IT-Dokumentation beginnt mit DNS

Das Thema IT-Dokumentation ist derzeit aktueller denn je. Nicht zuletzt auf Grund der Unwissenheit bezüglich der konkreten notwendigen Handlungen als Folge der neuen EU Datenschutz Grundverordnung (DSGVO) fragen sich viele Administratoren, „…womit soll ich anfangen – und wo aufhören?“
Unser Tipp: Beginnen Sie damit, dafür zu sorgen, dass die DNS Einträge aktuell und vollständig sind.

Verwendet wird DNS fast überall; die komplette Funktionalität des Active Directory beruht auf DNS und auch LOGINventory benutzt es an vielen Stellen, z.B. gleich beim Erfassen:

Die LOGINventory Management Center Abfrage „Fehlerhafte Inventarisierung“ zeigt Ihnen diejenigen IP-Adressen, bei denen die Inventarisierung aktuell nicht funktioniert hat und somit ein Handlungsbedarf besteht - nämlich auch für diese Adressen die Erfassung zu ermöglichen.

Der dabei angezeigte TargetName wird jeweils über Reverse-DNS ermittelt und kann dem Administrator den entscheidenden Tipp geben, um welche Art System es sich handelt und auf welche Weise das entsprechende Gerät erfasst werden könnte.

Leider finden wir aktuell bei unseren Anwendern immer noch eine signifikante Anzahl von Geräten ohne (Reverse-) DNS Eintrag. Dies kann eventuell den Nachforschungs-Aufwand erheblich erhöhen.

Ein absolutes Minimum an IT-Dokumentation aus unserer Sicht ist, dafür zu sorgen, dass alle Netzwerk-Geräte aktuelle und aussagekräftige Einträge im DNS-System haben.

DHCP Server Einstellungen

Bei aktuellen Linux- und Windows-Rechnern wird die DNS Registrierung normalerweise automatisch und dynamisch erledigt; bei allen anderen kann man den Windows DHCP-Server so konfigurieren, dass dieser die DNS Registrierung als Stellvertreter vornimmt.

Für die restlichen Geräte, die keine dynamische Registrierung im DNS durchführen können, bleibt dann noch die Möglichkeit, eine manuelle, statische Registrierung mit einem aussagekräftigem(!) Namen vorzunehmen.

Manuelle Einträge in Excel-Listen oder CMDB Systemen sind nicht zielführend, da diese – im Gegensatz zu DNS – nicht von allen anderen Systemen dynamisch abgefragt werden können.

In diesem Zusammenhang möchte ich darauf hinweisen, dass der Aufräumvorgang (engl.: „Scavenging“) bei genau einem(!) Windows DNS Server stets manuell konfiguriert und eingeschaltet werden muss, damit die nicht mehr gültigen Einträge sauber entfernt werden.

Dies ist z.B. hier von Microsoft ausführlich beschrieben
http://blogs.technet.com/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx

Empfehlung

Für die voreingestellte 8 Tage DHCP Lease Dauer werden in diesem Artikel u.a. folgende Einstellungen empfohlen:

  • Intervall für Nichtaktualisierung (No-refresh interval) = 5 Tage für alle Zonen
    (=Zeitraum in dem Aktualisierungen noch nicht repliziert werden);
  • Aktualisierungsintervall (Refresh interval) = 5 Tage für alle Zonen
    (=Anschließender Zeitraum, in dem Aktualisierungen repliziert werden);
  • Zeitraum des Aufräumvorgangs (Scavenging period) = 5 Tage
    Dies sollte jedoch nur bei genau einem Server eingeschaltet werden.

Zur Erinnerung:

  • Diese Werte stehen per Default auf 7 Tage.
  • Sie sollten niemals länger als die DHCP Lease Dauer sein.
  • Das Aktualisierungsintervall sollte immer länger sein als 50% der Lease Dauer.

Mit diesen Einstellungen wird dann ein dynamischer Eintrag also erst nach Ablauf der Lease Dauer und nach spätestens 15 Tagen nicht-Benutzung entfernt, also erst nach Ablauf des Zeitraums: Non-Refresh + Refresh + Scavenging Intervall.

Wie Sie sehen, ist der Einstieg in die IT-Dokumentation mit geringem Aufwand zu schaffen.

Was hat dies alles mit der DSVGO zu tun?

Nur ganz wenig!

Die DSVGO ersetzt ab Mai 2018 das Bundesdatenschutz Gesetz (BDSG), regelt - wie der Vorgänger BDSG den Schutz von personenbezogen Daten und fordert nun zusätzlich eine Dokumentation der Verarbeitung dieser schützenswerten Daten. Mit einer allgemeinen IT-Dokumentation hat dies so gut wie nichts zu tun.

Markiert in:                    

Schreibe einen Kommentar