Deaktivieren der Remoteverwaltung für den DNS-Serverdienst unter Windows Server 2003 und Windows 2000 Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 936263 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
936263 How to disable remote administration of the DNS Server service in Windows Server 2003 and in Windows 2000 Server
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Der vorliegende Artikel erläutert, wie Sie die Remoteverwaltung für einen DNS-Server mit einem der folgenden Betriebssysteme deaktivieren können.
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Zur Verstärkung der Sicherheit von Computern in einer Organisation, die den DNS-Serverdienst ausführen, können Sie die im vorliegenden Artikel genannte Methode verwenden.

Nähere Informationen zu einem Problem, das den DNS-Serverdienst unter Windows Server 2003 und Windows 2000 Server betrifft, finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS07-029.mspx

Weitere Informationen

Überblick

Standardmäßig ist beim DNS-Serverdienst eine Remoteverwaltung über mehrere verschiedene Schnittstellen möglich. Beim Starten des DNS-Serverdienstes wird dieser an einen dynamischen Port im flüchtigen Bereich gebunden. Der betreffende Port wird vom DNS MMC (Microsoft Management Console)-Snap-In und vom DNS WMI (Windows Management Instrumentation)-Anbieter verwendet. Mithilfe des folgenden Registrierungseintrags können Sie steuern, ob der DNS-Serverdienst eine Remoteverwaltung zulässt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Name: RpcProtocol
Typ: REG_DWORD
Wert: 0x4
Die folgenden Werte stehen für den Registrierungseintrag "RpcProtocol" zur Verfügung:
  • 0x1
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_TCPIP
  • 0x2
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_LPC
Hinweis: Durch den Wert "0x4" wird die DNS RPC-Schnittstelle auf "Local Procedure Calls" beschränkt. Damit ist nur eine lokale Verwaltung möglich.

Auswirkungen bei Deaktivierung der Remoteverwaltung

Wenn Sie den Registrierungseintrag "RpcProtocol" auf "0x4" setzen, wird die Remoteverwaltung für den DNS-Serverdienst deaktiviert. Somit können Sie den DNS-Server nicht per RPC oder WMI verwalten. In diesem Fall funktionieren von einem Remote-Standort aus die DNS-Server-Verwaltungstools nicht mehr. Sie können den DNS-Server jedoch weiterhin mithilfe der lokalen Verwaltungstools verwalten und über eine Terminaldienste-Verbindung eine Remoteverwaltung des DNS-Servers durchführen.

Die Einstellung "0x4" bei "RpcProtocol" hat keine Auswirkung auf DNS-Abfragen, dynamische DNS-Updates, Übertragungen von DNS-Zonen etc.

Hinweis: Die lokale Administration und Konfiguration des DNS-Serverdienstes funktioniert unter Umständen nicht, wenn die folgenden Bedingungen vorliegen:
  • Der zu verwaltende Server hat einen Hostnamen mit 15 Zeichen.
  • Sie wählen den Server über dessen Hostnamen aus.
Zur Behebung des Problems geben Sie den vollqualifizierten Domänennamen des Computers an, wenn Sie einen Computer mithilfe der DNS-Server-Administrationstools verwalten.

Deaktivieren der Remoteverwaltung für den DNS-Serverdienst

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um die Funktion Remoteverwaltung über RPC für einen Computer zu deaktivieren, auf dem der DNS-Serverdienst ausgeführt wird:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie in das Feld Neuer Wert #1 die Bezeichnung RpcProtocol ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf RpcProtocol, und klicken Sie anschließend auf Ändern.
  6. Geben Sie im Feld Wert den Wert 4 ein, und klicken Sie auf OK.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie anschließend den DNS-Serverdienst neu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
      net stop dns && net start dns

Bereitstellung des Registrierungswerts "RpcProtocol" auf mehreren Computern

Zur Bereitstellung des Registrierungswerts "RpcProtocol" können Sie mit einem Skript arbeiten. Damit können Sie die Remoteverwaltung für den DNS-Serverdienst leichter auf mehreren Computern deaktivieren. Gehen Sie hierzu folgendermaßen vor:
  1. Melden Sie sich bei der Domäne mit einem Konto an, das über die erforderlichen Rechte zum Ändern von DNS-Servern verfügt. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Erstellen Sie eine Liste sämtlicher DNS-Server. Geben Sie hierzu den folgenden Befehl in eine Eingabeaufforderung ein:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Falls erforderlich, passen Sie die hierbei erstellte Datei "dns_servers.txt" so an, dass darin alle DNS-Server angegeben sind. Mit dem o. g. Befehl werden beispielsweise nur Domänencontroller erfasst, die als DNS-Server konfiguriert sind. DNS-Server, die als Mitgliedsserver konfiguriert sind, müssen daher manuell hinzugefügt werden.

    Hinweis: Im DNS-Snap-In können Sie über die Registerkarte Namenserver im Dialogfeld Eigenschaften von DNS-Zone für die einzelnen Zonen die Namen der DNS-Server ermitteln, die noch zur Liste hinzugefügt werden müssen.
  3. Wechseln Sie, falls nötig, mithilfe des Befehls cd in einer Eingabeaufforderung zu dem Verzeichnis, in dem Sie die Datei "dns_servers.txt" abgespeichert haben.
  4. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Mit diesem Befehl wird der Registrierungseintrag "RpcProtocol" mit dem zugehörigen Wert "0x4" hinzugefügt.
  5. Beenden Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Starten Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Überprüfung, ob der Registrierungseintrag "RpcProtocol" auf mehreren Computern gesetzt wurde

Gehen Sie folgendermaßen vor, um die Server abzufragen und zu ermitteln, ob der Registrierungseintrag "RpcProtocol" gesetzt wurde:
  1. Melden Sie sich einem DNS-Server an, bei dem der Registrierungseintrag "RpcProtocol" gesetzt wurde.
  2. Kopieren Sie das folgende Skript in eine Textdatei, und geben Sie dieser den Dateinamen "Dnsquery.cmd":
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt 
    echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt 
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt 
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt 
    set _MachineName= 
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Hinweis: Mit diesem Skript wird der Registrierungsunterschlüssel "Parameters" auf den Remote-Computern mit dem auf dem Computer verglichen, von dem aus Sie das Skript ausführen.

    Wichtig: Es dürfen keine abschließenden Leerzeichen in dem Skript vorkommen.
  3. Doppelklicken Sie auf die Datei "Dnsquery.cmd", um sie auszuführen.

Entfernen des Registrierungswerts "RpcProtocol" von mehreren Computern

Zum Rückgängigmachen der Operation, mit der der Registrierungswert "RpcProtocol" gesetzt wurde, gehen Sie folgendermaßen vor:
  1. Melden Sie sich bei der Domäne mit einem Konto an, das über die erforderlichen Rechte zum Ändern von DNS-Servern verfügt. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie anschließend mithilfe des Befehls cd zu dem Verzeichnis, in dem Sie die Datei "dns_servers.txt" abgespeichert haben.
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Beenden Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Starten Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Eigenschaften

Artikel-ID: 936263 - Geändert am: Freitag, 11. Mai 2007 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com