Deaktivieren der Remoteverwaltung für den DNS-Serverdienst in Windows Server 2003 und Windows 2000 Server

Einführung

Dieser Artikel beschreibt die Remoteverwaltung für einen DNS-Server deaktivieren, eines der folgenden Betriebssysteme ausgeführt wird:
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Die können der Methode in diesem Artikel zur Verbesserung der Sicherheit der Computer mit dem Dienst DNS-Server in einer Organisation genannt wird.

Weitere Informationen über Probleme, die den DNS-Serverdienst in Windows Server 2003 und Windows 2000 Server betrifft, finden Sie auf der folgenden Microsoft-Website:

Weitere Informationen

Übersicht

Standardmäßig ermöglicht der DNS-Serverdienst für die Remoteverwaltung über mehrere verschiedene Schnittstellen. Wenn der DNS-Serverdienst gestartet wird, wird an einen dynamischen Port im flüchtigen Bereich gebunden. Dieser Port wird vom DNS Microsoft Management Console (MMC)-Snap-in und der Anbieter DNS-Windows-Verwaltungsinstrumentation (WMI) verwendet. Den folgenden Registrierungseintrag steuern können, ob der DNS-Serverdienst für die Remoteverwaltung ermöglicht:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Wertname: RpcProtocol
Typ: REG_DWORD
Wert: 0 x 4
Die folgenden Werte sind für den Registrierungseintrag RpcProtocol zur Verfügung:
  • 0x1
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_TCPIP
  • 0x2
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_LPC
Hinweis Der Wert 0 x 4 beschränkt die DNS RPC-Schnittstelle auf local Procedure Calls. Nur lokale Verwaltung möglich.

Remote-Verwaltung deaktivieren

Beim Festlegen des Registrierungseintrags "RpcProtocol" auf 0 x 4 wird die Remoteverwaltung für den DNS-Serverdienst deaktiviert. Daher können RPC oder Windows-Verwaltungsinstrumentation (WMI) Sie den DNS-Server verwalten. In diesem Szenario funktioniert DNS Server-Verwaltungstools nicht mehr von einem Remotestandort aus. Jedoch weiterhin können lokalen Verwaltungstools verwalten und weiterhin möglich, Remoteverwaltung des DNS-Servers über eine Terminaldienste-Verbindung.

Festlegen der "RpcProtocol" auf 0 x 4 wirkt sich nicht auf DNS-Abfragen, dynamische DNS-Updates, DNS-Zonentransfer usw. aus.

Hinweis DNS-Server Dienstes lokale Verwaltung und Konfiguration funktionieren möglicherweise nicht, wenn Folgendes zutrifft:
  • Der zu verwaltende Server hat einen Hostnamen, der 15 Zeichen hat.
  • Sie wählen den Server über dessen Hostnamen.
Um dieses Problem zu beheben, Angeben der vollqualifizierte Domänenname (FQDN) des Computers beim Verwalten mit DNS-Server-Verwaltungstools

Deaktivieren der Remoteverwaltung für den DNS-Serverdienst

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows


Gehen Sie folgendermaßen vor, um die Remoteverwaltung über RPC-Funktionen des Computers zu deaktivieren, den DNS-Serverdienst ausgeführt wird:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
  4. Im Feld Neuer Wert #1 RpcProtocolgeben und dann die EINGABETASTE.
  5. Klicken Sie "RpcProtocol"und dann auf Ändern.
  6. Geben Sie im Feld Wert 4ein und klicken Sie dann auf OK.
  7. Beenden Sie Registrierungseditor zu, und starten Sie den DNS-Serverdienst. Gehen Sie folgendermaßen vor, um den DNS-Serverdienst zu starten:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie den folgenden Befehl in der Eingabeaufforderung ein und drücken Sie die EINGABETASTE:
      Net Stop Dns & & Net start Dns

Den Registrierungswert "RpcProtocol" auf mehreren Computern bereitstellen

Ein Skript können Sie die Bereitstellung des Registrierungswerts "RpcProtocol". Dadurch können Sie problemlos Remoteverwaltung für den DNS-Serverdienst auf vielen Computern deaktivieren. Gehen Sie hierzu folgendermaßen vor:
  1. Melden Sie sich mit einem Konto mit Berechtigungen zum Ändern der DNS-Server der Domäne an. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Erstellen einer Liste aller DNS-Server. Hierzu führen Sie folgenden Befehl ein:
    Dsquery *-Filter "(ServicePrincipalName = DNS *)" dNSHostName -l - Attr > dns_servers.txt
    Wenn es erforderlich ist, manuell Bearbeiten der dns_servers.txt-Datei, die erstellt wird, um die DNS-Server anzugeben. Dieser Befehl zeichnet beispielsweise nur Domänencontroller, die als DNS-Server konfiguriert sind. Daher müssen Sie manuell DNS-Server hinzufügen, die als Mitgliedsserver konfiguriert sind.

    Hinweis Sie können die Registerkarte im Dialogfeld Eigenschaften von DNS-Zone für jede Zone im DNS-Snap-in die Namen der DNS-Server zu ermitteln, die dieser Liste hinzugefügt.
  3. Falls erforderlich, Befehl cd in der Befehlszeile in das Verzeichnis ändern, in der Datei dns_servers.txt gespeichert.
  4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    f %i in (dns_servers.txt) Reg fügen Sie \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters v RpcProtocol t REG_DWORD/4 d f hinzu
    Dieser Befehl fügt den Registrierungseintrag "RpcProtocol" mit dem Wert 0 x 4.
  5. Beenden Sie den DNS-Serverdienst auf allen Computern. Dazu geben Sie den folgenden Befehl ein und drücken Sie:
    Beenden Sie DNS für f %i in (dns_servers.txt) sc \\%i
  6. Starten Sie den DNS-Serverdienst auf allen Computern. Dazu geben Sie den folgenden Befehl ein und drücken Sie:
    f %i in (dns_servers.txt) \\%i-sc start DNS

Zum Überprüfen, ob der Registrierungseintrag "RpcProtocol" auf mehreren Computern

Die Server abzufragen und zu überprüfen, ob der Registrierungseintrag "RpcProtocol" Gehen Sie folgendermaßen vor:
  1. Melden Sie sich bei einem DNS-Server den Registrierungseintrag "RpcProtocol" festgelegt.
  2. Kopieren Sie das folgende Skript in eine Textdatei, und nennen Sie diese Datei "Dnsquery.cmd":
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt 
    Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt
    Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt
    echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt
    set _MachineName=
    for /f %%i in (dns_servers.txt) do ( call :TEST %%i )
    :TEST
    Set _MachineName=%1
    echo %_MachineName%
    reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocol
    if %_MachineName% == "" echo 0 > nul
    if %errorlevel% == 0 echo 0 > nul
    if %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txt
    if %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt
    :End
    rem exit
    Hinweis Dieses Skript vergleicht den Registrierungsunterschlüssel "Parameters" auf den Remotecomputern zu auf dem Computer, auf dem das Skript ausgeführt.

    Wichtig In diesem Skript muss kein Leerzeichen sein.
  3. Doppelklicken Sie auf die Datei "Dnsquery.cmd" ausführen.

Den Registrierungswert "RpcProtocol" von vielen Computern entfernen

Um den Vorgang rückgängig machen, der den Registrierungswert "RpcProtocol" festlegt, gehen Sie folgendermaßen vor:
  1. Melden Sie sich mit einem Konto mit Berechtigungen zum Ändern der DNS-Server der Domäne an. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Starten Sie eine Befehlszeile, und verwenden Sie den Befehl cd in das Verzeichnis ändern in der Datei Dns_servers.txt gespeichert.
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    Führen Sie Reg Delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters v RpcProtocol f für f %i in (dns_servers.txt)
  4. Beenden Sie den DNS-Serverdienst auf allen Computern. Dazu geben Sie den folgenden Befehl ein und drücken Sie:
    Beenden Sie DNS für f %i in (dns_servers.txt) sc \\%i
  5. Starten Sie den DNS-Serverdienst auf allen Computern. Dazu geben Sie den folgenden Befehl ein und drücken Sie:
    f %i in (dns_servers.txt) \\%i-sc start DNS
Eigenschaften

Artikelnummer: 936263 – Letzte Überarbeitung: 14.01.2017 – Revision: 2

Feedback