TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Schritt für Schritt: Vorführen von DNSSEC in einem Testlabor

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

DNSSEC (Domain Name System Security Extensions) ist eine Sammlung von Erweiterungen zur Erhöhung der Sicherheit des DNS-Protokolls. Mit DNSSEC können nicht autoritative DNS-Server die Antworten überprüfen, die sie beim Abfragen anderer DNS-Server erhalten. Außerdem können DNS-Clientcomputer unter Windows® 7 oder höher so konfiguriert werden, dass diese Überprüfung ausgeführt werden muss.

Diese Anleitung enthält schrittweise Anleitungen zum Bereitstellen von DNSSEC in einer Testumgebung mit zwei Servercomputern oder – optional – drei Servercomputern und einem Clientcomputer. Die Software- und Hardwareanforderungen sind angegeben, und es ist auch eine Übersicht über DNSSEC enthalten.

System_CAPS_importantWichtig

Die folgenden Anweisungen beschreiben das Konfigurieren einer Testumgebung mit der Mindestanzahl an Computern. Es werden einzelne Computer benötigt, um die im Netzwerk bereitgestellten Dienste voneinander zu trennen und die gewünschte Funktionalität deutlich zu demonstrieren. Bei dieser Konfiguration handelt es sich weder um eine empfohlene Vorgehensweise noch um eine erwünschte oder empfohlene Konfiguration für ein Produktionsnetzwerk. Die Konfiguration, einschließlich IP-Adressen und aller anderen Konfigurationsparameter, ist ausschließlich zur Verwendung in einem separaten Testumgebungsnetzwerk vorgesehen.

Weitere Informationen und detaillierte Verfahren für die Bereitstellung von DNSSEC in einer Produktionsumgebung finden Sie unter DNSSEC in WindowsServer 2012. Hinweis: Die Konzepte und Verfahren in diesem Handbuch gelten für Windows Server 2012 und Windows Server 2012 R2. Sie können eines der Betriebssysteme in der Testumgebung verwenden.

Das DNS-Protokoll ist aufgrund eines vererbten Mangels an Authentifizierungs- und Integritätsüberprüfungen von Daten, die zwischen DNS-Servern ausgetauscht oder für DNS-Clients bereitgestellt werden, anfällig für Angriffe. DNSSEC erhöht die Sicherheit für DNS-Antworten, indem DNS-Server DNS-Antworten überprüfen können. Mit DNSSEC werden Ressourcendatensätze mit digitalen Signaturen versehen. Diese digitalen Signaturen werden generiert, wenn DNSSEC im Rahmen einer so genannten Zonensignierung auf eine DNS-Zone angewendet wird. Gibt ein Resolver eine DNS-Abfrage für einen Ressourcendatensatz in einer signierten Zone aus, wird mit der Antwort eine digitale Signatur zurückgegeben, um eine Überprüfung zu ermöglichen. Ist die Überprüfung erfolgreich, wurden die Daten nicht geändert oder manipuliert.

DNS-Spoofing ist ein Angriffstyp, der den Identitätswechsel von DNS-Serverantworten zum Einführen falscher Informationen beinhaltet. Bei einem Spoofingangriff vermutet ein böswilliger Benutzer, dass ein DNS-Client oder Server eine DNS-Abfrage gesendet hat und auf eine DNS-Antwort wartet. Im Falle eines erfolgreichen Spoofingangriffs wird eine gefälschte DNS-Antwort in den Cache des DNS-Servers eingefügt. Dieser Vorgang wird als Cache-Poisoning bezeichnet. Ein gespoofter DNS-Server hat keine Möglichkeit zu überprüfen, ob die DNS-Daten authentisch sind, und antwortet aus dem Cache mithilfe der gefälschten Informationen. Ein Angreifer kann auch die Gültigkeitsdauer (Time to Live, TTL) für gefälschte DNS-Daten auf ein sehr langes Intervall festlegen, damit der DNS-Servercache viele Stunden oder Tage "vergiftet" bleibt. Es ist auch möglich, einen DNS-Spoofingangriff direkt an einen DNS-Client zu senden. Diese Angriffe sind jedoch nicht so dauerhaft wie Cache-Poisoning-Angriffe. Diese beiden Angriffstypen können mit DNSSEC verhindert werden, indem DNS-Antworten auf ihre Echtheit überprüft werden müssen. Siehe folgende Abbildung.

DNS-Spoofingangriff

Von DNSSEC wird mithilfe von digitalen Signaturen und Kryptografieschlüsseln die Authentizität von DNS-Antworten überprüft. In den folgenden Themen wird die Verwaltung dieser Signaturen und die Ausführung der Überprüfung kurz erläutert.

Mit DNSSEC generierte Signaturen sind in der DNS-Zone selbst in den neuen Ressourceneinträgen enthalten. Diese neuen Ressourcendatensätze werden als Resource Record Signature-Datensätze (kurz: RRSIG-Datensätze) bezeichnet. Wenn ein Resolver eine Abfrage für einen Namen ausstellt, wird der RRSIG-Eintrag in der Antwort zurückgegeben. Es ist ein als DNSKEY bezeichneter öffentlicher Kryptografieschlüssel erforderlich, um die Signatur zu überprüfen. DNSKEY wird während der Überprüfung von einem DNS-Server abgerufen.

Wenn Sie eine Zone mit DNSSEC signieren, signieren Sie alle in der Zone enthaltenen Einträge einzeln. Dadurch können Einträge in der Zone hinzugefügt, geändert oder gelöscht werden, ohne die gesamte Zone erneut signieren zu müssen. Stattdessen müssen nur die aktualisierten Datensätze neu signiert werden.

Was geschieht bei einer DNS-Abfrage für einen nicht vorhandenen Eintrag? Wenn der DNS-Server antwortet, dass kein Eintrag gefunden wurde, muss die Echtheit dieser Antwort auch überprüft werden. Da es jedoch keinen Ressourceneintrag gibt, gibt es auch keinen RRSIG-Eintrag. Die Lösung für dieses Problem ist der Next Secure-Datensatz (kurz: NSEC-Datensatz). Mithilfe von NSEC-Datensätzen wird eine Kette von Links zwischen signierten Ressourcendatensätzen erstellt. Zum Erstellen von NSEC-Einträgen wird die Zone sortiert, und die NSEC-Einträge werden so erstellt, dass jeder NSEC-Eintrag einen Zeiger auf den nächsten NSEC-Eintrag aufweist. Der letzte NSEC-Eintrag zeigt wieder auf den ersten Eintrag. Wenn eine Abfrage für einen nicht vorhandenen Eintrag gesendet wird, gibt der DNS-Server den NSEC-Eintrag vor der Stelle zurück, an der sich der nicht vorhandene Eintrag in der Reihenfolge befunden hätte. Dies ermöglicht die so genannte authentifizierte Abwesenheit.

NSEC3 ist ein Ersatz für oder eine Alternative zu NSEC und weist den zusätzlichen Vorteil auf, dass "Zone Walking" verhindert wird. Dabei handelt es sich um wiederholte NSEC-Abfragen, um alle Namen in einer Zone abzurufen. Ein DNS-Server unter Windows Server® 2012 unterstützt NSEC und NSEC3. Eine Zone kann mit NSEC oder NSEC3 signiert werden, jedoch nicht mit beiden.

Ein Vertrauensanker ist ein vorkonfigurierter öffentlicher Schlüssel, der einer bestimmten Zone zugeordnet ist. Ein DNS-Server für die Überprüfung muss mit mindestens einem Vertrauensanker konfiguriert sein, um die Überprüfung auszuführen. Wenn der DNS-Server auf einem Domänencontroller ausgeführt wird, werden die Vertrauensanker in der Verzeichnispartition der Gesamtstruktur in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert und können auf allen Domänencontrollern in der Gesamtstruktur repliziert werden. Auf eigenständigen DNS-Servern werden Vertrauensanker in einer Datei mit dem Namen TrustAnchors.dns gespeichert. Auf einem DNS-Server unter Windows Server 2012 oder Windows Server 2012 R2werden konfigurierte Vertrauensanker auch in der DNS-Manager-Konsolenstruktur im Container Vertrauenspunkte angezeigt. Vertrauensanker können auch mithilfe von Windows PowerShell oder "Dnscmd.exe" angezeigt werden.

Die DNSSEC-Schlüsselverwaltungsstrategie umfasst das Planen der Schlüsselgenerierung, der Schlüsselspeicherung, des Schlüsselablaufs und der Schlüsselersetzung. Schlüsselablauf und -ersetzung in DNSSEC werden zusammengefasst als Schlüsselrollover bezeichnet. Unter Windows Server 2012 und Windows Server 2012 R2 wurde die Schlüsselverwaltung durch eine einfache und flexible Schlüsselgenerierung, Active Directory-Speicherung und -Replikation und ein automatisiertes Schlüsselrollover erleichtert.

Unter Windows 8, Windows Server 2012, Windows 8.1 und Windows Server 2012 R2 nimmt der DNS-Clientdienst wie Computer unter Windows 7 und Windows Server® 2008 R2 weiterhin keine Überprüfung vor, und er ist nicht sicherheitsbewusst. Wenn der DNS-Client eine Abfrage ausgibt, kann er dem DNS-Server angeben, dass er DNSSEC versteht. Der Client nimmt jedoch keine Überprüfung vor. Beim Ausgeben von Abfragen ist der DNS-Client davon abhängig, dass vom lokalen DNS-Server die erfolgreiche Überprüfung bestätigt wird. Wenn der Server die Überprüfung nicht ausführen kann oder meldet, dass die Überprüfung nicht erfolgreich war, kann der DNS-Clientdienst so konfiguriert werden, dass keine Ergebnisse zurückgegeben werden.

Die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) ist eine Tabelle mit Regeln, die Sie konfigurieren können, um DNS-Einstellungen oder spezielle Verhaltensweisen für Namen oder Namespaces anzugeben. Die NRPT kann mithilfe der Gruppenrichtlinie oder der Windows-Registrierung konfiguriert werden.

Beim Ausführen der DNS-Namensauflösung wird vom DNS-Clientdienst vor dem Senden einer DNS-Abfrage zunächst die NRPT überprüft. Wenn eine DNS-Abfrage oder -Antwort mit einem Eintrag in der NRPT übereinstimmt, wird sie gemäß den Einstellungen in der Richtlinie verarbeitet. Abfragen und Antworten, die mit keinem NRPT-Eintrag übereinstimmen, werden normal verarbeitet. Sie können mithilfe der NRPT fordern, dass der DNS-Clientdienst eine DNSSEC-Überprüfung von DNS-Antworten für die von Ihnen angegebenen Namespaces vornimmt.

Mit dieser Testumgebung wird die neue DNSSEC-Funktionalität unter Windows Server 2012 veranschaulicht. Es werden drei Servercomputer und ein Clientcomputer verwendet. Siehe folgende Abbildung.

DNSSEC-Labsetup

Zum Abschließen dieser Testumgebung sind zwei Servercomputer erforderlich. Optional können drei Servercomputer und ein Clientcomputer verwendet werden, um zusätzliche Schritte in der Testumgebung auszuführen.

System_CAPS_noteHinweis

Alle Verweise auf Windows Server 2012 und Windows 8 in diesem Handbuch gelten gleichermaßen für Windows Server 2012 R2 und Windows 8.1. Eine Zusammenfassung der Updates, die für den DNS-Serverdienst in Windows Server 2012 R2 zur Verfügung stehen, finden Sie unter Neues beim DNS-Server. Diese Updates betreffen nicht die Verfahren in diesem Handbuch.

Die folgenden Komponenten sind für die Testumgebung erforderlich:

  1. Die Produkt-DVD oder ein anderes Installationsmedium für Windows Server 2012.

  2. Zwei Computer, die die Mindesthardwareanforderungen für Windows Server 2012 erfüllen.

Die folgenden Komponenten werden für die Testumgebung empfohlen, sie sind jedoch nicht erforderlich:

  1. Die Produkt-DVD oder ein anderes Installationsmedium für Windows 8.

  2. Zwei Computers, die die Mindesthardwareanforderungen für Windows Server 2012 und Windows 8 erfüllen.

Mit den folgenden Verfahren werden Computer für den Demonstrationsteil der Testumgebung konfiguriert:

  • Konfigurieren von DC1: DC1 ist ein Domänencontroller und in Active Directory integrierter autoritativer DNS-Server.

  • Konfigurieren von DNS1: DNS1 ist ein nicht autoritativer DNS-Cacheserver.

  • Konfigurieren von DC2: DC2 ist ein sekundärer Domänencontroller und in Active Directory integrierter DNS-Server.

  • Konfigurieren von Client1: Es gelten Gruppenrichtlinieneinstellungen für DNS für Client1, und mit diesem Computer werden DNS-Clientabfragen ausgegeben.

DC1 ist ein Computer unter Windows Server 2012, der die folgenden Dienste bereitstellt:

  • Einen Domänencontroller für die Active Directory-Domäne "contoso.com".

  • Einen autorisierender DNS-Server für die DNS-Zone "contoso.com".

  • Ein DNSSEC-Schlüsselmaster für die DNS-Zone "contoso.com".

Die Erstkonfiguration von DC1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden auf DC1 zusätzliche Aufgaben ausgeführt. Dazu gehören die NRPT-Konfiguration, die DNSSEC-Zonensignatur, die Verteilung von Vertrauensankern und die Demonstration des DNSSEC-Schlüsselrollovers.

So installieren Sie das Betriebssystem und konfigurieren TCP/IP auf DC1

  1. Starten Sie den Computer mit der Windows Server 2012-Produkt-DVD oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf, und melden Sie sich mit dem lokalen Administratorkonto an.

  4. Klicken Sie auf Akzeptieren, wenn Sie dazu aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren.

  5. Click Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

    System_CAPS_tipTipp

    Der vorherige Schritt demonstriert eine neue Funktionalität in Windows Server 2012, die es Ihnen ermöglicht, Anwendungen, Einstellungen und Dateien zu suchen und auszuführen, indem Sie auf Start klicken und dann einen Suchbegriff eingeben. Sie können auch den Systemsteuerungsbereich Netzwerkverbindungen öffnen, indem Sie in Server-Manager in der Ansicht Lokaler Server neben Verkabelte Ethernetverbindung klicken. Weitere Informationen finden Sie unter Allgemeine Verwaltungsaufgaben und Navigation in Windows Server 2012 (http://go.microsoft.com/fwlink/p/?LinkId=242147).

  6. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf Verkabelte Ethernetverbindung, und klicken Sie dann auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Geben Sie 10.0.0.1 in IP-Adresse und 255.255.255.0 in Subnetzmaske ein. Neben Standardgateway muss kein Eintrag vorgenommen werden.

  10. Geben Sie 10.0.0.1 in Bevorzugter DNS-Server ein.

  11. Click

DC1 dient als primärer Domänencontroller und DNS-Server für die Active Directory-Domäne "contoso.com".

So konfigurieren Sie DC1 als Domänencontroller und DNS-Server

  1. Das Server-Manager-Dashboard wird standardmäßig angezeigt. Klicken Sie im Navigationsbereich auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter Eigenschaften auf den Namen neben computer_name. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DC1 unter Computername ein.

  4. Click

  5. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  6. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das lokale Administratorkonto.

  7. Klicken Sie in Server-Manager unter Diesen lokalen Server konfigurieren auf Rollen und Funktionen hinzufügen.

  8. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Funktionen dreimal auf Weiter, und aktivieren Sie dann auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Domänendienste.

  9. Klicken Sie, wenn Sie zum Hinzufügen erforderlicher Funktionen aufgefordert werden, auf Features hinzufügen.

  10. Click

  11. Warten Sie, bis der Installationsvorgang abgeschlossen ist. Überprüfen Sie anschließend auf der Seite Installationsstatus, ob Konfiguration erforderlich. Installation erfolgreich auf DC1 angezeigt wird, und klicken Sie dann auf Schließen.

  12. Klicken Sie auf das Benachrichtigungssymbol und dann auf Server auf einen Domänencontroller heraufstufen.

    Benachrichtigen
  13. Wählen Sie im Konfiguration-Assistenten für Active Directory-Domänendienste auf der Seite Bereitstellungskonfiguration die Option Neue Gesamtstruktur hinzufügen aus, und geben Sie dann contoso.com neben Name der Stammdomäne ein.

  14. Click Vergewissern Sie sich, dass DNS-Server und Globaler Katalog (GC) ausgewählt sind, und klicken Sie dann auf Weiter.

  15. Click

  16. Der Computer wird automatisch neu gestartet, um den Installationsvorgang abzuschließen.

  17. Verwenden Sie für die Anmeldung das lokale Administratorkonto.

  18. Als Nächstes muss ein Domänenadministratorkonto erstellt werden, das beim Ausführen von Verfahren in der Testumgebung verwendet wird.

    System_CAPS_tipTipp

    Sie können das Konto "CONTOSO\Administrator" in dieser Testumgebung verwenden und die Erstellung eines Domänenadministratorkontos überspringen, falls gewünscht. Dieses Konto verfügt unter anderem über Domänenadministratorberechtigungen. Es hat sich jedoch als sinnvoll erwiesen, dieses Konto zu deaktivieren oder umzubenennen. Weitere Informationen finden Sie im Thema zu Active Directory – Bewährte Methoden(http://go.microsoft.com/fwlink/p/?LinkID=243071).

So erstellen Sie ein Domänenadministratorkonto

  1. Klicken Sie auf der Server-Manager-Menüleiste auf Extras, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. Doppelklicken Sie in der Konsolenstruktur Active Directory-Benutzer und -Computer auf contoso.com, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer.

  3. Geben Sie user1 im Dialogfeld Neues Objekt - Benutzer unter Benutzeranmeldename und neben Vollständiger Name ein, und klicken Sie dann auf Weiter.

  4. Geben Sie neben Kennwort und Kennwort bestätigen ein Kennwort für das Konto "user1" ein.

  5. Deaktivieren Sie das Kontrollkästchen neben Benutzer muss Kennwort bei der nächsten Anmeldung ändern, aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

  6. Doppelklicken Sie auf user1, und klicken Sie dann auf die Registerkarte Mitglied von.

  7. Click

  8. Click

  9. Melden Sie sich mit den Anmeldeinformationen von "user1" am Computer an, indem Sie auf den linken Pfeil neben CONTOSO\Administrator und dann auf Anderer Benutzer klicken.

Konfigurieren Sie dann eine neue DNS-Zone: sec.contoso.com. Mit dieser Zone wird die DNSSEC-Zonensignatur veranschaulicht.

System_CAPS_warningWarnung

Die Domänenzone ("contoso.com") kann auch mit DNSSEC signiert werden. Die Testumgebung beinhaltet jedoch Überprüfungsfehlerszenarien, die komplexer werden, wenn die Domänenzone signiert ist.

So konfigurieren Sie die DNS-Zone "sec.contoso.com"

  1. Klicken Sie im Server-Manager-Menü auf Tools und dann auf DNS.

  2. Klicken Sie in der Konsolenstruktur des DNS-Managers mit der rechten Maustaste auf Forward-Lookupzonen, und klicken Sie dann auf Neue Zone.

  3. Klicken Sie im Assistenten zum Erstellen neuer Zonen dreimal auf Weiter, und geben Sie dann unter Zonenname die Zeichenfolge sec.contoso.com ein.

  4. Click

  5. Überprüfen Sie, ob die Zone sec.contoso.com unter Forward-Lookupzonen angezeigt wird.

  6. Fügen Sie der Zone "sec.contoso.com" dann einen oder mehrere DNS-Ressourceneinträge hinzu.

  7. Lassen Sie die DNS-Manager-Konsole geöffnet.

So fügen Sie der Zone "sec.contoso.com" DNS-Ressourceneinträge hinzu

  1. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).

  2. Geben Sie im Dialogfeld Neuer Host unter Name den Namen dc1 ein, geben Sie unter IP-Adresse die Adresse 10.0.0.1 ein, und klicken Sie dann auf Host hinzufügen. Die IP-Adresse von dc1.contoso.com wird hier verwendet, um Erfolgs- und Fehlerszenarien für DNSSEC zu veranschaulichen.

  3. Vergewissern Sie sich, ob Der Hosteintrag "dc1.sec.contoso.com" wurde erfolgreich erstellt angezeigt wird, und klicken Sie dann auf OK.

  4. Fügen Sie der Zone bei Bedarf weitere Ressourceneinträge hinzu, und klicken Sie dann auf Fertig.

Mit DC1 wird die Funktionalität einer Netzwerkanwendung in einer Umgebung mit DNSSEC veranschaulicht.

So aktivieren Sie Remotedesktop auf DC1

  1. Klicken Sie im Navigationsbereich des Server-Managers auf Lokaler Server.

  2. Klicken Sie neben "Remotedesktop" auf das Wort "Deaktiviert".

  3. Klicken Sie im Dialogfeld "Systemeigenschaften" auf der Registerkarte "Remote" auf "Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird (weniger Sicherheit)", und klicken Sie dann auf "OK".

DNS1 ist ein Computer, auf dem Windows Server® 2012 ausgeführt wird und der die folgenden Dienste zur Verfügung stellt:

  • Einen nicht autoritativen rekursiven DNS-Server

  • Ein DNS-Clientcomputer (optional: wenn Client1 nicht verwendet wird).

Die Erstkonfiguration von DNS1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden mit DNS1 rekursive DNS-Abfragen ausgeführt, es wird ein Vertrauensanker für die Domäne "contoso.com" gehostet, und es wird eine DNSSEC-Überprüfung für DNS-Clientabfragen bereitgestellt. Optional (wenn kein separater DNS-Clientcomputer verwendet wird) werden mit DNS1 DNS-Clientabfragen ausgegeben.

System_CAPS_tipTipp

Das folgende Verfahren ist mit den Schritten zum Installieren des Betriebssystems und Konfigurieren von TCP/IP auf DC1 identisch mit der Ausnahme, dass DNS1 mit der IP-Adresse 10.0.0.2 konfiguriert wird.

So installieren Sie das Betriebssystem und konfigurieren TCP/IP auf DNS1

  1. Starten Sie den Computer mit der Windows Server 2012-Produkt-DVD oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf, und melden Sie sich mit dem lokalen Administratorkonto an.

  4. Klicken Sie auf Akzeptieren, wenn Sie dazu aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren.

  5. Klicken Sie im Server-Managern-Navigationsbereich auf Lokaler Server, und klicken Sie dann auf die IP-Adresse neben Verkabelte Ethernetverbindung. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  6. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf Verkabelte Ethernetverbindung, und klicken Sie dann auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Geben Sie 10.0.0.2 in IP-Adresse und 255.255.255.0 in Subnetzmaske ein. Neben Standardgateway muss kein Eintrag vorgenommen werden.

  10. Geben Sie 10.0.0.1 in Bevorzugter DNS-Server ein.

  11. Click

DNS1 ist ein Domänenmitgliedsserver, auf dem der DNS-Server-Rollendienst ausgeführt wird. DNS1 ist kein Domänencontroller.

So installieren und konfigurieren Sie DNS auf DNS1

  1. Klicken Sie im Navigationsbereich des Server-Managers auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter Eigenschaften auf den Namen neben computer_name. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DNS1 unter Computername ein.

  4. Wählen Sie unter Mitglied von die Option Domäne aus, geben Sie contoso.com ein, und klicken Sie dann auf OK.

  5. Wenn Sie zur Angabe der Anmeldeinformationen aufgefordert werden, um der Domäne beitreten zu können, geben Sie die Anmeldeinformationen für das zuvor erstellte Konto "user1" ein.

  6. Überprüfen Sie, ob die Änderung des Computernamens und der Domäne erfolgreich waren, klicken Sie auf OK, und klicken Sie dann auf Schließen.

  7. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  8. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das Konto "CONTOSO\user1".

  9. Klicken Sie in Server-Manager unter Diesen lokalen Server konfigurieren auf Rollen und Funktionen hinzufügen.

  10. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features dreimal auf Weiter, und aktivieren Sie dann auf der Seite Serverrollen auswählen das Kontrollkästchen DNS-Server.

  11. Klicken Sie, wenn Sie zum Hinzufügen erforderlicher Funktionen aufgefordert werden, auf Features hinzufügen.

  12. Click

  13. Warten Sie, bis der Installationsvorgang abgeschlossen ist, überprüfen Sie auf der Seite Installationsstatus, ob Die Installation auf "DNS1.contoso.com" war erfolgreich angezeigt wird, und klicken Sie dann auf Schließen.

  14. Klicken Sie auf der Menüleiste des Server-Managers auf Tools und dann auf DNS.

  15. Klicken Sie in der Konsolenstruktur des DNS-Managers mit der rechten Maustaste auf DNS1, und klicken Sie dann auf Eigenschaften.

  16. Klicken Sie auf die Registerkarte Weiterleitungen auf Bearbeiten, geben Sie 10.0.0.1 ein, und klicken Sie dann zweimal auf OK.

  17. Lassen Sie die DNS-Manager-Konsole geöffnet.

Mit dem Netzwerkmonitor werden detaillierte Informationen zu DNS-Abfragen angezeigt. Die Installation des Netzwerkmonitors ist in dieser Testumgebung optional. Ergebnisse der Netzwerkdatenverkehrsanalyse mithilfe des Netzwerkmonitors befinden sich im Abschnitt Anhang: Ergebnisse des Netzwerkmonitors.

So installieren Sie den Netzwerkmonitor

  1. Laden Sie die neueste Version des Netzwerkmonitors aus dem Microsoft Download Center herunter: Netzwerkmonitor 3.4 (http://go.microsoft.com/fwlink/p/?LinkId=103158).

  2. Doppelklicken Sie auf die Installationsdatei, klicken Sie auf Yes, wenn Sie dazu aufgefordert werden, um den Vorgang fortzusetzen, klicken Sie auf Next, lesen und akzeptieren Sie die Lizenzbedingungen, und klicken Sie dann auf Next.

  3. Wählen Sie Use Microsoft Update when I check for updates (recommended) aus, und klicken Sie dann auf Next.

  4. Wählen Sie den Installationstyp Complete aus, und klicken Sie dann auf Install.

  5. Click

  6. Click

DC2 ist ein Computer, auf dem Windows Server 2012 ausgeführt wird und der die folgenden Dienste zur Verfügung stellt:

  • Einen sekundären Domänencontroller für die Active Directory-Domäne "contoso.com"

  • Einen autorisierender DNS-Server für die DNS-Zone "contoso.com".

System_CAPS_noteHinweis

Das Installieren und Konfigurieren von DC2 wird empfohlen, es ist jedoch optional. DC2 ist erforderlich, um einige – aber nicht alle – Schritte in der Testumgebung auszuführen. Wenn Sie die Anzahl der in der Testumgebung verwendeten Computer beschränken müssen, überspringen Sie die Schritte zum Installieren und Konfigurieren von DC2. DC2 ist für die Demonstration der Active Directory-Replikation und das Übertragen der Schlüsselmasterrolle von DC1 an DC2 erforderlich.

Die Erstkonfiguration von DC2 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung werden mit DC2 die Active Directory-Replikation einer mit DNSSEC signierten Zone und die Übertragung der Schlüsselmasterrolle auf DC1 an einen anderen autoritativen DNS-Server veranschaulicht.

System_CAPS_tipTipp

Das folgende Verfahren ist mit den Schritten zum Installieren des Betriebssystems und Konfigurieren von TCP/IP auf DC1 identisch, mit der Ausnahme, dass DC2 mit der IP-Adresse 10.0.0.3 konfiguriert wird.

So installieren Sie das Betriebssystem und konfigurieren TCP/IP auf DC2

  1. Starten Sie den Computer mit der Windows Server 2012-Produkt-DVD oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, konfigurieren Sie Uhrzeit, Sprache und regionale Einstellungen, und legen Sie ein Kennwort für das lokale Administratorkonto fest.

  3. Drücken Sie Strg+Alt+Entf, und melden Sie sich mit dem lokalen Administratorkonto an.

  4. Klicken Sie auf Akzeptieren, wenn Sie dazu aufgefordert werden, die Windows-Fehlerberichterstattung zu aktivieren.

  5. Klicken Sie im Server-Managern-Navigationsbereich auf Lokaler Server, und klicken Sie dann auf die IP-Adresse neben Verkabelte Ethernetverbindung. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  6. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf Verkabelte Ethernetverbindung, und klicken Sie dann auf Eigenschaften.

  7. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  8. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  9. Geben Sie 10.0.0.3 in IP-Adresse und 255.255.255.0 in Subnetzmaske ein. Neben Standardgateway muss kein Eintrag vorgenommen werden.

  10. Geben Sie 10.0.0.1 in Bevorzugter DNS-Server ein.

  11. Click

Die Schritte zum Installieren von Active Directory und DNS auf DC2 sind mit denen für DC1 fast identisch. Der Vollständigkeit halber sind nachfolgend alle Schritte aufgeführt.

So installieren Sie Active Directory und DNS auf DC2

  1. Klicken Sie im Navigationsbereich des Server-Manager-Dashboards auf Diesen lokalen Server konfigurieren.

  2. Klicken Sie unter Eigenschaften auf den Namen neben computer_name. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf der Registerkarte Computername auf Ändern, und geben Sie dann DC2 unter Computername ein.

  4. Wählen Sie unter Mitglied von die Option Domäne aus, geben Sie contoso.com ein, und klicken Sie dann auf OK.

  5. Wenn Sie zur Angabe der Anmeldeinformationen aufgefordert werden, um der Domäne beitreten zu können, geben Sie die Anmeldeinformationen für das Konto "user1" ein.

  6. Überprüfen Sie, ob die Änderung des Computernamens und der Domäne erfolgreich waren, klicken Sie auf OK, und klicken Sie dann auf Schließen.

  7. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  8. Nachdem Sie den Computer neu gestartet haben, verwenden Sie für die Anmeldung das Konto "CONTOSO\user1".

  9. Klicken Sie in Server-Manager unter Diesen lokalen Server konfigurieren auf Rollen und Funktionen hinzufügen.

  10. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Funktionen dreimal auf Weiter, und aktivieren Sie dann auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Domänendienste.

  11. Klicken Sie, wenn Sie zum Hinzufügen erforderlicher Funktionen aufgefordert werden, auf Features hinzufügen.

  12. Click

  13. Warten Sie, bis der Installationsvorgang abgeschlossen ist. Überprüfen Sie anschließend auf der Seite Installationsstatus, ob Konfiguration erforderlich. Installation erfolgreich auf DC2.contoso.com angezeigt wird, und klicken Sie dann auf Schließen.

  14. Klicken Sie im Server-Manager auf "Benachrichtigung", und klicken Sie dann auf Server zu einem Domänencontroller heraufstufen.

  15. Wählen Sie im Konfigurations-Assistenten für die Active Directory-Domänendienste auf der Seite Bereitstellungskonfiguration die Option Domänencontroller vorhandener Domäne hinzufügen aus, vergewissern Sie sich, dass der neben "Domäne" angezeigte Name contoso.com lautet, geben Sie die Anmeldeinformationen für das Konto "CONTOSO\user1" ein, und klicken Sie dann auf Weiter.

  16. Aktivieren Sie auf der Seite Domänencontrolleroptionen die Kontrollkästchen DNS-Server (Domain Name System) und Globaler Katalog, geben Sie neben Kennwort und Kennwort bestätigen das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus ein, klicken Sie fünfmal auf Weiter, und klicken Sie dann auf "Installieren".

  17. Vergewissern Sie sich, dass die Installation erfolgreich war. Der Computer wird automatisch neu gestartet.

  18. Melden Sie sich nach dem Neustart des Computers mit den Anmeldeinformationen für "CONTOSO\user1" an.

Client1 ist ein Computer unter Windows® 8, der als DNS-Client fungiert. Die Konfiguration von Client1 umfasst die folgenden Schritte:

Während des Demonstrationsteils der Testumgebung erhält Client1 NRPT-Einstellungen von der Gruppenrichtlinie und wird zum Ausführen von DNS-Abfragen verwendet.

So installieren Sie das Betriebssystem und konfigurieren TCP/IP auf Client1

  1. Starten Sie den Computer mit der Windows 8-Produkt-DVD oder anderen digitalen Medien.

  2. Wenn Sie dazu aufgefordert werden, geben Sie einen Produktschlüssel ein, und akzeptieren Sie die Lizenzbedingungen.

  3. Wenn Sie zur Eingabe eines Computernamens aufgefordert werden, geben Sie Client1 ein, und klicken Sie auf Weiter.

  4. Click

  5. Klicken Sie auf der Seite Am PC anmelden auf Möchten Sie sich mit einem Microsoft-Konto anmelden, klicken Sie dann auf Lokales Konto.

  6. Geben Sie user1 neben Benutzername ein, geben Sie ein Kennwort und einen Kennworthinweis ein, und klicken Sie dann auf Fertig stellen.

  7. Klicken Sie auf Start, geben Sie ncpa.cpl ein, und drücken Sie dann die EINGABETASTE. Der Systemsteuerungsbereich Netzwerkverbindungen wird geöffnet.

  8. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf Verkabelte Ethernetverbindung, und klicken Sie dann auf Eigenschaften.

  9. Doppelklicken Sie auf Internetprotokoll Version 4 (TCP/IPv4).

  10. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden.

  11. Geben Sie 10.0.0.4 in IP-Adresse und 255.255.255.0 in Subnetzmaske ein. Neben Standardgateway muss kein Eintrag vorgenommen werden.

  12. Geben Sie 10.0.0.2 neben Bevorzugter DNS-Server ein.

    System_CAPS_importantWichtig

    Vom DNS-Clientcomputer sollte für diese Testumgebung ein nicht autoritativer DNS-Server verwendet werden. Die für Bevorzugter DNS-Server verwendete IP-Adresse muss DNS1 (10.0.0.2) entsprechen und nicht einem DNS-Server, der auf einem Domänencontroller (DC1 oder DC2) ausgeführt wird.

  13. Click

Damit Client1 Gruppenrichtlinieneinstellungen für die Domäne erhalten kann, muss der Computer der Domäne "contoso.com" hinzugefügt werden.

So fügen Sie Client1 der Domäne „contoso.com“ hinzu

  1. Click

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf Ändern.

  3. Wählen Sie unter Mitglied von die Option Domäne aus, geben Sie contoso.com ein, und klicken Sie dann auf OK.

  4. Wenn Sie zur Angabe eines Kontos mit Berechtigungen für die Domäne aufgefordert werden, geben Sie die Anmeldeinformationen für das Konto "CONTOSO\user1" ein, und klicken Sie dann auf OK.

  5. Vergewissern Sie sich, dass die Begrüßung bei der Domäne contoso.com angezeigt wird, klicken Sie zweimal auf OK, und klicken Sie dann auf Schließen.

  6. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  7. Drücken Sie nach dem Neustart des Computers STRG+ALT+ENTF, klicken Sie auf den Pfeil nach links und dann auf Anderer Benutzer, und melden Sie sich mit den Anmeldeinformationen für das Konto "CONTOSO\user1" an.

Bei der Demonstration von DNSSEC auf Client1 wird die Windows PowerShell zum Abfragen von DNS-Servern verwendet. Damit Sie schneller auf die Windows PowerShell zugreifen können, wird sie an die Taskleiste angeheftet.

So heften Sie die Windows PowerShell an die Taskleiste an

  1. Geben Sie auf der Seite Start die Zeichenfolge powershell ein, klicken Sie mit der rechten Maustaste auf "Windows PowerShell", und klicken Sie dann auf "An Taskleiste anheften". Drücken Sie die ESC-TASTE, um zum Desktop zurückzukehren.

  2. Vergewissern Sie sich, dass die Windows PowerShell an die Taskleiste angeheftet ist.

Für den DNSSEC-Demonstrationsteil der Testumgebung können Sie DNS1 anstelle von Client1 zum Ausführen von DNS-Clientabfragen verwenden, wenn der Client1-Computer nicht verfügbar ist. Wenn der DC2-Computer nicht verfügbar ist, müssen Sie einige der nachfolgenden Verfahren überspringen.

Eine Demonstration der DNSSEC-Funktionalität von Windows Server 2012 umfasst die folgenden Verfahren:

  1. Abfragen einer nicht signierten Zone ohne erforderliche DNSSEC-Überprüfung.

  2. Signieren einer Zone auf DC1 und Verteilen von Vertrauensankern

  3. Abfragen einer signierten Zone ohne erforderliche DNSSEC-Überprüfung

  4. Abfragen einer signierten Zone mit erforderlicher DNSSEC-Überprüfung.

  5. Entfernen der Signatur einer Zone und anschließendes Neusignieren der Zone mit benutzerdefinierten Parametern.

  6. Veranschaulichen einer fehlerhaften Überprüfung.

  7. Veranschaulichen der Active Directory-Replikation von mit DNSSEC signierten Ressourceneinträgen.

  8. Transferieren Sie die Hauptmasterrolle für sec.contoso.com an DC2.

Verwenden Sie zunächst das Cmdlet "resolve-dnsname", um eine nicht signierte Zone abzufragen, wenn keine Überprüfung erforderlich ist.

So fragen Sie eine nicht signierte Zone ohne erforderliche DNSSEC-Überprüfung ab

  1. Klicken Sie auf Client1 auf der Taskleiste auf Windows PowerShell, geben Sie cd\ ein, und drücken Sie die EINGABETASTE.

  2. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture1.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Abfrage 1
    System_CAPS_tipTipp

    Die Option dnssecok im oben genannten Befehl informiert den DNS-Server darüber, dass der Client DNSSEC versteht und der Server diese zusätzlichen Einträge senden kann. Da die Zone noch nicht signiert ist, werden in der Antwort keine Signatureinträge (RRSIG) angezeigt.

  4. Lassen Sie die Windows PowerShell-Eingabeaufforderung für die folgenden Verfahren geöffnet.

So überprüfen Sie Remoteverbindungen mit "dc1.sec.contoso.com"

  1. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    mstsc /v:dc1.sec.contoso.com
    
  2. Geben Sie das Kennwort für das Konto "user1" ein, und klicken Sie auf OK.

  3. Wenn eine Meldung zu einem Sicherheitsproblem des Remotecomputers angezeigt wird, klicken Sie auf Ja.

  4. Überprüfen Sie, ob Sie sich erfolgreich mit "dc1.sec.contoso.com" verbinden können, und schließen Sie dann die Remotesitzung.

Signieren Sie als Nächstes die Zone "sec.contoso.com", und verteilen Sie einen Vertrauensanker für die Zone. Die Vertrauensankerverteilung wird auf Servern wie DNS1, die nicht auf einem Domänencontroller ausgeführt werden, manuell vorgenommen. Die automatische Vertrauensankerverteilung kann für in Active Directory integrierte DNS-Server wie DC2 aktiviert werden.

So signieren Sie eine Zone auf DC1

  1. Navigieren Sie in der Konsolenstruktur des DNS-Managers auf DC1 zu Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Zone signieren.

    Zone signieren
  3. Klicken Sie im Zonensignatur-Assistenten auf Weiter, und wählen Sie dann Empfohlene Einstellungen für die Zonensignierung verwenden aus.

    Zone signieren
  4. Click

  5. Aktualisieren Sie die DNS-Manager-Konsole, und überprüfen Sie, ob ein neues Symbol für die Zone "sec.contoso.com" angezeigt wird, das die derzeitige DNSSEC-Signatur der Zone angibt.

  6. Klicken Sie auf die Zone "sec.contoso.com", und sehen Sie sich die derzeit vorhandenen neuen Ressourceneinträge, einschließlich der DNSKEY-, RRSIG- und NSEC3-Einträge, an.

    Signierte Zone
  7. Lassen Sie die DNS-Manager-Konsole geöffnet.

So verteilen Sie einen Vertrauensanker an DNS1

  1. Klicken Sie auf DC1 auf der Taskleiste auf Windows-Explorer.

  2. Navigieren Sie zu C:\Windows\System32, klicken Sie mit der rechten Maustaste auf den Ordner dns, zeigen Sie auf Freigeben für, und klicken Sie dann auf Erweiterte Freigabe.

  3. Klicken Sie im Dialogfeld DNS-Eigenschaften auf Erweiterte Freigabe, aktivieren Sie das Kontrollkästchen Diesen Ordner freigeben, überprüfen Sie, ob für Freigabename der Name dns angegeben ist, und klicken Sie dann auf OK.

    DNS-Ordner freigeben
  4. Click

  5. Navigieren Sie auf DNS1 in der Konsolenstruktur des DNS-Managers zum Ordner Vertrauenspunkte.

  6. Klicken Sie mit der rechten Maustaste auf Vertrauenspunkte, zeigen Sie auf Importieren, und klicken Sie dann auf DNSKEY.

  7. Im Dialogfeld DNSKEY importieren geben Sie \\dc1\dns\keyset-sec.contoso.com ein, und klicken Sie dann auf OK.

So überprüfen Sie Vertrauensanker

  1. Navigieren Sie in der Konsolenstruktur zu Vertrauenspunkte > com > contsoso > sec, und überprüfen Sie, ob der Import erfolgreich war.

    System_CAPS_tipTipp

    Es werden zwei DNSKEY-Vertrauenspunkte angezeigt – einer für den aktiven Schlüssel und einer für den Standbyschlüssel.

  2. Klicken Sie auf einem beliebigen Computer auf Windows PowerShell, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name sec.contoso.com.trustanchors –type dnskey –server dns1
    

    Vergewissern Sie sich, dass zwei Vertrauensanker angezeigt werden.

  3. Klicken Sie auf DNS1 mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Vergewissern Sie sich, dass zwei Vertrauensanker angezeigt werden.

Löschen und erneutes Verteilen von Vertrauensankern mithilfe der Windows PowerShell

  1. Geben Sie auf DNS1 im Windows PowerShell-Fenster für Administratoren den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsservertrustanchor –name sec.contoso.com
    
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Überprüfen Sie, ob "Fehler beim Aufzählen der Vertrauensanker" angezeigt wird.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsserverzone –name trustanchors
    
    System_CAPS_importantWichtig

    Die Zone trustanchors wird mithilfe des Cmdlets "remove-dnsserverzone" gelöscht, sodass das Cmdlet "add-dnsserverprimaryzone" veranschaulicht werden kann. Die Zone trustanchors muss in der Regel nach dem Löschen von Vertrauensankern nicht entfernt und wiederhergestellt werden.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    add-dnsserverprimaryzone –computername dns1 trustanchors –zonefile trustanchors.dns
    
  5. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsserverresourcerecord –zonename sec.contoso.com –rrtype dnskey –computername dc1 | %{ $_.recorddata | add-dnsservertrustanchor -name sec.contoso.com }
    
  6. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    get-dnsservertrustanchor sec.contoso.com
    

    Überprüfen Sie, ob wieder zwei Vertrauensanker angezeigt werden.

So verteilen Sie einen Vertrauensanker an DC2

  1. Navigieren Sie in DC1, im DNS Manager-Konsolenverzeichnis nach Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Vertrauensanker.

  4. Aktivieren Sie das Kontrollkästchen Verteilung von Vertrauensankern für diese Zone aktivieren, und klicken Sie dann auf OK.

  5. Wenn Sie aufgefordert werden, die Änderungen an der Zone zu bestätigen, klicken Sie auf Ja.

  6. Wenn angezeigt wird, dass die Konfiguration erfolgreich war, klicken Sie auf OK.

  7. Aktivieren Sie auf DC2 die Ansicht im DNS-Manager, und vergewissern Sie sich, dass Vertrauensanker für "sec.contoso.com" vorhanden sind.

    System_CAPS_importantWichtig

    Sie müssen möglicherweise einige Minuten warten, bis die Replikation auf DC2 erfolgt.

Für signierte Ressourceneinträge werden zusätzliche DNSSEC-bezogene Informationen angezeigt. Vergleichen Sie bei Bedarf Abfrageergebnisse für "dc1.contoso.com" mit Abfrageergebnissen für "dc1.sec.contoso.com".

So fragen Sie eine signierte Zone ohne erforderliche DNSSEC-Überprüfung ab

  1. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture2.

  2. Geben Sie auf Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    DNSSEC-Abfrage
  3. Wenn Sie überprüfen möchten, ob die DNSSEC-Überprüfung derzeit nicht erforderlich ist, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    get-dnsclientnrptpolicy
    
  4. Vergewissern Sie sich, dass auf den Clientcomputer derzeit keine NRPT-Richtlinie für den Namespace "sec.contoso.com" angewendet wird.

  5. Lassen Sie die Windows PowerShell-Eingabeaufforderung geöffnet.

Mit der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) wird die DNSSEC-Überprüfung erforderlich gemacht. Die NRPT kann in einer lokalen Gruppenrichtlinien für einen einzelnen Computer oder in der Domänengruppenrichtlinie für einige oder alle Computer in der Domäne konfiguriert werden. Im folgenden Verfahren wird die Domänengruppenrichtlinie verwendet.

So machen Sie die Ausführung der DNSSEC-Überprüfung erforderlich

  1. Klicken Sie auf DC1 auf der Menüleiste des Server-Managers auf Tools, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Konsolenstruktur der Gruppenrichtlinienverwaltung unter Domänen > contoso.com > Gruppenrichtlinienobjekte mit der rechten Maustaste auf Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  3. Navigieren Sie in der Konsolenstruktur des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Namensauflösungsrichtlinie.

  4. Wählen Sie im Detailbereich unter Regeln erstellen und Für welchen Teil des Namespace gilt die Regel den Eintrag Suffix aus der Dropdownliste aus, und geben Sie neben Suffix die Zeichenfolge sec.contoso.com ein.

  5. Aktivieren Sie auf der Registerkarte DNSSEC das Kontrollkästchen DNSSEC in dieser Regel aktivieren, und aktivieren Sie dann unter Überprüfung das Kontrollkästchen Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden.

  6. Klicken Sie in der unteren rechten Ecke auf Erstellen, und überprüfen Sie dann, ob unter Richtlinientabelle für die Namensauflösung eine Regel für sec.contoso.com hinzugefügt wurde.

    NRPT
  7. Click

  8. Geben Sie auf DC1 die folgenden Befehle an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie die EINGABETASTE:

    gpupdate /force
    
    get-dnsclientnrptpolicy
    
  9. Überprüfen Sie, ob die Computer- und Benutzerrichtlinienaktualisierungen erfolgreich waren und ob DnsSecValidationRequired für den Namespace .sec.contoso.com den Wert Wahr aufweist.

  10. Wiederholen Sie die Gruppenrichtlinienaktualisierung (gpupdate /force), und überprüfen Sie die NRPT-Richtlinie auf Client1.

    NRPT-Richtlinienausgabe

So fragen Sie eine signierte Zone mit erforderlicher DNSSEC-Überprüfung ab

  1. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture3.

  2. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
  3. Vergewissern Sie sich, dass dieselben Ergebnisse zurückgegeben werden wie zuvor, als noch keine Überprüfung erforderlich war. Da auf DNS1 ein gültiger Vertrauensanker vorhanden ist, wird die Abfrage erfolgreich ausgeführt, selbst wenn eine Überprüfung erforderlich ist.

Geben Sie vor dem Entfernen der Signatur und dem erneuten Signieren der Zone einige Abfragen für DNSSEC-Einträge aus. Diese Abfragetypen können bei der Problembehandlung von DNSSEC hilfreich sein.

So fragen Sie DNSSEC-Einträge in der Zone "sec.contoso.com" ab

  1. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name dc1.sec.contoso.com –type soa –server dns1 -dnssecok
    
  2. Geben Sie beim Client1 an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname –name sec.contoso.com –type dnskey –server dns1 -dnssecok
    
System_CAPS_tipTipp

Zum Anzeigen der Syntax für "resolve-dnsname", einschließlich aller möglichen Werte für den Parameter Type, geben Sie get-help resolve-dnsname ein.

Die DNSSEC-Signatur wird aus der Zone "sec.contoso.com" entfernt, und die Zone wird dann mithilfe von benutzerdefinierten DNSSEC-Parametern erneut signiert.

So entfernen Sie die Signatur einer Zone

  1. Navigieren Sie in DC1, im DNS Manager-Konsolenverzeichnis nach Forward-Lookupzonen > sec.contoso.com.

  2. Klicken Sie mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Signatur der Zone entfernen.

  3. Klicken Sie im Assistenten zum Entfernen der Signatur einer Zone auf Weiter.

  4. Überprüfen Sie, ob Die Signatur der Zone wurde erfolgreich entfernt angezeigt wird, und klicken Sie dann auf Fertig stellen.

  5. Aktualisieren Sie die Ansicht im DNS-Manager, und überprüfen Sie, ob die Zone sec.contoso.com keine signierten DNSSEC-Einträge mehr enthält und ob das Symbol neben der Zone angibt, dass sie derzeit nicht signiert ist.

    Zone nicht signiert

So signieren Sie die Zone erneut mit benutzerdefinierten Parametern

  1. Klicken Sie auf DC1 mit der rechten Maustaste auf sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Zone signieren.

  2. Klicken Sie im Zonensignatur-Assistenten auf Weiter.

  3. Zonensignaturparameter anpassen ist standardmäßig ausgewählt. Klicken Sie auf Weiter.

  4. Auf der Seite Schlüsselmaster ist Der DNS-Server "DC1" fungiert als Schlüsselmaster standardmäßig ausgewählt, da die Zonensignatur auf DC1 ausgeführt wird.

    Wenn Sie DC2 in dieser Testumgebung konfiguriert haben, überprüfen Sie die verfügbaren Optionen, sofern Wählen Sie einen anderen primären Server als Schlüsselmaster aus ausgewählt ist. Wählen Sie diese Option nicht aus, aber überprüfen Sie, ob "dc2.contoso.com" auch als möglicher Schlüsselmaster für diese Zone verfügbar ist. Wenn Sie gewarnt werden, dass alle autoritativen Server, die eine DNSSEC-Onlinesignatur vornehmen, geladen werden, klicken Sie auf Ja.

    Schlüsselmaster
  5. Stellen Sie sicher, dass DC1 als Schlüsselmaster ausgewählt ist, und klicken Sie dann zweimal auf Weiter.

  6. Klicken Sie auf der Seite Schlüsselsignaturschlüssel (Key Signing Key, KSK) auf den vorhandenen Schlüsselsignaturschlüssel (mit einer Schlüssellänge von 2048 Bits), und klicken Sie dann auf Entfernen.

  7. Klicken Sie zum Hinzufügen eines neuen Schlüsselsignaturschlüssels auf Hinzufügen.

  8. Klicken Sie im Dialogfeld Neuer Schlüsselsignaturschlüssel (Key Signing Key, KSK) unter Schlüsseleigenschaften auf das Dropdown neben Kryptografiealgorithmus, und wählen Sie RSA/SHA-512 aus.

  9. Klicken Sie unter Schlüsseleigenschaften auf das Dropdown neben Schlüssellänge (in Bits), wählen Sie 4096 aus, und klicken Sie dann auf OK.

    KSK
  10. Click

  11. Überprüfen Sie die von Ihnen ausgewählten Parameter, und klicken Sie dann auf Weiter, um die Zonensignatur zu starten.

  12. Vergewissern Sie sich, dass Die Zone wurde erfolgreich signiert angezeigt wird, klicken Sie auf Fertig stellen, und aktualisieren Sie dann die Ansicht im DNS-Manager, um zu überprüfen, ob die Zone wieder signiert ist.

  13. Aktualisieren Sie die Ansicht für den Ordner Vertrauenspunkte, und überprüfen Sie, ob neue DNSKEY-Vertrauenspunkte vorhanden sind, die den RSA/SHA-512-Algorithmus verwenden.

  14. Geben Sie an der Windows PowerShell-Eingabeaufforderung für Administratoren die folgenden Befehle ein, und drücken Sie die EINGABETASTE:

    Get-dnsservertrustanchor –name sec.contoso.com –computername dns1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc1
    
    Get-dnsservertrustanchor –name sec.contoso.com –computername dc2
    

    Beachten Sie, dass von DC1 und DC2 die neuen Vertrauensanker verwendet werden, aber DNS1 über die alten Vertrauensanker verfügt. Möglicherweise müssen Sie einige Minuten warten, bis die automatische Verteilung der neuen Vertrauensanker an DC2 erfolgt.

Da der an DNS1 verteilte Vertrauensanker nicht mehr gültig ist, tritt beim Abfragen von Ressourceneinträgen in der Zone "sec.contoso.com" ein Fehler bei der DNSSEC-Überprüfung auf.

So veranschaulichen Sie eine fehlerhafte Überprüfung

  1. Zeigen Sie auf DNS1 die derzeit installierten Vertrauenspunkte für "sec.contoso.com" an, und überprüfen Sie, ob der alter Vertrauensanker, von dem der RSA/SHA-1-Algorithmus verwendet wird, vorhanden ist.

  2. Klicken Sie zum Leeren des DNS-Servercaches mit der rechten Maustaste auf DNS1, und klicken Sie dann auf Cache löschen.

    Cache löschen
  3. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture4.

  4. Geben Sie auf Client1 den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    resolve-dnsname dc1.sec.contoso.com –server dns1 –dnssecok
    
    Abfragefehler


    System_CAPS_importantWichtig

    Die automatische Aktualisierung von Vertrauensankern auf einem nicht autoritativen überprüfenden DNS-Server (gemäß RFC 5011) tritt nur während eines Schlüsselrollovers auf. Wenn Sie die Signatur entfernen und die Zone manuell erneut mit neuen Schlüssen signieren, müssen Sie auch manuell einen neuen Vertrauensanker verteilen.

    Wenn ein überprüfender DNS-Server einen falschen Vertrauensanker aufweist, verursachen DNS-Abfragen, für die eine Überprüfung erforderlich ist, einen Serverfehler.

    Wenn kein Vertrauensanker vorhanden ist, verursachen Abfragen anscheinend auch eine fehlerhafte Überprüfung. Da kein Vertrauensanker vorhanden ist, versucht der Server nicht, die Antwort zu überprüfen. In diesem Szenario wird ein Fehler aufgrund eines unsicheren Pakets angezeigt:

So veranschaulichen Sie eine unsichere Antwort

  1. Geben Sie auf DNS1 an der Windows PowerShell-Eingabeaufforderung für Administratoren den folgenden Befehl ein, und drücken Sie dann zweimal die EINGABETASTE:

    remove-dnsservertrustanchor sec.contoso.com
    
  2. Wenn Sie möchten, starten Sie eine Netzwerkmonitoraufnahme. Halten Sie die Aufnahme an, nachdem Sie den folgenden Befehl eingegeben haben, und speichern Sie dann die Aufnahme unter dem Namen: Capture5.

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    resolve-dnsname –name dc1.sec.contoso.com –server dns1 -dnssecok
    
    Nicht sichere Antwort

Da bei der DNSSEC-Überprüfung ein Fehler auftritt, können Sie mithilfe von Remotedesktop keine Verbindung mit "dc1.sec.contoso.com" herstellen.

So veranschaulichen Sie einen Remotedesktopfehler

  1. Geben Sie auf Client1 die folgenden Befehle an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    ipconfig /flushdns
    
    mstsc /v:dc1.sec.contoso.com
    
  2. Überprüfen Sie, ob Remotedesktop kann den Computer “dc1.sec.contoso.com” nicht finden angezeigt wird.

Sofern DNS-Server Active Directory-integriert sind, werden Vertrauensanker und signierte Ressourceneinträge automatisch aktualisiert, selbst wenn die Signatur der Zone entfernt und die Zone manuell erneut signiert wird.

So veranschaulichen Sie die Active Directory-Replikation von mit DNSSEC signierten Ressourceneinträgen

  1. Zeigen Sie auf DC2 im DNS-Manager den Inhalt des Ordners Vertrauenspunkte an. Aktualisieren Sie die Ansicht bei Bedarf, um die aktuellen Vertrauensanker anzuzeigen.

  2. Überprüfen Sie, ob die DNSKEY-Vertrauensanker für sec.contoso.com automatisch für die Verwendung des RSA/SHA-512-Algorithmus aktualisiert wird.

  3. Klicken Sie in der Konsolenstruktur des DNS-Managers auf Globale Protokolle > DNS-Ereignisse, und sehen Sie sich Ereignis-ID 7653 an. Dort wird angegeben, dass der DNS-Server eine Änderung von Zonensignaturparametern für die "sec.contoso.com" erkannt hat und die Zone neu signiert wird. Nachdem die Zonensignatur abgeschlossen ist, wird kein Ereignis angezeigt.

  4. Click

    Replikation
    Sicherer Einstiegspunkt
  5. Fügen Sie auf DC1 im DNS-Manager einen neuen Eintrags des Hosts (A) für "dns1.sec.contoso.com" mit der IP-Adresse 10.0.0.2 hinzu.

  6. Aktualisieren Sie die Ansicht im DNS-Manager, und überprüfen Sie, ob automatisch ein RR-Signatureintrag (RRSIG) für DNS1 erstellt wurde.

  7. Aktualisieren Sie auf DC2 die Ansicht im DNS-Manager, und überprüfen Sie, ob der neue signierte Eintrag auf diesem Server repliziert wurde.

    System_CAPS_tipTipp

    Beim Hinzufügen oder Bearbeiten vorhandener Einträge in einer Zone wird keine erneute Zonensignatur ausgelöst. Es werden nur die neuen oder geänderten Ressourceneinträge mit dem aktualisierten Autoritätsursprungseintrag (Start of Authority, SOA) für die Zone signiert.

Es kann sein, dass die Schlüsselmasterrolle für eine Zone an einen anderen DNS-Server übertragen werden muss. Die Rollenübertragung kann von einem beliebigen autoritativen DNS-Server aus ausgeführt werden, und der aktuelle Schlüsselmaster kann online oder offline sein. Im folgenden Beispiel ist der aktuelle Schlüsselmaster online.

So übertragen Sie die Schlüsselmasterrolle für "sec.contoso.com" an DC2

  1. Klicken Sie auf DC1 oder DC2 im DNS-Manager mit der rechten Maustaste auf die Zone sec.contoso.com, zeigen Sie auf DNSSEC, und klicken Sie dann auf Eigenschaften.

  2. Wählen Sie auf der Registerkarte Schlüsselmaster die Option Folgenden DNS-Server als Schlüsselmaster verwenden aus.

  3. Klicken Sie auf die Dropdownliste, und wenn Sie gewarnt werden, dass alle autoritativen DNS-Server geladen werden, klicken Sie auf Ja.

  4. Wählen Sie dc2.contoso.com aus der Liste aus, und klicken Sie dann auf OK.

  5. Wenn Sie gewarnt werden, dass die Schlüsselmastereinstellung geändert wird, klicken Sie auf Ja.

  6. Überprüfen Sie, ob Der Schlüsselmaster für die Zone "sec.contoso.com" wurde erfolgreich aktualisiert angezeigt wird.

  7. Überprüfen Sie, ob die DNS-Ereignis-ID 7649 als neuer Schlüsselmaster und die DNS-Ereignis-ID 7648 als vorheriger Schlüsselmaster angezeigt wird.

Die folgenden Abschnitte enthalten Informationen zu den Ergebnissen der Netzwerkmonitoraufzeichnungen (netmon) während des DNSSEC-Demonstrationsteils der Testumgebung. Bei der Analyse des Netzwerkdatenverkehrs werden die Ansichten Netzwerkkonversationen, Rahmenzusammenfassung und Rahmendetails verwendet.

In allen Testumgebungsaufzeichnungen werden zwei IPv4-Netzwerkkonversationen angezeigt. Die IPv4-Netzwerkkonversationen enthalten Abfragen für dns1.contoso.com und dc1.sec.contoso.com. Die Abfragen für "dc1.sec.contoso.com" enthalten auch A-Eintragsabfragen und AAAA-Eintragsabfragen. Im Rahmen der Testumgebung können Sie die IPv6-Netzwerkkonversation und alle Abfragen für Hosteinträge für "dns1.contoso.com" und AAAA-Abfragen für "dc1.sec.contoso.com" ignorieren. Die beiden IPv4-Netzwerkkonversationen lauten wie folgt:

  1. 10.0.0.4 – 10.0.0.2: Ein Paketaustausch zwischen Client1 (10.0.0.4) und DNS1 (10.0.0.2). Suchen Sie die Abfrage für den Eintrag des Hosts (A) für "dc1.sec.contoso.com". Unter Rahmenzusammenfassung gibt es zwei Phasen – eine mit der Quelle Client1 und eine mit der Quelle DNS1. Suchen Sie die Pakete mit der Quelle DNS1 (mit Ziel = Client1).

    Folgende Dinge sind bei dieser Netzwerkkonversation zu beachten:

    • In Rahmendetails unter Dns\Flags ist die Kennzeichnung AuthenticatedData (AD) in Abhängigkeit davon, ob die zurückgegebenen Informationen als echt überprüft wurden oder nicht, aktiviert ("1") oder deaktiviert ("0").

    • In Rahmendetails unter Dns\Flags\ARecord werden RRSIG-Daten zurückgegeben, wenn die Zone signiert wird, solange Rcode unter Dns\Flags den Wert Erfolg aufweist.

  2. 10.0.0.2 – 10.0.0.1: Ein Paketaustausch zwischen DNS1 (10.0.0.2) und DC1 (10.0.0.1).

    Folgende Dinge sind zu beachten:

    • In Rahmendetails unter Dns\Flags\ARecord gibt DNS1 eine Abfrage für "sec.contoso.com" vom Typ DNSKEY aus, wenn auf DNS1 ein Vertrauensanker vorhanden ist.

Wenn Sie eine Netzwerkkonversation an jedem in dieser Anleitung vorgeschlagenen Punkt gestartet, angehalten und gespeichert haben, verfügen Sie über die folgenden Aufzeichnungen:

Aufzeichnungsdateiname

Signierte Zone

Überprüfung erforderlich

AD-Bit

DNSKEY-Anforderung

Capture1

Nein

Nein

0

Nein

Capture2

Ja (ohne TA)

Nein

0

Nein

Capture3

Ja (TA gültig)

Ja

1

Ja

Capture4

Ja (TA ungültig)

Ja

0

Ja

Capture5

Ja (ohne TA)

Ja

0

Nein

Anzeigen:
© 2016 Microsoft