Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke DNS

GELÖST

DNS Sperrliste WPAD

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

18.03.2009, aktualisiert 17:44 Uhr, 13332 Aufrufe, 1 Kommentar

In unserem DNS-System wurde der Eintrag WPAD für die automatische Proxykonfiguration hinterlegt. Ohne erkennbaren Grund können einzelne Clients WPAD nicht mehr pingen, obwohl der Rechner und der DNS-Eintrag da ist. IPCONFIG /FLUSHDNS löst das Client-Problem, aber nur bis zum Neustart. Der DNS-Server erzählt mir in der Ereignisanzeige, dass er für den Eintrag WPAD aus Sicherheitsgründen eine Sperrliste führt und somit nicht jedem Client die Information preisgibt. Das ist mir neu. Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?

Clients mit Windows XP SP3 sind für die automatische Erkennung der Proxy-Einstellung konfiguriert, benutzen also die Datei wpad.dat, die auf einem Server liegt, auf welchen ein DNS-Eintrag namens WPAD zeigt. Der DNS-Server, der die Zone hostet, läuft mit Windows Server 2003. Zusätzlich zum DNS-Eintrag gibt es noch eine DHCP-Bereichsoption; jeder Client der vom DHCP-Server versorgt wird, erhält die Info, dass die Proxykonfiguration über http://wpad/wpad.dat erhältlich ist.

Lief bis jetzt fehlerfrei.

Seit ein paar Tagen funktioniert diese automatische Konfiguration nicht mehr.
Stelle ich den Proxy fest ein, kann der Benutzer surfen, die automatische Erkennung der Einstellungen hingegen bringt einen Fehler.
Setze ich auf dem Client einen Ping an WPAD ab, findet der Client diesen Server nicht.
Pinge ich den Server über seinen Rechnernamen oder seine IP an, funktioniert der Ping einwandfrei.
Wenn ich ein IPCONFIG /FLUSHDNS durchführe und im Internetexplorer die Adresszeile http://wpad/wpad.dat eingebe, dann ist danach ein Surfen möglich (womöglich weil die WPAD mit allen notwendigen Einstellungen im lokalen Browsercache rumlümmelt).


Interessant ist die Ereignisanzeige des DNS-Servers.
Dort gibt es einen Fehler, der mir in etwa sagt, dass der Server eine Art Sperrliste führt, um den - an sich etwas unsicheren - Eintrag WPAD zu schützen. Sieht für mich so aus, als kämen bestimmte Clients nach bestimmten Kriterien auf diese Sperrliste, worauf der Server diesen Clients diese Abfrage verweigert, obwohl er die Information hat.

01.
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.firma.intern.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.  
02.
  
03.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist): 
04.
wpad 
05.
isatap. 
06.
 
07.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?
Mitglied: Kaffeepause
18.03.2009 um 13:03 Uhr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Hier gibt es einen Parameter EnableGlobalQueryBlockList, der bei 0 die Funktion ab- und bei 1 die Funktion anschaltet. Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad).

Lösung:
Wird der Parameter auf 0 gesetzt, ist die Sperrliste außer Kraft und alle Clients werden mit der Information, welcher Server der WPAD ist, versorgt.

Ebenfalls deaktivieren kann man diese Funktion über die Kommandozeile mittels dnscmd /config /enableglobalqueryblocklist 0 (<-- ändert den selben Registry-Schlüssel).
Bitte warten ..
Ähnliche Inhalte
DNS
Kann wpad Eintrag nicht erstellen
gelöst Frage von Ex0r2k16DNS3 Kommentare

Guten Morgen zusammen, ich kann auf meinem w2k12r2 DNS keinen DNS Eintrag für den wpad IIS Server erstellen. Also ...

Sicherheitsgrundlagen
IIS+PKI Sperrlisten Verzeichniss soll nicht angezeigt werden
gelöst Frage von iceboxyzSicherheitsgrundlagen2 Kommentare

Hallo zusammen, ich habe gerade eine 2 Stufen PKI gebaut, die auch funktioniert. Sperrseite habe ich auf eine WEB ...

Windows Netzwerk
DNS - Weiterleitung zu DNS-Server in anderer Domain
gelöst Frage von SchauerWindows Netzwerk7 Kommentare

Hallo liebe Admins. Ich stehe vor einem Problem mit dem ich mich jetzt mitunter auch auf dieser Seite beschäftigt ...

Windows Server
DNS Probleme evtl DNS Einstellungen
gelöst Frage von winlinWindows Server2 Kommentare

Habe zwei netzwerkzonen, eine interne und eine externe.in der internen habe ich zwei RWDCs und zwei RODCs. In der ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...