Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS Sperrliste WPAD

Frage Netzwerke DNS

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

18.03.2009, aktualisiert 17:44 Uhr, 13196 Aufrufe, 1 Kommentar

In unserem DNS-System wurde der Eintrag WPAD für die automatische Proxykonfiguration hinterlegt. Ohne erkennbaren Grund können einzelne Clients WPAD nicht mehr pingen, obwohl der Rechner und der DNS-Eintrag da ist. IPCONFIG /FLUSHDNS löst das Client-Problem, aber nur bis zum Neustart. Der DNS-Server erzählt mir in der Ereignisanzeige, dass er für den Eintrag WPAD aus Sicherheitsgründen eine Sperrliste führt und somit nicht jedem Client die Information preisgibt. Das ist mir neu. Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?

Clients mit Windows XP SP3 sind für die automatische Erkennung der Proxy-Einstellung konfiguriert, benutzen also die Datei wpad.dat, die auf einem Server liegt, auf welchen ein DNS-Eintrag namens WPAD zeigt. Der DNS-Server, der die Zone hostet, läuft mit Windows Server 2003. Zusätzlich zum DNS-Eintrag gibt es noch eine DHCP-Bereichsoption; jeder Client der vom DHCP-Server versorgt wird, erhält die Info, dass die Proxykonfiguration über http://wpad/wpad.dat erhältlich ist.

Lief bis jetzt fehlerfrei.

Seit ein paar Tagen funktioniert diese automatische Konfiguration nicht mehr.
Stelle ich den Proxy fest ein, kann der Benutzer surfen, die automatische Erkennung der Einstellungen hingegen bringt einen Fehler.
Setze ich auf dem Client einen Ping an WPAD ab, findet der Client diesen Server nicht.
Pinge ich den Server über seinen Rechnernamen oder seine IP an, funktioniert der Ping einwandfrei.
Wenn ich ein IPCONFIG /FLUSHDNS durchführe und im Internetexplorer die Adresszeile http://wpad/wpad.dat eingebe, dann ist danach ein Surfen möglich (womöglich weil die WPAD mit allen notwendigen Einstellungen im lokalen Browsercache rumlümmelt).


Interessant ist die Ereignisanzeige des DNS-Servers.
Dort gibt es einen Fehler, der mir in etwa sagt, dass der Server eine Art Sperrliste führt, um den - an sich etwas unsicheren - Eintrag WPAD zu schützen. Sieht für mich so aus, als kämen bestimmte Clients nach bestimmten Kriterien auf diese Sperrliste, worauf der Server diesen Clients diese Abfrage verweigert, obwohl er die Information hat.

01.
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.firma.intern.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.  
02.
  
03.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist): 
04.
wpad 
05.
isatap. 
06.
 
07.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?
Mitglied: Kaffeepause
18.03.2009 um 13:03 Uhr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Hier gibt es einen Parameter EnableGlobalQueryBlockList, der bei 0 die Funktion ab- und bei 1 die Funktion anschaltet. Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad).

Lösung:
Wird der Parameter auf 0 gesetzt, ist die Sperrliste außer Kraft und alle Clients werden mit der Information, welcher Server der WPAD ist, versorgt.

Ebenfalls deaktivieren kann man diese Funktion über die Kommandozeile mittels dnscmd /config /enableglobalqueryblocklist 0 (<-- ändert den selben Registry-Schlüssel).
Bitte warten ..
Ähnliche Inhalte
DNS
gelöst Kann wpad Eintrag nicht erstellen (3)

Frage von Ex0r2k16 zum Thema DNS ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (7)

Frage von Schauer zum Thema Windows Netzwerk ...

Samba
DNS forwarding an DNS Server außerhalb der Domäne (2)

Frage von Pakko0 zum Thema Samba ...

DSL, VDSL
Umleitung DNS (8)

Frage von brooks zum Thema DSL, VDSL ...

Neue Wissensbeiträge
Sicherheit

Millionen Euro in den Sand gesetzt?

(2)

Information von transocean zum Thema Sicherheit ...

Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Humor (lol)
gelöst Freidach Beitrag (40)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Firewall
gelöst Firewall Firmeneimsatz (22)

Frage von wiesi200 zum Thema Firewall ...

Multimedia & Zubehör
gelöst 8 GB USB Stick besitzt nur noch 4 MB Kapazität (13)

Frage von Gwahlers zum Thema Multimedia & Zubehör ...