Neue Funktionen in DNS für Windows Server 2008 R2

Betrifft: Windows Server 2008 R2

 

Da DNS häufig schwer abzuwehrenden "Man-in-the-Middle"-, Spoofing- und Cache-Poisoning-Angriffen ausgesetzt ist, wurde in Windows Server® 2008 R2 die DNSSEC-Unterstützung (Domain Name System Security Extensions) für den DNS-Server und -Client eingeführt. DNSSEC ermöglicht das kryptografische Signieren einer DNS-Zone und aller darin enthaltenen Datensätze. Wenn ein DNS-Server, der eine signierte Zone hostet, eine Abfrage empfängt, gibt dieser neben den abgefragten Datensätzen die digitalen Signaturen zurück. Eine DNS-Auflösung oder ein anderer Server kann den öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars abrufen und überprüfen, ob die Antworten authentisch sind und nicht manipuliert wurden. Hierzu muss die DNS-Auflösung oder der Server mit einem Anchor für Vertrauensstellung für die signierte Zone oder für eine übergeordnete Zone der signierten Zone konfiguriert werden.

Die DNSSEC-Haupterweiterungen sind in den RFCs (Requests for Comments) 4033, 4034 und 4035 angegeben und bieten zusätzlichen Schutz wie Ursprungsautorität, Datenintegrität und authentifiziertes Bestätigen der Abwesenheit für DNS. Zusätzlich zu mehreren neuen Konzepten und Operationen für sowohl den DNS-Server als auch den DNS-Client werden für DNSSEC vier neue Ressourcendatensätze (DNSKEY, RRSIG, NSEC und DS) für DNS eingeführt.

Folgende Änderungen sind für den DNS-Server in Windows Server 2008 R2 verfügbar:

  • Möglichkeit zum Signieren einer Zone und Hosten von signierten Zonen

  • Unterstützung von Änderungen am DNSSEC-Protokoll

  • Unterstützung für DNSKEY-, RRSIG-, NSEC- und DS-Ressourcendatensätze

Folgende Änderungen sind für den DNS-Client in Windows Server 2008 R2 verfügbar:

  • Möglichkeit zum Angeben von DNSSEC-Wissen in Abfragen

  • Möglichkeit zum Verarbeiten der DNSKEY-, RRSIG-, NSEC- und DS-Ressourcendatensätze

  • Möglichkeit zum Prüfen, ob der DNS-Server, mit dem kommuniziert wurde, eine Überprüfung im Auftrag des Clients ausgeführt hat

Das Verhalten des DNS-Clients in Bezug auf DNSSEC wird über die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) gesteuert. In dieser Tabelle sind die Einstellungen gespeichert, die das Verhalten des DNS-Clients definieren. NRPT wird normalerweise über die Gruppenrichtlinie verwaltet.

Weitere Verweise

Community-Beiträge

HINZUFÜGEN
Anzeigen: