Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS Sperrliste WPAD

Frage Netzwerke DNS

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

18.03.2009, aktualisiert 17:44 Uhr, 12903 Aufrufe, 1 Kommentar

In unserem DNS-System wurde der Eintrag WPAD für die automatische Proxykonfiguration hinterlegt. Ohne erkennbaren Grund können einzelne Clients WPAD nicht mehr pingen, obwohl der Rechner und der DNS-Eintrag da ist. IPCONFIG /FLUSHDNS löst das Client-Problem, aber nur bis zum Neustart. Der DNS-Server erzählt mir in der Ereignisanzeige, dass er für den Eintrag WPAD aus Sicherheitsgründen eine Sperrliste führt und somit nicht jedem Client die Information preisgibt. Das ist mir neu. Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?

Clients mit Windows XP SP3 sind für die automatische Erkennung der Proxy-Einstellung konfiguriert, benutzen also die Datei wpad.dat, die auf einem Server liegt, auf welchen ein DNS-Eintrag namens WPAD zeigt. Der DNS-Server, der die Zone hostet, läuft mit Windows Server 2003. Zusätzlich zum DNS-Eintrag gibt es noch eine DHCP-Bereichsoption; jeder Client der vom DHCP-Server versorgt wird, erhält die Info, dass die Proxykonfiguration über http://wpad/wpad.dat erhältlich ist.

Lief bis jetzt fehlerfrei.

Seit ein paar Tagen funktioniert diese automatische Konfiguration nicht mehr.
Stelle ich den Proxy fest ein, kann der Benutzer surfen, die automatische Erkennung der Einstellungen hingegen bringt einen Fehler.
Setze ich auf dem Client einen Ping an WPAD ab, findet der Client diesen Server nicht.
Pinge ich den Server über seinen Rechnernamen oder seine IP an, funktioniert der Ping einwandfrei.
Wenn ich ein IPCONFIG /FLUSHDNS durchführe und im Internetexplorer die Adresszeile http://wpad/wpad.dat eingebe, dann ist danach ein Surfen möglich (womöglich weil die WPAD mit allen notwendigen Einstellungen im lokalen Browsercache rumlümmelt).


Interessant ist die Ereignisanzeige des DNS-Servers.
Dort gibt es einen Fehler, der mir in etwa sagt, dass der Server eine Art Sperrliste führt, um den - an sich etwas unsicheren - Eintrag WPAD zu schützen. Sieht für mich so aus, als kämen bestimmte Clients nach bestimmten Kriterien auf diese Sperrliste, worauf der Server diesen Clients diese Abfrage verweigert, obwohl er die Information hat.

01.
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.firma.intern.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.  
02.
  
03.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist): 
04.
wpad 
05.
isatap. 
06.
 
07.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?
Mitglied: Kaffeepause
18.03.2009 um 13:03 Uhr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Hier gibt es einen Parameter EnableGlobalQueryBlockList, der bei 0 die Funktion ab- und bei 1 die Funktion anschaltet. Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad).

Lösung:
Wird der Parameter auf 0 gesetzt, ist die Sperrliste außer Kraft und alle Clients werden mit der Information, welcher Server der WPAD ist, versorgt.

Ebenfalls deaktivieren kann man diese Funktion über die Kommandozeile mittels dnscmd /config /enableglobalqueryblocklist 0 (<-- ändert den selben Registry-Schlüssel).
Bitte warten ..
Neuester Wissensbeitrag
Microsoft Office

MS Office Excel - Formel wird angezeigt, aber nicht berechneter Wert!

Tipp von holli.zimmi zum Thema Microsoft Office ...

Ähnliche Inhalte
Windows Server
DNS-Weiterleitung unter Windows Server (2)

Frage von lgraap zum Thema Windows Server ...

DNS
Mobiles DNS Problem bei VPN Verbindung (4)

Frage von holladie zum Thema DNS ...

Off Topic
DNS-Server von regfish (4)

Frage von Chonta zum Thema Off Topic ...

DNS
gelöst Domain.de auf internem DNS Server (7)

Frage von Max-Mauser zum Thema DNS ...

Heiß diskutierte Inhalte
Exchange Server
Bestehende eMails autoamatisch weiterleiten (21)

Frage von metal-shot zum Thema Exchange Server ...

Hyper-V
gelöst Reiner Hyper- V Server oder lieber Rolle (21)

Frage von Winuser zum Thema Hyper-V ...

SAN, NAS, DAS
gelöst Synology Version 6.1 Probleme (18)

Frage von Hendrik2586 zum Thema SAN, NAS, DAS ...

Router & Routing
gelöst IP Kamera für drei unabhängige Netzwerke (15)

Frage von ProfessorZ zum Thema Router & Routing ...