Zone: sec.contoso.com. Mit dieser Zone wird die DNSSEC-Zonensignatur veranschaulicht.

WarningWarnung
Die Domänenzone ("contoso.com") kann auch mit DNSSEC signiert werden. Die Testumgebung beinhaltet jedoch Überprüfungsfehlerszenarien, die komplexer werden, wenn die Domänenzone signiert ist.

  1. Klicken Sie im Server-Manager-Menü auf Tools und dann auf DNS.

  2. Klicken Sie in der Konsolenstruktur des DNS-Managers mit der rechten Maustaste auf Forward-Lookupzonen, und klicken Sie dann auf Neue Zone.

  3. Klicken Sie im Assistenten zum Erstellen neuer Zonen dreimal auf Weiter, und geben Sie dann unter Zonenname die Zeichenfolge sec.contoso.com ein.

  4. Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.

  5. Überprüfen Sie, ob die Zone sec.contoso.com unter Forward-Lookupzonen angezeigt wird.

  6. Fügen Sie der Zone "sec.contoso.com" dann einen oder mehrere DNS-Ressourceneinträge hinzu.

  7. Lassen Sie die DNS-Manager-Konsole geöffnet.

  1. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).

  2. Geben Sie im Dialogfeld Neuer Host unter Name den Namen dc1 ein, geben Sie unter IP-Adresse die Adresse 10.0.0.1 ein, und klicken Sie dann auf Host hinzufügen. Die IP-Adresse von dc1.contoso.com wird hier verwendet, um Erfolgs- und Fehlerszenarien für DNSSEC zu veranschaulichen.

  3. Vergewissern Sie sich, ob Der Hosteintrag "dc1.sec.contoso.com" wurde erfolgreich erstellt angezeigt wird, und klicken Sie dann auf OK.

  4. Fügen Sie der Zone bei Bedarf weitere Ressourceneinträge hinzu, und klicken Sie dann auf Fertig.

Mit DC1 wird die Funktionalität einer Netzwerkanwendung in einer Umgebung mit DNSSEC veranschaulicht.

  1. Klicken Sie im Navigationsbereich des Server-Managers auf Lokaler Server.

  2. Klicken Sie neben "Remotedesktop" auf das Wort "Deaktiviert".

  3. Klicken Sie im Dialogfeld "Systemeigenschaften" auf der Registerkarte "Remote" auf "Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird (weniger Sicherheit)", und klicken Sie dann auf "OK".

DNS1 ist ein Computer, auf dem Windows Server® 2012 ausgeführt wird und der die folgenden Dienste zur Verfügung stellt:

  • Einen nicht autoritativen rekursiven DNS-Server

  • Einen DNS-Clientcomputer (optional: Wenn Client1 nicht verwendet wird)

Die Erstkonfiguration von DNS1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden mit DNS1 rekursive DNS-Abfragen ausgeführt, es wird ein Vertrauensanker für die Domäne "contoso.com" gehostet, und es wird eine DNSSEC-Überprüfung für DNS-Clientabfragen bereitgestellt. Optional (wenn kein separater DNS-Clientcomputer verwendet wird) werden mit DNS1 DNS-Clientabfragen ausgegeben.

TipTipp
Das folgende Verfahren ist mit den Schritten zum Installieren des Betriebssystems und Konfigurieren von TCP/IP auf DC1 identisch mit der Ausnahme, dass DNS1 mit der IP-Adresse 10.0.0.2 konfiguriert wird.

  1. Starten Sie Ihren Computer mit der Produkt-CD für Windows Server 2012 oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf und verwenden Sie für die Anmeldung das lokale Administratorkonto.

  4. Wenn Sie aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren, klicken Sie auf Annehmen.

  5. Klicken Sie im Navigationsbereich von Server-Manager auf Lokaler Server, und klicken Sie dann auf die IP-Adresse neben Wired Ethernet Connection. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  6. Unter Netzwerkverbindungen klicken Sie mit der rechten Maustaste auf Wired Ethernet Connection und anschließend auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Neben IP-Adresse geben Sie 10.0.0.2 ein und neben Subnetzmaske geben Sie 255.255.255.0 ein. Es ist nicht erforderlich neben Standardgateway einen Eintrag vorzunehmen.

  10. Neben Bevorzugter DNS-Server geben Sie 10.0.0.1 ein.

  11. Klicken Sie zwei Mal auf OK, und schließen Sie den Systemsteuerungsbereich Netzwerkverbindungen.

DNS1 ist ein Domänenmitgliedsserver, auf dem der DNS-Server-Rollendienst ausgeführt wird. DNS1 ist kein Domänencontroller.

  1. Klicken Sie im Navigationsbereich des Server-Managers auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter EIGENSCHAFTEN auf den Namen neben Computername. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DNS1 als Computername ein.

  4. Wählen Sie unter Member of die Option Domäne, geben Sie contoso.com ein, und klicken Sie auf OK.

  5. Wenn Sie zur Angabe der Anmeldeinformationen aufgefordert werden, um der Domäne beitreten zu können, geben Sie die Anmeldeinformationen für das zuvor erstellte Konto "user" ein.

  6. Überprüfen Sie, ob die Änderung des Computernamens und der Domäne erfolgreich waren, klicken Sie auf OK, und klicken Sie dann auf Schließen.

  7. Wenn Sie zum Neustarten des Computers aufgefordert werden, klicken Sie auf Restart Now.

  8. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das Konto "CONTOSO\user1".

  9. Klicken Sie im Server-Manager unter Configure this local server auf Add Roles and Features.

  10. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features dreimal auf Weiter, und aktivieren Sie dann auf der Seite Serverrollen auswählen das Kontrollkästchen DNS-Server.

  11. Wenn Sie aufgefordert werden, erforderliche Features hinzuzufügen, klicken Sie auf Features hinzufügen.

  12. Klicken Sie dreimal auf Weiter und dann auf Installieren.

  13. Warten Sie, bis der Installationsvorgang abgeschlossen ist, überprüfen Sie auf der Seite Installationsstatus, ob Die Installation auf "DNS1.contoso.com" war erfolgreich angezeigt wird, und klicken Sie dann auf Schließen.

  14. Klicken Sie auf der Menüleiste des Server-Managers auf Tools und dann auf DNS.

  15. Klicken Sie in der Konsolenstruktur des DNS-Managers mit der rechten Maustaste auf DNS1, und klicken Sie dann auf Eigenschaften.

  16. Klicken Sie auf die Registerkarte Weiterleitungen auf Bearbeiten, geben Sie 10.0.0.1 ein, und klicken Sie dann zweimal auf OK.

  17. Lassen Sie die DNS-Manager-Konsole geöffnet.

Mit dem Netzwerkmonitor werden detaillierte Informationen zu DNS-Abfragen angezeigt. Die Installation des Netzwerkmonitors ist in dieser Testumgebung optional. Ergebnisse der Netzwerkdatenverkehrsanalyse mithilfe des Netzwerkmonitors befinden sich im Abschnitt Anhang: Ergebnisse des Netzwerkmonitors.

  1. Laden Sie die aktuelle Version des Netzwerkmonitors aus dem Microsoft Download Center herunter: Network Monitor 3.4 (http://go.microsoft.com/fwlink/p/?LinkId=103158).

  2. Doppelklicken Sie auf die Installationsdatei, klicken Sie auf Yes, wenn Sie dazu aufgefordert werden, um den Vorgang fortzusetzen, klicken Sie auf Next, lesen und akzeptieren Sie die Lizenzbedingungen, und klicken Sie dann auf Next.

  3. Wählen Sie Use Microsoft Update when I check for updates (recommended) aus, und klicken Sie dann auf Next.

  4. Wählen Sie den Installationstyp Complete aus, und klicken Sie dann auf Install.

  5. Klicken Sie im Dialogfeld User Account Control auf Yes.

  6. Klicken Sie auf Finish, und klicken Sie im Dialogfeld User Account Control auf Yes.

DC2 ist ein Computer, auf dem Windows Server 2012 ausgeführt wird und der die folgenden Dienste zur Verfügung stellt:

  • Einen sekundären Domänencontroller für die Active Directory-Domäne "contoso.com"

  • Ein autorisierender DNS-Server für die DNS-Zone "contoso.com".

noteHinweis
Das Installieren und Konfigurieren von DC2 wird empfohlen, es ist jedoch optional. DC2 ist erforderlich, um einige – aber nicht alle – Schritte in der Testumgebung auszuführen. Wenn Sie die Anzahl der in der Testumgebung verwendeten Computer beschränken müssen, überspringen Sie die Schritte zum Installieren und Konfigurieren von DC2. DC2 ist für die Demonstration der Active Directory-Replikation und das Übertragen der Schlüsselmasterrolle von DC1 an DC2 erforderlich.

Die Erstkonfiguration von DC2 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden mit DC2 die Active Directory-Replikation einer mit DNSSEC signierten Zone und die Übertragung der Schlüsselmasterrolle auf DC1 an einen anderen autoritativen DNS-Server veranschaulicht.

TipTipp
Das folgende Verfahren ist mit den Schritten zum Installieren des Betriebssystems und Konfigurieren von TCP/IP auf DC1 identisch, mit der Ausnahme, dass DC2 mit der IP-Adresse 10.0.0.3 konfiguriert wird.

  1. Starten Sie Ihren Computer mit der Produkt-CD für Windows Server 2012 oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf und verwenden Sie für die Anmeldung das lokale Administratorkonto.

  4. Wenn Sie aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren, klicken Sie auf Annehmen.

  5. Klicken Sie im Navigationsbereich von Server-Manager auf Lokaler Server, und klicken Sie dann auf die IP-Adresse neben Wired Ethernet Connection. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  6. Unter Netzwerkverbindungen klicken Sie mit der rechten Maustaste auf Wired Ethernet Connection und anschließend auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Neben IP-Adresse geben Sie 10.0.0.3 ein und neben Subnetzmaske geben Sie 255.255.255.0 ein. Es ist nicht erforderlich neben Standardgateway einen Eintrag vorzunehmen.

  10. Neben Bevorzugter DNS-Server geben Sie 10.0.0.1 ein.

  11. Klicken Sie zwei Mal auf OK, und schließen Sie den Systemsteuerungsbereich Netzwerkverbindungen.

Die Schritte zum Installieren von Active Directory und DNS auf DC2 sind mit denen für DC1 fast identisch. Der Vollständigkeit halber sind nachfolgend alle Schritte aufgeführt.

  1. Klicken Sie im Navigationsbereich des Server-Manager-Dashboards auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter EIGENSCHAFTEN auf den Namen neben Computername. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DC2 als Computername ein.

  4. Wählen Sie unter Member of die Option Domäne, geben Sie contoso.com ein, und klicken Sie auf OK.

  5. Wenn Sie zur Angabe der Anmeldeinformationen aufgefordert werden, um der Domäne beitreten zu können, geben Sie die Anmeldeinformationen für das Konto "user" ein.

  6. Überprüfen Sie, ob die Änderung des Computernamens und der Domäne erfolgreich waren, klicken Sie auf OK, und klicken Sie dann auf Schließen.

  7. Wenn Sie zum Neustarten des Computers aufgefordert werden, klicken Sie auf Restart Now.

  8. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das Konto "CONTOSO\user1".

  9. Klicken Sie im Server-Manager unter Configure this local server auf Add Roles and Features.

  10. Klicken Sie im Add Roles and Features Wizard drei Mal auf Weiter. Aktivieren Sie anschließend auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Domänendienste.

  11. Wenn Sie aufgefordert werden, erforderliche Features hinzuzufügen, klicken Sie auf Features hinzufügen.

  12. Klicken Sie dreimal auf Weiter und dann auf Installieren.

  13. Warten Sie, bis der Installationsvorgang abgeschlossen ist, überprüfen Sie auf der Seite Installationsstatus, ob Konfiguration erforderlich. Die Installation auf "DC2.contoso.com" war erfolgreich angezeigt wird, und klicken Sie dann auf Schließen.

  14. Klicken Sie im Server-Manager auf "Benachrichtigung", und klicken Sie dann auf Server zu einem Domänencontroller heraufstufen.

  15. Wählen Sie im Konfigurations-Assistenten für die Active Directory-Domänendienste auf der Seite Bereitstellungskonfiguration die Option Domänencontroller vorhandener Domäne hinzufügen aus, vergewissern Sie sich, dass der neben "Domäne" angezeigte Name contoso.com lautet, geben Sie die Anmeldeinformationen für das Konto "CONTOSO\user1" ein, und klicken Sie dann auf Weiter.

  16. Aktivieren Sie auf der Seite Domänencontrolleroptionen die Kontrollkästchen DNS-Server (Domain Name System) und Globaler Katalog, geben Sie neben Kennwort und Kennwort bestätigen das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus ein, klicken Sie fünfmal auf Weiter, und klicken Sie dann auf "Installieren".

  17. Vergewissern Sie sich, dass die Installation erfolgreich war. Der Computer wird automatisch neu gestartet.

  18. Melden Sie sich nach dem Neustart des Computers mit den Anmeldeinformationen für "CONTOSO\user1" an.

Client1 ist ein Computer unter Windows® 8, der als DNS-Client fungiert. Die Konfiguration von Client1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung erhält Client1 NRPT-Einstellungen von der Gruppenrichtlinie und wird zum Ausführen von DNS-Abfragen verwendet.

  1. Starten Sie Ihren Computer mit der Produkt-CD für Windows 8 oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, und akzeptieren Sie die Lizenzbedingungen.

  3. Wenn Sie aufgefordert werden, einen PC-Namen einzugeben, geben Sie Client1 ein, und klicken Sie auf Weiter.

  4. Klicken Sie auf Expresseinstellungen verwenden.

  5. Klicken Sie auf der Seite Melden Sie sich auf Ihrem PC an auf Ich möchte mich nicht mit einem Microsoft-Konto anmelden, und klicken Sie dann auf Lokales Konto.

  6. Geben Sie neben Benutzernameuser1 ein, geben Sie ein Kennwort und einen Kennworthinweis ein, und klicken Sie auf Fertig stellen.

  7. Geben Sie auf der Seite Start die Zeichenfolge ncpa.cpl ein, und drücken Sie die EINGABETASTE. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  8. Unter Netzwerkverbindungen klicken Sie mit der rechten Maustaste auf Wired Ethernet Connection und anschließend auf Eigenschaften.

  9. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  10. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  11. Neben IP-Adresse geben Sie 10.0.0.4 ein und neben Subnetzmaske geben Sie 255.255.255.0 ein. Es ist nicht erforderlich neben Standardgateway einen Eintrag vorzunehmen.

  12. Neben Bevorzugter DNS-Server geben Sie 10.0.0.2 ein.

    ImportantWichtig
    Vom DNS-Clientcomputer sollte für diese Testumgebung ein nicht autoritativer DNS-Server verwendet werden. Die für Bevorzugter DNS-Server verwendete IP-Adresse muss DNS1 (10.0.0.2) entsprechen und nicht einem DNS-Server, der auf einem Domänencontroller (DC1 oder DC2) ausgeführt wird.

  13. Klicken Sie zwei Mal auf OK, und schließen Sie den Systemsteuerungsbereich Netzwerkverbindungen.

Damit Client1 Gruppenrichtlinieneinstellungen für die Domäne erhalten kann, muss der Computer der Domäne "contoso.com" hinzugefügt werden.

  1. Klicken Sie auf Start, geben Sie sysdm.cpl ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf Ändern.

  3. Wählen Sie unter Mitglied vonDomäne, geben Sie contoso.com ein, und klicken Sie auf OK.

  4. Wenn Sie zur Angabe eines Kontos mit Berechtigungen für die Domäne aufgefordert werden, geben Sie die Anmeldeinformationen für das Konto "CONTOSO\user1" ein, und klicken Sie dann auf OK.

  5. Vergewissern Sie sich, dass Willkommen auf der Domäne contoso.com angezeigt wird, klicken Sie zwei Mal auf OK und dann auf Schließen.

  6. Wenn Sie zum Neustarten des Computers aufgefordert werden, klicken Sie auf Restart Now.

  7. Starten Sie den Computer neu, drücken Sie Strg+Alt+Entf, klicken Sie auf den Pfeil nach links, klicken Sie auf Benutzer wechseln und melden Sie sich mit den Anmeldeinformationen für das Konto CONTOSO\user1 an.

Bei der Demonstration von DNSSEC auf Client1 wird die Windows PowerShell zum Abfragen von DNS-Servern verwendet. Damit Sie schneller auf die Windows PowerShell zugreifen können, wird sie an die Taskleiste angeheftet.

  1. Geben Sie auf der Seite Start die Zeichenfolge powershell ein, klicken Sie mit der rechten Maustaste auf "Windows PowerShell", und klicken Sie dann auf "An Taskleiste anheften". Drücken Sie die ESC-TASTE, um zum Desktop zurückzukehren.

  2. Vergewissern Sie sich, dass die Windows PowerShell an die Taskleiste angeheftet ist.

Für den DNSSEC-Demonstrationsteil der Testumgebung können Sie DNS1 anstelle von Client1 zum Ausführen von DNS-Clientabfragen verwenden, wenn der Client1-Computer nicht verfügbar ist. Wenn der DC2-Computer nicht verfügbar ist, müssen Sie einige der nachfolgenden Verfahren überspringen.

Eine Demonstration der DNSSEC-Funktionalität von Windows Server 2012 umfasst die folgenden Verfahren:

  1. Abfragen einer nicht signierten Zone ohne erforderliche DNSSEC-Überprüfung

  2. Signieren einer Zone auf DC1 und Verteilen von Vertrauensankern

  3. Abfragen einer signierten Zone ohne erforderliche DNSSEC-Überprüfung

  4. Abfragen einer signierten Zone mit erforderlicher DNSSEC-Überprüfung

  5. Entfernen der Signatur einer Zone und anschließendes Neusignieren der Zone mit benutzerdefinierten Parametern

  6. Veranschaulichen einer fehlerhaften Überprüfung

  7. Veranschaulichen der Active Directory-Replikation von mit DNSSEC signierten Ressourceneinträgen

  8. Transferieren Sie die Hauptmasterrolle für sec.contoso.com an DC2.

Verwenden Sie zunächst das Cmdlet "resolve-dnsname", um eine nicht signierte Zone abzufragen, wenn keine Überprüfung erforderlich ist.

  1. Klicken Sie auf Client1 auf der Taskleiste auf Windows PowerShell, geben Sie cd\ ein, und drücken Sie die EINGABETASTE.

  2. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture1.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Abfrage 1
    TipTipp
    Die Option dnssecok im oben genannten Befehl informiert den DNS-Server darüber, dass der Client DNSSEC versteht und der Server diese zusätzlichen Einträge senden kann. Da die Zone noch nicht signiert ist, werden in der Antwort keine Signatureinträge (RRSIG) angezeigt.

  4. Lassen Sie die Windows PowerShell-Eingabeaufforderung für die folgenden Verfahren geöffnet.

  1. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    mstsc /v:dc1.sec.contoso.com
    
  2. Geben Sie das Kennwort für das Konto "user1" ein, und klicken Sie auf OK.

  3. Wenn eine Meldung zu einem Sicherheitsproblem des Remotecomputers angezeigt wird, klicken Sie auf Ja.

  4. Überprüfen Sie, ob Sie sich erfolgreich mit "dc1.sec.contoso.com" verbinden können, und schließen Sie dann die Remotesitzung.

Signieren Sie als Nächstes die Zone "sec.contoso.com", und verteilen Sie einen Vertrauensanker für die Zone. Die Vertrauensankerverteilung wird auf Servern wie DNS1, die nicht auf einem Domänencontroller ausgeführt werden, manuell vorgenommen. Die automatische Vertrauensankerverteilung kann für in Active Directory integrierte DNS-Server wie DC2 aktiviert werden.

  1. Navigieren Sie in der Konsolenstruktur des DNS-Managers auf DC1 zu Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Zone signieren.

    Zone signieren
  3. Klicken Sie im Zonensignatur-Assistenten auf Weiter, und wählen Sie dann Empfohlene Einstellungen für die Zonensignierung verwenden aus.

    Zone signieren
  4. Klicken Sie zweimal auf Weiter, vergewissern Sie sich, dass Die Zone wurde erfolgreich signiert angezeigt wird, und klicken Sie dann auf Fertig stellen.

  5. Aktualisieren Sie die DNS-Manager-Konsole, und überprüfen Sie, ob ein neues Symbol für die Zone "sec.contoso.com" angezeigt wird, das die derzeitige DNSSEC-Signatur der Zone angibt.

  6. Klicken Sie auf die Zone "sec.contoso.com", und sehen Sie sich die derzeit vorhandenen neuen Ressourceneinträge, einschließlich der DNSKEY-, RRSIG- und NSEC3-Einträge, an.

    Signierte Zone
  7. Lassen Sie die DNS-Manager-Konsole geöffnet.

  1. Klicken Sie auf DC1 auf der Taskleiste auf Windows-Explorer.

  2. Navigieren Sie zu C:\Windows\System32, klicken Sie mit der rechten Maustaste auf den Ordner dns, zeigen Sie auf Freigeben für, und klicken Sie dann auf Erweiterte Freigabe.

  3. Klicken Sie im Dialogfeld DNS-Eigenschaften auf Erweiterte Freigabe, aktivieren Sie das Kontrollkästchen Diesen Ordner freigeben, überprüfen Sie, ob für Freigabename der Name dns angegeben ist, und klicken Sie dann auf OK.

    DNS-Ordner freigeben
  4. Klicken Sie auf Schließen, und schließen Sie dann den Windows-Explorer.

  5. Navigieren Sie auf DNS1 in der Konsolenstruktur des DNS-Managers zum Ordner Vertrauenspunkte.

  6. Klicken Sie mit der rechten Maustaste auf Vertrauenspunkte, zeigen Sie auf Importieren, und klicken Sie dann auf DNSKEY.

  7. Geben Sie im Dialogfeld DNSKEY importieren die Zeichenfolge \\dc1\dns\keyset-sec.contoso.com ein, und klicken Sie dann auf OK.

  1. Navigieren Sie in der Konsolenstruktur zu Vertrauenspunkte > com > contsoso > sec, und überprüfen Sie, ob der Import erfolgreich war.

    TipTipp
    Es werden zwei DNSKEY-Vertrauenspunkte angezeigt – einer für den aktiven Schlüssel und einer für den Standbyschlüssel.

  2. Klicken Sie auf einem beliebigen Computer auf Windows PowerShell, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name sec.contoso.com.trustanchors –type dnskey –server dns1
    

    Vergewissern Sie sich, dass zwei Vertrauensanker angezeigt werden.

  3. Klicken Sie auf DNS1 mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Vergewissern Sie sich, dass zwei Vertrauensanker angezeigt werden.

  1. Geben Sie auf DNS1 im Windows PowerShell-Fenster für Administratoren den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsservertrustanchor –name sec.contoso.com
    
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Überprüfen Sie, ob "Fehler beim Aufzählen der Vertrauensanker" angezeigt wird.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsserverzone –name trustanchors
    
    ImportantWichtig
    Die Zone trustanchors wird mithilfe des Cmdlets "remove-dnsserverzone" gelöscht, sodass das Cmdlet "add-dnsserverprimaryzone" veranschaulicht werden kann. Die Zone trustanchors muss in der Regel nach dem Löschen von Vertrauensankern nicht entfernt und wiederhergestellt werden.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    add-dnsserverprimaryzone –computername dns1 trustanchors –zonefile trustanchors.dns
    
  5. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsserverresourcerecord –zonename sec.contoso.com –rrtype dnskey –computername dc1 | %{ $_.recorddata | add-dnsservertrustanchor -name sec.contoso.com }
    
  6. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Überprüfen Sie, ob wieder zwei Vertrauensanker angezeigt werden.

  1. Navigieren Sie in DC1, im DNS Manager-Konsolenverzeichnis nach Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Vertrauensanker.

  4. Aktivieren Sie das Kontrollkästchen Verteilung von Vertrauensankern für diese Zone aktivieren, und klicken Sie dann auf OK.

  5. Wenn Sie aufgefordert werden, die Änderungen an der Zone zu bestätigen, klicken Sie auf Ja.

  6. Wenn angezeigt wird, dass die Konfiguration erfolgreich war, klicken Sie auf OK.

  7. Aktivieren Sie auf DC2 die Ansicht im DNS-Manager, und vergewissern Sie sich, dass Vertrauensanker für "sec.contoso.com" vorhanden sind.

    ImportantWichtig
    Sie müssen möglicherweise einige Minuten warten, bis die Replikation auf DC2 erfolgt.

Für signierte Ressourceneinträge werden zusätzliche DNSSEC-bezogene Informationen angezeigt. Vergleichen Sie bei Bedarf Abfrageergebnisse für "dc1.contoso.com" mit Abfrageergebnissen für "dc1.sec.contoso.com".

  1. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture2.

  2. Geben Sie auf Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    DNSSEC-Abfrage
  3. Wenn Sie überprüfen möchten, ob die DNSSEC-Überprüfung derzeit nicht erforderlich ist, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    get-dnsclientnrptpolicy
    
  4. Vergewissern Sie sich, dass auf den Clientcomputer derzeit keine NRPT-Richtlinie für den Namespace "sec.contoso.com" angewendet wird.

  5. Lassen Sie die Windows PowerShell-Eingabeaufforderung geöffnet.

Mit der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) wird die DNSSEC-Überprüfung erforderlich gemacht. Die NRPT kann in einer lokalen Gruppenrichtlinien für einen einzelnen Computer oder in der Domänengruppenrichtlinie für einige oder alle Computer in der Domäne konfiguriert werden. Im folgenden Verfahren wird die Domänengruppenrichtlinie verwendet.

  1. Klicken Sie auf DC1 auf der Menüleiste des Server-Managers auf Tools, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Konsolenstruktur der Gruppenrichtlinienverwaltung unter Domänen > contoso.com > Gruppenrichtlinienobjekte mit der rechten Maustaste auf Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  3. Navigieren Sie in der Konsolenstruktur des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Namensauflösungsrichtlinie.

  4. Wählen Sie im Detailbereich unter Regeln erstellen und Für welchen Teil des Namespace gilt die Regel den Eintrag Suffix aus der Dropdownliste aus, und geben Sie neben Suffix die Zeichenfolge sec.contoso.com ein.

  5. Aktivieren Sie auf der Registerkarte DNSSEC das Kontrollkästchen DNSSEC in dieser Regel aktivieren, und aktivieren Sie dann unter Überprüfung das Kontrollkästchen Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden.

  6. Klicken Sie in der unteren rechten Ecke auf Erstellen, und überprüfen Sie dann, ob unter Richtlinientabelle für die Namensauflösung eine Regel für sec.contoso.com hinzugefügt wurde.

    NRPT
  7. Klicken Sie auf Anwenden, und schließen Sie dann den Gruppenrichtlinienverwaltungs-Editor.

  8. Geben Sie die folgenden Befehle an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie die EINGABETASTE:

    gpupdate /force
    
    get-dnsclientnrptpolicy
    
  9. Überprüfen Sie, ob die Computer- und Benutzerrichtlinienaktualisierungen erfolgreich waren und ob DnsSecValidationRequired für den Namespace .sec.contoso.com den Wert Wahr aufweist.

  10. Wiederholen Sie die Gruppenrichtlinienaktualisierung (gpupdate /force), und überprüfen Sie die NRPT-Richtlinie auf Client1.

    NRPT-Richtlinienausgabe

  1. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture3.

  2. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
  3. Vergewissern Sie sich, dass dieselben Ergebnisse zurückgegeben werden wie zuvor, als noch keine Überprüfung erforderlich war. Da auf DNS1 ein gültiger Vertrauensanker vorhanden ist, wird die Abfrage erfolgreich ausgeführt, selbst wenn eine Überprüfung erforderlich ist.

Geben Sie vor dem Entfernen der Signatur und dem erneuten Signieren der Zone einige Abfragen für DNSSEC-Einträge aus. Diese Abfragetypen können bei der Problembehandlung von DNSSEC hilfreich sein.

  1. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name dc1.sec.contoso.com –type soa –server dns1 -dnssecok
    
  2. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name sec.contoso.com –type dnskey –server dns1 -dnssecok
    
TipTipp
Zum Anzeigen der Syntax für "resolve-dnsname", einschließlich aller möglichen Werte für den Parameter Type, geben Sie get-help resolve-dnsname ein.

Die DNSSEC-Signatur wird aus der Zone "sec.contoso.com" entfernt, und die Zone wird dann mithilfe von benutzerdefinierten DNSSEC-Parametern erneut signiert.

  1. Navigieren Sie in DC1, im DNS Manager-Konsolenverzeichnis nach Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Signatur der Zone entfernen.

  3. Klicken Sie im Assistenten zum Entfernen der Signatur einer Zone auf Weiter.

  4. Überprüfen Sie, ob Die Signatur der Zone wurde erfolgreich entfernt angezeigt wird, und klicken Sie dann auf Fertig stellen.

  5. Aktualisieren Sie die Ansicht im DNS-Manager, und überprüfen Sie, ob die Zone sec.contoso.com keine signierten DNSSEC-Einträge mehr enthält und ob das Symbol neben der Zone angibt, dass sie derzeit nicht signiert ist.

    Zone nicht signiert

  1. Klicken Sie auf DC1 mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Zone signieren.

  2. Klicken Sie im Zonensignatur-Assistenten auf Weiter.

  3. Zonensignaturparameter anpassen ist standardmäßig ausgewählt. Klicken Sie auf Weiter.

  4. Auf der Seite Schlüsselmaster ist Der DNS-Server "DC1" fungiert als Schlüsselmaster standardmäßig ausgewählt, da die Zonensignatur auf DC1 ausgeführt wird.

    Wenn Sie DC2 in dieser Testumgebung konfiguriert haben, überprüfen Sie die verfügbaren Optionen, sofern Wählen Sie einen anderen primären Server als Schlüsselmaster aus ausgewählt ist. Wählen Sie diese Option nicht aus, aber überprüfen Sie, ob "dc2.contoso.com" auch als möglicher Schlüsselmaster für diese Zone verfügbar ist. Wenn Sie gewarnt werden, dass alle autoritativen Server, die eine DNSSEC-Onlinesignatur vornehmen, geladen werden, klicken Sie auf Ja.

    Schlüsselmaster
  5. Stellen Sie sicher, dass DC1 als Schlüsselmaster ausgewählt ist, und klicken Sie dann zweimal auf Weiter.

  6. Klicken Sie auf der Seite Schlüsselsignaturschlüssel (Key Signing Key, KSK) auf den vorhandenen Schlüsselsignaturschlüssel (mit einer Schlüssellänge von 2048 Bits), und klicken Sie dann auf Entfernen.

  7. Klicken Sie zum Hinzufügen eines neuen Schlüsselsignaturschlüssels auf Hinzufügen.

  8. Klicken Sie im Dialogfeld Neuer Schlüsselsignaturschlüssel (Key Signing Key, KSK) unter Schlüsseleigenschaften auf das Dropdown neben Kryptografiealgorithmus, und wählen Sie RSA/SHA-512 aus.

  9. Klicken Sie unter Schlüsseleigenschaften auf das Dropdown neben Schlüssellänge (in Bits), wählen Sie 4096 aus, und klicken Sie dann auf OK.

    Schlüsselsignaturschlüssel (KSK)
  10. Klicken Sie auf Weiter, bis Die folgenden Parameter für die Zonensignierung wurden erfolgreich konfiguriert angezeigt wird.

  11. Überprüfen Sie die von Ihnen ausgewählten Parameter, und klicken Sie dann auf Weiter, um die Zonensignatur zu starten.

  12. Vergewissern Sie sich, dass Die Zone wurde erfolgreich signiert angezeigt wird, klicken Sie auf Fertig stellen, und aktualisieren Sie dann die Ansicht im DNS-Manager, um zu überprüfen, ob die Zone wieder signiert ist.

  13. Aktualisieren Sie die Ansicht für den Ordner Vertrauenspunkte, und überprüfen Sie, ob neue DNSKEY-Vertrauenspunkte vorhanden sind, die den RSA/SHA-512-Algorithmus verwenden.

  14. Geben Sie an der Windows PowerShell-Eingabeaufforderung für Administratoren die folgenden Befehle ein, und drücken Sie die EINGABETASTE:

    Get-dnsservertrustanchor –name sec.contoso.com –computername dns1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc2
    

    Beachten Sie, dass von DC1 und DC2 die neuen Vertrauensanker verwendet werden, aber DNS1 über die alten Vertrauensanker verfügt. Möglicherweise müssen Sie einige Minuten warten, bis die automatische Verteilung der neuen Vertrauensanker an DC2 erfolgt.

Da der an DNS1 verteilte Vertrauensanker nicht mehr gültig ist, tritt beim Abfragen von Ressourceneinträgen in der Zone "sec.contoso.com" ein Fehler bei der DNSSEC-Überprüfung auf.

  1. Zeigen Sie auf DNS1 die derzeit installierten Vertrauenspunkte für "sec.contoso.com" an, und überprüfen Sie, ob der alter Vertrauensanker, von dem der RSA/SHA-1-Algorithmus verwendet wird, vorhanden ist.

  2. Klicken Sie zum Leeren des DNS-Servercaches mit der rechten Maustaste auf DNS1, und klicken Sie dann auf Cache löschen.

    Cache löschen
  3. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture4.

  4. Geben Sie auf Client1 den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Abfragefehler


    ImportantWichtig
    Die automatische Aktualisierung von Vertrauensankern auf einem nicht autoritativen überprüfenden DNS-Server (gemäß RFC 5011) tritt nur während eines Schlüsselrollovers auf. Wenn Sie die Signatur entfernen und die Zone manuell erneut mit neuen Schlüssen signieren, müssen Sie auch manuell einen neuen Vertrauensanker verteilen.

    Wenn ein überprüfender DNS-Server einen falschen Vertrauensanker aufweist, verursachen DNS-Abfragen, für die eine Überprüfung erforderlich ist, einen Serverfehler.

    Wenn kein Vertrauensanker vorhanden ist, verursachen Abfragen anscheinend auch eine fehlerhafte Überprüfung. Da kein Vertrauensanker vorhanden ist, versucht der Server nicht, die Antwort zu überprüfen. In diesem Szenario wird ein Fehler aufgrund eines unsicheren Pakets angezeigt:

  1. Geben Sie auf DNS1 an der Windows PowerShell-Eingabeaufforderung für Administratoren den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsservertrustanchor sec.contoso.com
    
  2. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture5.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    resolve-dnsname –name dc1.sec.contoso.com –server dns1 -dnssecok
    
    Nicht sichere Antwort

Da bei der DNSSEC-Überprüfung ein Fehler auftritt, können Sie mithilfe von Remotedesktop keine Verbindung mit "dc1.sec.contoso.com" herstellen.

  1. Geben Sie auf Client1 die folgenden Befehle an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    ipconfig /flushdns
    
    mstsc /v:dc1.sec.contoso.com
    
  2. Überprüfen Sie, ob Remotedesktop kann den Computer “dc1.sec.contoso.com” nicht finden angezeigt wird.

Sofern DNS-Server Active Directory-integriert sind, werden Vertrauensanker und signierte Ressourceneinträge automatisch aktualisiert, selbst wenn die Signatur der Zone entfernt und die Zone manuell erneut signiert wird.

  1. Zeigen Sie auf DC2 im DNS-Manager den Inhalt des Ordners Vertrauenspunkte an. Aktualisieren Sie die Ansicht bei Bedarf, um die aktuellen Vertrauensanker anzuzeigen.

  2. Überprüfen Sie, ob die DNSKEY-Vertrauensanker für sec.contoso.com automatisch für die Verwendung des RSA/SHA-512-Algorithmus aktualisiert wird.

  3. Klicken Sie in der Konsolenstruktur des DNS-Managers auf Globale Protokolle > DNS-Ereignisse, und sehen Sie sich Ereignis-ID 7653 an. Dort wird angegeben, dass der DNS-Server eine Änderung von Zonensignaturparametern für die "sec.contoso.com" erkannt hat und die Zone neu signiert wird. Nachdem die Zonensignatur abgeschlossen ist, wird kein Ereignis angezeigt.

  4. Klicken Sie in der Konsolenstruktur auf Forward-Lookupzonen > sec.contoso.com, und überprüfen Sie, ob DNSKEY-Einträge mit Sicherer Einstiegspunkt vorhanden sind, die den RSA/SHA-512-Algorithmus verwenden.

    Replikation Sicherer Einstiegspunkt
  5. Fügen Sie auf DC1 im DNS-Manager einen neuen Eintrags des Hosts (A) für "dns1.sec.contoso.com" mit der IP-Adresse 10.0.0.2 hinzu.

  6. Aktualisieren Sie die Ansicht im DNS-Manager, und überprüfen Sie, ob automatisch ein RR-Signatureintrag (RRSIG) für DNS1 erstellt wurde.

  7. Aktualisieren Sie auf DC2 die Ansicht im DNS-Manager, und überprüfen Sie, ob der neue signierte Eintrag auf diesem Server repliziert wurde.

    TipTipp
    Beim Hinzufügen oder Bearbeiten vorhandener Einträge in einer Zone wird keine erneute Zonensignatur ausgelöst. Es werden nur die neuen oder geänderten Ressourceneinträge mit dem aktualisierten Autoritätsursprungseintrag (Start of Authority, SOA) für die Zone signiert.

Es kann sein, dass die Schlüsselmasterrolle für eine Zone an einen anderen DNS-Server übertragen werden muss. Die Rollenübertragung kann von einem beliebigen autoritativen DNS-Server aus ausgeführt werden, und der aktuelle Schlüsselmaster kann online oder offline sein. Im folgenden Beispiel ist der aktuelle Schlüsselmaster online.

  1. Klicken Sie auf DC1 oder DC2 im DNS-Manager mit der rechten Maustaste auf die Zone sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Eigenschaften.

  2. Wählen Sie auf der Registerkarte Schlüsselmaster die Option Folgenden DNS-Server als Schlüsselmaster verwenden aus.

  3. Klicken Sie auf die Dropdownliste, und wenn Sie gewarnt werden, dass alle autoritativen DNS-Server geladen werden, klicken Sie auf Ja.

  4. Wählen Sie dc2.contoso.com aus der Liste aus, und klicken Sie dann auf OK.

  5. Wenn Sie gewarnt werden, dass die Schlüsselmastereinstellung geändert wird, klicken Sie auf Ja.

  6. Überprüfen Sie, ob Der Schlüsselmaster für die Zone "sec.contoso.com" wurde erfolgreich aktualisiert angezeigt wird.

  7. Überprüfen Sie, ob die DNS-Ereignis-ID 7649 als neuer Schlüsselmaster und die DNS-Ereignis-ID 7648 als vorheriger Schlüsselmaster angezeigt wird.

Die folgenden Abschnitte enthalten Informationen zu den Ergebnissen der Netzwerkmonitoraufzeichnungen (netmon) während des DNSSEC-Demonstrationsteils der Testumgebung. Bei der Analyse des Netzwerkdatenverkehrs werden die Ansichten Netzwerkkonversationen, Rahmenzusammenfassung und Rahmendetails verwendet.

In allen Testumgebungsaufzeichnungen werden zwei IPv4-Netzwerkkonversationen angezeigt. Die IPv4-Netzwerkkonversationen enthalten Abfragen für dns1.contoso.com und dc1.sec.contoso.com. Die Abfragen für "dc1.sec.contoso.com" enthalten auch A-Eintragsabfragen und AAAA-Eintragsabfragen. Im Rahmen der Testumgebung können Sie die IPv6-Netzwerkkonversation und alle Abfragen für Hosteinträge für "dns1.contoso.com" und AAAA-Abfragen für "dc1.sec.contoso.com" ignorieren. Die beiden IPv4-Netzwerkkonversationen lauten wie folgt:

  1. 10.0.0.4 – 10.0.0.2: Ein Paketaustausch zwischen Client1 (10.0.0.4) und DNS1 (10.0.0.2). Suchen Sie die Abfrage für den Eintrag des Hosts (A) für "dc1.sec.contoso.com". Unter Rahmenzusammenfassung gibt es zwei Phasen – eine mit der Quelle Client1 und eine mit der Quelle DNS1. Suchen Sie die Pakete mit der Quelle DNS1 (mit Ziel = Client1).

    Folgende Dinge sind bei dieser Netzwerkkonversation zu beachten:

    • In Rahmendetails unter Dns\Flags ist die Kennzeichnung AuthenticatedData (AD) in Abhängigkeit davon, ob die zurückgegebenen Informationen als echt überprüft wurden oder nicht, aktiviert ("1") oder deaktiviert ("0").

    • In Rahmendetails unter Dns\Flags\ARecord werden RRSIG-Daten zurückgegeben, wenn die Zone signiert wird, solange Rcode unter Dns\Flags den Wert Erfolg aufweist.

  2. 10.0.0.2 – 10.0.0.1: Ein Paketaustausch zwischen DNS1 (10.0.0.2) und DC1 (10.0.0.1).

    Folgende Dinge sind zu beachten:

    • In Rahmendetails unter Dns\Flags\ARecord gibt DNS1 eine Abfrage für "sec.contoso.com" vom Typ DNSKEY aus, wenn auf DNS1 ein Vertrauensanker vorhanden ist.

Wenn Sie eine Netzwerkkonversation an jedem in dieser Anleitung vorgeschlagenen Punkt gestartet, angehalten und gespeichert haben, verfügen Sie über die folgenden Aufzeichnungen:

 

Aufzeichnungsdateiname Signierte Zone Überprüfung erforderlich AD-Bit DNSKEY-Anforderung

Capture1

Nein

Nein

0

Nein

Capture2

Ja (ohne TA)

Nein

0

Nein

Capture3

Ja (TA gültig)

Ja

1

Ja

Capture4

Ja (TA ungültig)

Ja

0

Ja

Capture5

Ja (ohne TA)

Ja

0

Nein

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft