Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
DANE - Verständnisfrage
#1
Question 
Hallo.

Laut Infos in der NSP-Schulung kommt DANE aufgrund der Abhängigkeit zu DNSSEC (ich hoffe, ich habe das richtig wiedergegeben) bisher eigentlich im Internet fast nie zum Einsatz.

In der NSP-Doku steht unter "DNS-Server", dass der Windows-DNS dies nicht unterstützt. Man müsste also dort einen DNSSEC-fähigen DNS-Server eintragen. Google wird dann als Besipiel genannt - das ist aber hier nicht unbedingt die Wahl, die ich hier treffen möchte.

Meine Frage geht nun eher in die Richtung, wie es sich unter "Standardeinstellung für Partner" mit der aktivierten Einstellung "TLS-Zertifikat mit Hilfe von DANE überprüfen (empfohlen)" verhält.

Bei uns ist die Option aktiviert. Jedoch wird dies letztlich durch den Windows-DNS aber gar nicht nutzbar sein.

Sollte ich nun die genannte Einstellung deaktivieren? Gibt es irgendwelche Nebenwirkungen, wenn diese einfach aktiviert bleibt?

Danke vorab für Antworten.
Gruß,
Martin
Zitieren
#2
Guten Abend Martin,
Zitat:In der NSP-Doku steht unter "DNS-Server", dass der Windows-DNS dies nicht unterstützt. Man müsste also dort einen DNSSEC-fähigen DNS-Server eintragen. Google wird dann als Besipiel genannt - das ist aber hier nicht unbedingt die Wahl, die ich hier treffen möchte.

Die Aussage ist so leider nicht ganz richtig. Ab Windows Server 2012R2 kann auf jeden Fall DNSSEC für den DNS-Server wenigstens als Resolver aktiviert werden. Wichtig ist unter anderem, dass die Kette der nachfolgenden DNS-Server auch DNSSEC unterstützt. Dann steht auch der Validierung innerhalb von NSP nichts im Wege. Wir nutzen es auch so ähnlich bei uns ohne Probleme.

Allerdings nimmt die Komplexität im Netzwerk bzw. Bereich DNS zu. D.h. bei einer möglichen Störung musst du im Hinterkopf haben, dass evtl. DNSSEC daran schuld ist. Wir hatten letztes Jahr solch ein Fall mit der Adobe Cloud. Dort waren die DNSSEC Einträge/Schlüssel nicht mehr korrekt. Das hat dazu geführt, dass unsere Marketing Abteilung die Anmeldeseite der Adobe Cloud nicht mehr zu Gesicht bekommen hat. Da musst du erst einmal analysieren und Infos sammeln bevor du den Adobe Support anschreibst.


Grüße,
Daniel
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste