Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Deaktivieren der Remoteverwaltung für den DNS-Serverdienst unter Windows Server 2003 und Windows 2000 Server

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
936263 How to disable remote administration of the DNS Server service in Windows Server 2003 and in Windows 2000 Server
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Einführung
Der vorliegende Artikel erläutert, wie Sie die Remoteverwaltung für einen DNS-Server mit einem der folgenden Betriebssysteme deaktivieren können.
  • Microsoft Windows Server 2003
  • Microsoft Windows 2000 Server
Zur Verstärkung der Sicherheit von Computern in einer Organisation, die den DNS-Serverdienst ausführen, können Sie die im vorliegenden Artikel genannte Methode verwenden.

Nähere Informationen zu einem Problem, das den DNS-Serverdienst unter Windows Server 2003 und Windows 2000 Server betrifft, finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen

Überblick

Standardmäßig ist beim DNS-Serverdienst eine Remoteverwaltung über mehrere verschiedene Schnittstellen möglich. Beim Starten des DNS-Serverdienstes wird dieser an einen dynamischen Port im flüchtigen Bereich gebunden. Der betreffende Port wird vom DNS MMC (Microsoft Management Console)-Snap-In und vom DNS WMI (Windows Management Instrumentation)-Anbieter verwendet. Mithilfe des folgenden Registrierungseintrags können Sie steuern, ob der DNS-Serverdienst eine Remoteverwaltung zulässt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Name: RpcProtocol
Typ: REG_DWORD
Wert: 0x4
Die folgenden Werte stehen für den Registrierungseintrag "RpcProtocol" zur Verfügung:
  • 0x1
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_TCPIP
  • 0x2
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_NAMED_PIPE
  • 0x4
    Dieser Wert entspricht der Einstellung DNS_RPC_USE_LPC
Hinweis: Durch den Wert "0x4" wird die DNS RPC-Schnittstelle auf "Local Procedure Calls" beschränkt. Damit ist nur eine lokale Verwaltung möglich.

Auswirkungen bei Deaktivierung der Remoteverwaltung

Wenn Sie den Registrierungseintrag "RpcProtocol" auf "0x4" setzen, wird die Remoteverwaltung für den DNS-Serverdienst deaktiviert. Somit können Sie den DNS-Server nicht per RPC oder WMI verwalten. In diesem Fall funktionieren von einem Remote-Standort aus die DNS-Server-Verwaltungstools nicht mehr. Sie können den DNS-Server jedoch weiterhin mithilfe der lokalen Verwaltungstools verwalten und über eine Terminaldienste-Verbindung eine Remoteverwaltung des DNS-Servers durchführen.

Die Einstellung "0x4" bei "RpcProtocol" hat keine Auswirkung auf DNS-Abfragen, dynamische DNS-Updates, Übertragungen von DNS-Zonen etc.

Hinweis: Die lokale Administration und Konfiguration des DNS-Serverdienstes funktioniert unter Umständen nicht, wenn die folgenden Bedingungen vorliegen:
  • Der zu verwaltende Server hat einen Hostnamen mit 15 Zeichen.
  • Sie wählen den Server über dessen Hostnamen aus.
Zur Behebung des Problems geben Sie den vollqualifizierten Domänennamen des Computers an, wenn Sie einen Computer mithilfe der DNS-Server-Administrationstools verwalten.

Deaktivieren der Remoteverwaltung für den DNS-Serverdienst

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um die Funktion Remoteverwaltung über RPC für einen Computer zu deaktivieren, auf dem der DNS-Serverdienst ausgeführt wird:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie in das Feld Neuer Wert #1 die Bezeichnung RpcProtocol ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf RpcProtocol, und klicken Sie anschließend auf Ändern.
  6. Geben Sie im Feld Wert den Wert 4 ein, und klicken Sie auf OK.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie anschließend den DNS-Serverdienst neu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
      net stop dns && net start dns

Bereitstellung des Registrierungswerts "RpcProtocol" auf mehreren Computern

Zur Bereitstellung des Registrierungswerts "RpcProtocol" können Sie mit einem Skript arbeiten. Damit können Sie die Remoteverwaltung für den DNS-Serverdienst leichter auf mehreren Computern deaktivieren. Gehen Sie hierzu folgendermaßen vor:
  1. Melden Sie sich bei der Domäne mit einem Konto an, das über die erforderlichen Rechte zum Ändern von DNS-Servern verfügt. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Erstellen Sie eine Liste sämtlicher DNS-Server. Geben Sie hierzu den folgenden Befehl in eine Eingabeaufforderung ein:
    dsquery * -filter "(servicePrincipalName=DNS*)" -attr dNSHostName -l > dns_servers.txt
    Falls erforderlich, passen Sie die hierbei erstellte Datei "dns_servers.txt" so an, dass darin alle DNS-Server angegeben sind. Mit dem o. g. Befehl werden beispielsweise nur Domänencontroller erfasst, die als DNS-Server konfiguriert sind. DNS-Server, die als Mitgliedsserver konfiguriert sind, müssen daher manuell hinzugefügt werden.

    Hinweis: Im DNS-Snap-In können Sie über die Registerkarte Namenserver im Dialogfeld Eigenschaften von DNS-Zone für die einzelnen Zonen die Namen der DNS-Server ermitteln, die noch zur Liste hinzugefügt werden müssen.
  3. Wechseln Sie, falls nötig, mithilfe des Befehls cd in einer Eingabeaufforderung zu dem Verzeichnis, in dem Sie die Datei "dns_servers.txt" abgespeichert haben.
  4. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do reg add \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /t REG_DWORD /d 4 /f
    Mit diesem Befehl wird der Registrierungseintrag "RpcProtocol" mit dem zugehörigen Wert "0x4" hinzugefügt.
  5. Beenden Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  6. Starten Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS

Überprüfung, ob der Registrierungseintrag "RpcProtocol" auf mehreren Computern gesetzt wurde

Gehen Sie folgendermaßen vor, um die Server abzufragen und zu ermitteln, ob der Registrierungseintrag "RpcProtocol" gesetzt wurde:
  1. Melden Sie sich einem DNS-Server an, bei dem der Registrierungseintrag "RpcProtocol" gesetzt wurde.
  2. Kopieren Sie das folgende Skript in eine Textdatei, und geben Sie dieser den Dateinamen "Dnsquery.cmd":
    Echo Comparing registry value for: > dns_errors.txt echo HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters >> dns_errors.txt echo Data Value for "RpcProtocol" >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt Echo Errorlevel 1 - Failed to compare registry values >> dns_errors.txt Echo Errorlevel 2 - Reg values compared are different >> dns_errors.txt echo. >> dns_errors.txt echo. >> dns_errors.txt echo ===================================================== >> dns_errors.txt set _MachineName= for /f %%i in (dns_servers.txt) do ( call :TEST %%i ):TESTSet _MachineName=%1echo %_MachineName%reg.exe compare "HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" "\\%_MachineName%\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v RpcProtocolif %_MachineName% == "" echo 0 > nulif %errorlevel% == 0 echo 0 > nulif %errorlevel% == 1 Echo Computername: %_MachineName% Errorlevel returned: 1 - Failed >> dns_errors.txtif %errorlevel% == 2 Echo Computername: %_MachineName% Errorlevel returned: 2 - Different >> dns_errors.txt:Endrem exit
    Hinweis: Mit diesem Skript wird der Registrierungsunterschlüssel "Parameters" auf den Remote-Computern mit dem auf dem Computer verglichen, von dem aus Sie das Skript ausführen.

    Wichtig: Es dürfen keine abschließenden Leerzeichen in dem Skript vorkommen.
  3. Doppelklicken Sie auf die Datei "Dnsquery.cmd", um sie auszuführen.

Entfernen des Registrierungswerts "RpcProtocol" von mehreren Computern

Zum Rückgängigmachen der Operation, mit der der Registrierungswert "RpcProtocol" gesetzt wurde, gehen Sie folgendermaßen vor:
  1. Melden Sie sich bei der Domäne mit einem Konto an, das über die erforderlichen Rechte zum Ändern von DNS-Servern verfügt. Melden Sie sich beispielsweise als Domänenadministrator an.
  2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie anschließend mithilfe des Befehls cd zu dem Verzeichnis, in dem Sie die Datei "dns_servers.txt" abgespeichert haben.
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do reg delete \\%i\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v RpcProtocol /f
  4. Beenden Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i stop DNS
  5. Starten Sie den DNS-Serverdienst auf allen Computern. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:
    for /f %i in (dns_servers.txt) do sc \\%i start DNS
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 936263 – Letzte Überarbeitung: 05/11/2007 14:05:00 – Revision: 2.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kberrmsg kbhowto kbinfo kbtshoot kbregistry KB936263
Feedback
nt('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >&t=">/body>