Active-Directory-Tipp: So überwachen Sie Änderungen an DNS-Einträgen

Domain-Name-System- oder kurz DNS-Server sind für den Betrieb von Netzwerken von entscheidender Bedeutung. Sie ordnen Namensanfragen mit Hilfe von DNS-Einträgen den passenden IP-Adressen zu und ermöglichen es den Endanwendern so, Webseiten bequem durch Eingabe des Domain-Namens aufzurufen – ohne dass sie sich deren komplette IP-Adresse merken müssen. 

Werden DNS-Einträge gelöscht oder geändert, kann das dazu führen, dass ein Dienst nicht mehr verfügbar ist. Daher ist es für IT-Administratoren wichtig, Änderung von DNS-Einträgen zu überwachen, um – im Falle eines Fehlers – die forensische Analyse zu beschleunigen.

In diesem Tipp zeigen wir Ihnen, wie Sie Änderungen an den DNS-Einträgen überwachen können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:

Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

Natives Auditing mit Windows-Bordmitteln

Um Änderungen an den DNS-Einträgen mit den in Windows integrierten Bordmitteln für das Active Directory Auditing zu überwachen, gehen Sie bitte wie folgt vor:

Schritt 1: Aktivieren Sie die Richtlinie „Verzeichnisdienstzugriff überwachen“

  • Starten Sie den Server-Manager in Ihrer Windows Server-Instanz.
  • Wählen Sie unter „Verwalten“ die Option „Gruppenrichtlinienverwaltung“ und starten Sie die Gruppenrichtlinien-Verwaltungskonsole.
  • Navigieren Sie zu Gesamtstruktur > Domänen > Ihre Domäne > Domain Controllers.
  • Erstellen Sie ein neues Gruppenrichtlinienobjekt (Group Policiy Object, GPO) und verknüpfen Sie es mit der Domäne, die das Computerobjekt enthält, oder bearbeiten Sie ein vorhandenes GPO, das mit der Domäne verknüpft ist, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  • Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien -> Überwachungsrichtlinie.
  • Schalten Sie unter Überwachungsrichtlinie das Auditing für die Richtlinie „Verzeichnisdienstzugriff überwachen“ ein. 
Gruppenrichtlinien-Verwaltungskonsole: Richtlinie „Verzeichnisdienstzugriff überwachen“ aktivieren.
Gruppenrichtlinien-Verwaltungskonsole: So aktivieren Sie die Richtlinie „Verzeichnisdienstzugriff überwachen“.

Schritt 2: Erlauben Sie das AD-Auditing durch ADSI-Editor

  • Gehen Sie in Ihrem Server-Manager zu „Tools“ und wählen Sie „ADSI-Editor“.
  • Klicken Sie mit der rechten Maustaste auf den „ADSI-Editor“ im linken Fensterbereich und wählen Sie die Option „Verbindung herstellen“. Daraufhin wird das Fenster „Verbindungseinstellungen“ angezeigt.
  • Wählen Sie die Option „Bekannten Namenskontext auswählen“ und wählen Sie den „Standardmäßiger Namenskontext“ aus der Dropdown-Liste aus.
  • Klicken Sie auf „OK“, um zum Hauptfenster des ADSI-Editors zurück zu kommen.
  • Erweitern Sie „Standardmäßiger Namenskontext“ und wählen Sie den zugehörigen DC-Subnode aus. Klicken Sie mit der rechten Maustaste auf diesen Subnode und dann auf „Eigenschaften“.
  • Gehen Sie im Fenster „Eigenschaften“ auf die Registerkarte „Sicherheit“ und wählen Sie „Erweitert“. Wählen Sie anschließend die Registerkarte „Überwachung“ und klicken Sie auf „Hinzufügen“.
  • Wenden Sie die folgenden Einstellungen an:
    • Prinzipal: Jeder
    • Typ: Erfolg
    • Gilt für: Dieses und alle untergeordneten Objekte
    • Berechtigungen: Aktivieren Sie die Kontrollkästchen bei „Alle Eigenschaften schreiben“, „Löschen“ und „Unterstruktur löschen“.
  • Klicken Sie auf „Anwenden“ und dann auf „OK“. Schließen Sie die Konsole. 
ADSI-Editor: Richtlinie „Verzeichnisdienstzugriff überwachen“ aktivieren.
ADSI-Editor: So aktivieren Sie die Richtlinie „Verzeichnisdienstzugriff überwachen“.

Schritt 3: Aktivieren Sie das Auditing über den DNS Manager

  • Gehen Sie in Ihrem Server-Manager zu „Tools“ und wählen Sie „DNS“.
  • Erweitern Sie Ihren Servernamen und wählen Sie „Forward-Lookupzonen“.
  • Klicken Sie mit der rechten Maustaste auf die Zone, die Sie überprüfen möchten, und klicken Sie auf „Eigenschaften“.
  • Gehen Sie im Eigenschaften-Fenster auf die Registerkarte „Sicherheit“ und wählen Sie „Erweitert“. Wählen Sie anschließend die Registerkarte „Überwachung“ und klicken Sie auf „Hinzufügen“.
  • Wenden Sie die folgenden Einstellungen an:
    • Prinzipal: Jeder
    • Typ: Erfolg
    • Gilt für: Dieses und alle untergeordneten Objekte
    • Berechtigungen: Aktivieren Sie die Kontrollkästchen bei „Alle Eigenschaften schreiben“, „Löschen“ und „Unterstruktur löschen“.
  • Klicken Sie auf „Anwenden“ und dann auf „OK“. Schließen Sie die Konsole.

Schritt 4: Lassen Sie sich Ereignisse (Events) in der Ereignisanzeige (Event Viewer) anzeigen

  • Öffnen Sie die „Ereignisanzeige“ und gehen Sie zu Windows-Protokolle >Sicherheit.
  • Klicken Sie im rechten Bereich unter „Aktionen“ auf „Aktuelles Protokoll filtern…“.
  • Suchen Sie nach der Ereignis-ID 4662, die Änderungen an DNS-Einträgen kennzeichnet.
  • Falls Sie sich die Eigenschaften eines Ereignisses anzeigen lassen möchten, führen Sie einen Doppelklick auf das Ereignis durch.
  • Wiederholen Sie diese Schritte für alle Zonen, um alle Änderungen an DNS-Einträgen zu überprüfen.
Ereignis-ID 4662: Detailansicht
Ereignis-ID 4662: In der Detailansicht des Windows Events können Sie sehen, welcher DNS-Eintrag geändert wurde.

Hinweis:
Die manuelle Überprüfung jedes Ereignisses ist zeitaufwändig, ineffizient und gerade für große Unternehmen praktisch unmöglich. Deutlich komfortabler geht es mit einer professionellen AD-Auditing- und -Reporting-Lösung wie ADAudit Plus, die Sie hier 30 Tage lang kostenlos und unverbindlich testen können.

Mit ADAudit Plus

ADAudit Plus enthält mehrere vorkonfigurierte Berichte zu DNS-Änderungen, die eine Überwachung der DNS-Einträge deutlich erleichtern. Die Berichte lassen sich bei Bedarf individuell anpassen und können als PDF-, XLS-, HTML- oder CSV-Datei exportiert werden.

Sobald Sie ADAudit Plus installiert haben, konfiguriert die Lösung automatisch die für das Active-Directory-Auditing erforderlichen Überwachungsrichtlinien – sofern Sie die automatische Konfiguration aktiviert haben.

So aktivieren Sie die automatische Konfiguration für das AD-Auditing:
Melden Sie sich bei ADAudit Plus an, gehen Sie zu Admin / Domain Settings / Audit Policy: Configure.

So identifizieren Sie DNS-Einträge, die gelöscht bzw. entfernt wurden:

  • Melden Sie sich bei ADAudit Plus an.
  • Wählen Sie oben rechts die gewünschte Domäne aus der Dropdown-Liste aus.
  • Gehen Sie auf die Registerkarte „Reports“.
  • Navigieren Sie zu „DNS Changes“.
  • Wählen Sie den Bericht „DNS Nodes Removed“.

In dem Bericht sehen Sie, wer DNS-Einträge gelöscht hat sowie detaillierte Informationen zu jedem gelöschten DNS-Eintrag.

Screenshot ADAudit Plus: Übersicht Bericht “DNS Nodes Removed”
Screenshot ADAudit Plus: Im Bericht “DNS Nodes Removed” sehen Sie auf einen Blick, wer DNS-Einträge entfernt hat.

Screenshot ADAudit Plus: Detailinformationen im Bericht “DNS Nodes Removed”
Screenshot ADAudit Plus: Im Bericht “DNS Nodes Removed” finden Sie detailierte Informationen, welche DNS-Einträge von wem entfernt wurden.

So können Sie neu hinzugefügte oder geänderte DNS-Einträge identifizieren:

Um die Berichte über hinzugefügte oder geänderte DNS-Einträge aufzurufen, gehen Sie ähnlich vor:

  • Sie melden sich bei ADAudit Plus an und wählen die gewünschte Domäne aus der Dropdown-Liste aus.
  • Gehen Sie auf die Registerkarte „Reports“.
  • Gehen Sie zu DNS Changes / DNS Nodes Added bzw. DNS Nodes Modified.

Auch in diesem Bericht finden Sie eine Übersicht, wer Änderungen vorgenommen hat sowie detaillierte Informationen zu jeder DNS-Änderung. 

Über ADAudit Plus

Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.

Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:

  • Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
  • Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
  • Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
  • Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
  • Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Demo-Version ansehen
Jetzt kostenlos testen

Weitere Active-Directory-Tipps:

Domänen-Controller zu einer Domäne hinzufügen
Änderungen an DNS-Berechtigungen
überwachen
Geplante Aufgaben im
Windows Task Scheduler überwachen
mehr Tipps zu
ADAudit Plus

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren