DNSSEC und verbesserte DNS-Verwaltung Sicheres DNS-System in Windows Server 8
Mit Windows Server 8 erweitert Microsoft die Möglichkeit der DNS-Verwaltung und verbessert die Sicherheit der DNS-Einträge. Das ist vor allem dann von Belang, wenn Server sicher in Cloud-Infrastrukturen eingebunden werden sollen. Dieser Beitrag befasst sich mit der Verwaltung der Domain Name System Security Extensions.
Anbieter zum Thema

Bereits mit Windows Server 2008 R2 hat Microsoft DNSSEC eingeführt um Zonen und Einträge abzusichern. Unter Windows Server 8 verbessert Microsoft die Möglichkeiten von DNS noch weiter. Die Installation von DNS erfolgt über den Server-Manager wie alle anderen Rollen. Die Installation kann auch hier über das Netzwerk auf andere Server erfolgen.
Windows Server 2008 R2 kann bereits Zonen digital signieren und dadurch vor unerlaubten Änderungen schützen. Die Erstellung des Schlüssels erfolgt manuell über das Befehlszeilentool „dnscmd.exe“. Dynamische DNS-Updates sind bei dieser Konfiguration nicht erlaubt.
Die Verwaltung von DNS-Servern ist durch die Gruppierung im Server-Manager von Windows Server 8 wesentlich effizienter. Mit dem neuen Betriebssystem lassen sich Zonen auch online digital signieren. Es ist nicht notwendig, diese vorher offline zu setzen.
DNSSEC lässt sich in unter Windows Server 8 komplett in das Active Directory integrieren. Das umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Entgegen Windows Server 2008 R2 werden dabei Standards wie NSEC3 und RSA/SHA-2 unterstützt. Die DNS-Verwaltungsoberfläche hat Microsoft ebenfalls verbessert – und auch die Windows-Powershell ermöglicht jetzt die Verwaltung von DNS über Skripte.
Neu ist die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC). Findet ein RODC mit Windows Server 8 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Das hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.
(ID:33219460)