Tags: Active Directory, DNS, Sicherheit
Der DNS-Server ist mit einer der wichtigsten Bestandteile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das versehentliche Löschen einer DNS-Zone hat daher unangenehme Konsequenzen. Ein solches Malheur lässt sich durch einen entsprechenden Schutz vermeiden.
Wenn man versehentlich nur einen einzelnen DNS-Eintrag entfernt und diesen erneut anlegen muss, dann ist das mit wenig Arbeit schnell getan. Aufwändiger wird es jedoch, wenn ganze DNS-Zonen mitsamt der in ihnen enthaltenen Einträgen verschwinden, weil der AD-Papierkorb für jedes gelöschte Objekt zuerst eine Elternstruktur braucht, in die es wiederhergestellt werden kann. Somit ist es umso wichtiger, präventiv vorzugehen, und auch die Zonen im DNS vor versehentlichen Löschen zu schützen.
Schutz in AD-Computer und -Benutzer aktivieren
Im DNS-Manager gibt es keine Möglichkeit, DNS-Zonen vor dem unerwünschten Entfernen zu schützen. Unter den GUI-Tools bietet sich daher Active Directory-Benutzer und -Computer für diese Aufgabe an. Dort existiert bereits in den Eigenschaften anderer Objekte (OUs, Gruppen, etc.) eine entsprechende Option.
Dafür muss man jedoch zuvor die Erweiterten Features im Menü Ansicht aktivieren. Dann lässt sich hier auch der Schutz für die jeweiligen Objekte einrichten. In den Eigenschaften eines Objekts, beispielsweise bei einer OU, unter dem Reiter Objekt findet sich dann die gewünschte Option.
DNS-Zonen mit PowerShell anzeigen und ändern
Bei den integrierten AD DNS-Zonen gibt es zwei Typen. Zum einen die Domain DNS-Zonen und zum anderen die Forest DNS-Zonen. Wie die Namen schon erahnen lassen, sind diese Zonen Domain- oder Forest-weit gültig.
Agiert das Unternehmen im Forest über mehrere Domänen, dann ist es sinnvoll, bestimmte Zonen unterhalb des Forests zu pflegen, um Überschneidungen beispielsweise in den Rückwärtszonen zu vermeiden. Das aber nur nebenbei als Hinweis.
Ob eine DNS-Zone nun geschützt ist, lässt sich in PowerShell mit dem Cmdlet Get-ADObject abfragen.
Der folgende Befehl zeigt, welche Forest DNS-Zonen nicht vor dem versehentlichen Löschen geschützt sind. Hierbei muss die SearchBase mit dem gleichnamigen Parameter auf die betroffene Domain angepasst werden.
Nach dem Ausführen des Befehls erscheint dann die Grid-View mit einer Liste der ungeschützten DNS-Zonen.
Sollen diese Zonen nun geschützt werden, dann geht das mit dem folgenden Befehl. Hierbei holt man sich die ungeschützten Zonen erneut mit Get-ADObject und schützt diese per Set-ADObject:
Das Gleiche können wir nun auch für die DNS Domain Zonen anwenden. Hierbei wird die SearchBase von ForestDNSZones auf DomainDNSZones geändert. Mit dem ersten Befehl ermitteln wir wieder die ungeschützten Domain DNS Zonen:
Anschließend schützt man die Domain Zonen mit folgenden Befehl.
Eine Nebenwirkung dieser Maßnahme gegen das unbeabsichtigte Löschen kann darin bestehen, dass sie Einstellungen für DNS-Zonen gegen Änderungen sperrt.
Das gilt zum Beispiel, wenn man den Bereich für die Replikation anpassen möchte. In diesem Fall muss man den Schutz temporär entfernen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Tim Buntrock hat langjährige Erfahrung als Active Directory Enterprise Admin in einem Forest mit über hunderttausend Benutzern weltweit.
Daneben ist er als IT-Autor und Blogger in verschiedenen Communities aktiv und betreibt unter anderem seinen eigenen Blog directoryadmin. Zudem besitzt er Zertifizierungen im Bereich Microsoft, VMWare und Security, die sein Fachwissen bekräftigen.
Ähnliche Beiträge
- DNS-Zonentransfer und Weiterleitungen absichern
- Dynamische DNS-Updates unter Windows Server 2008 (R2)
- Split-brain DNS in Active Directory einrichten
- Lösung für: Es kann keine Verbindung mit einer Domäne oder zum Domain Controller hergestellt werden
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
Weitere Links