Server 2016

Vertrauensanker für DNSSEC in Server 2016 trotz Bug nutzen

Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Windows Server 2016 kann unter anderem eine Rolle als DNS-Server übernehmen. Wer für Anfragen per Domain Name System die Sicherheitstechnik DNSSEC verwenden will, scheitert allerdings schon beim Laden des Vertrauensankers. Mit einer leichten Befehlsvariation gelingt es trotzdem.

DNS-Server einrichten

Damit Windows Server als DNS-Server fungiert, müssen Sie - sofern noch nicht geschehen - zunächst die entsprechende Rolle über das Dashboard des Server-Managers hinzufügen. Ein Assistent hilft Ihnen bei den einzelnen Schritten, sodass Sie in den Dialogen nur die vorgeschlagenen Features zu bestätigen brauchen. Nach Abschluss der Installation taucht der DNS-Server in der Übersicht der Rollen und Servergruppen auf.

DNSSEC-Vertrauensanker konfigurieren - mit Hindernisssen

Anschließend lassen sich die DNSSEC-Vertrauensanker über die als Admin gestartete Eingabeaufforderung abrufen und konfigurieren. Wenn Sie mit Windows Server 2012 vertraut sind, liegt es nahe, den dort funktionierenden Befehl dnscmd.exe /RetrieveRootTrustAnchors auch für Windows Server 2016 anzuwenden. Aber nach Eingabe von J zur Bestätigung der Nachfrage, ob Sie wirklich sicher sind, die Vertrauensanker herunterzuladen, liefert Windows lediglich die Fehlermeldung Befehl abgebrochen. Kurioserweise wird in der nächsten Zeile die Meldung angezeigt Der Befehl wurde erfolgreich ausgeführt - was natürlich so nicht stimmt.

Korrektes Befehlsformat DNSSEC-Vertrauensanker nutzen

Offenbar hat Microsoft bei Windows Server 2016 etwas am Befehlsformat geändert. Damit das Ganze klappt, geben Sie am Prompt der Eingabeaufforderung Folgendes ein:

dnscmd.exe localhost /RetrieveRootTrustAnchors /f

Entscheidend ist hier der Parameter /f, der die Sicherheitsabfrage für den Download des Vertrauensankers von data.iana.org deaktiviert. Möglicherweise behebt Microsoft den Bug bei einem der nächsten Server-Updates.

Aktive Aktualisierung für den Vertrauensanker durchführen

Damit die abgerufenen Anker wirksam werden können, müssen Sie abschließend noch eine aktive Aktualisierung durchführen, ebenfalls auf der Kommandozeile:

dnscmd.exe /ActiveRefreshAllTrustPoints

Nun sollte einem Einsatz von DNSSEC nichts mehr im Wege stehen. (hal)