Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS Sperrliste WPAD

Frage Netzwerke DNS

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

18.03.2009, aktualisiert 17:44 Uhr, 12763 Aufrufe, 1 Kommentar

In unserem DNS-System wurde der Eintrag WPAD für die automatische Proxykonfiguration hinterlegt. Ohne erkennbaren Grund können einzelne Clients WPAD nicht mehr pingen, obwohl der Rechner und der DNS-Eintrag da ist. IPCONFIG /FLUSHDNS löst das Client-Problem, aber nur bis zum Neustart. Der DNS-Server erzählt mir in der Ereignisanzeige, dass er für den Eintrag WPAD aus Sicherheitsgründen eine Sperrliste führt und somit nicht jedem Client die Information preisgibt. Das ist mir neu. Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?

Clients mit Windows XP SP3 sind für die automatische Erkennung der Proxy-Einstellung konfiguriert, benutzen also die Datei wpad.dat, die auf einem Server liegt, auf welchen ein DNS-Eintrag namens WPAD zeigt. Der DNS-Server, der die Zone hostet, läuft mit Windows Server 2003. Zusätzlich zum DNS-Eintrag gibt es noch eine DHCP-Bereichsoption; jeder Client der vom DHCP-Server versorgt wird, erhält die Info, dass die Proxykonfiguration über http://wpad/wpad.dat erhältlich ist.

Lief bis jetzt fehlerfrei.

Seit ein paar Tagen funktioniert diese automatische Konfiguration nicht mehr.
Stelle ich den Proxy fest ein, kann der Benutzer surfen, die automatische Erkennung der Einstellungen hingegen bringt einen Fehler.
Setze ich auf dem Client einen Ping an WPAD ab, findet der Client diesen Server nicht.
Pinge ich den Server über seinen Rechnernamen oder seine IP an, funktioniert der Ping einwandfrei.
Wenn ich ein IPCONFIG /FLUSHDNS durchführe und im Internetexplorer die Adresszeile http://wpad/wpad.dat eingebe, dann ist danach ein Surfen möglich (womöglich weil die WPAD mit allen notwendigen Einstellungen im lokalen Browsercache rumlümmelt).


Interessant ist die Ereignisanzeige des DNS-Servers.
Dort gibt es einen Fehler, der mir in etwa sagt, dass der Server eine Art Sperrliste führt, um den - an sich etwas unsicheren - Eintrag WPAD zu schützen. Sieht für mich so aus, als kämen bestimmte Clients nach bestimmten Kriterien auf diese Sperrliste, worauf der Server diesen Clients diese Abfrage verweigert, obwohl er die Information hat.

01.
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.firma.intern.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.  
02.
  
03.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist): 
04.
wpad 
05.
isatap. 
06.
 
07.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Wie kann ich diese Sperrliste editieren oder diese Funktion abschalten?
Mitglied: Kaffeepause
18.03.2009 um 13:03 Uhr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Hier gibt es einen Parameter EnableGlobalQueryBlockList, der bei 0 die Funktion ab- und bei 1 die Funktion anschaltet. Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad).

Lösung:
Wird der Parameter auf 0 gesetzt, ist die Sperrliste außer Kraft und alle Clients werden mit der Information, welcher Server der WPAD ist, versorgt.

Ebenfalls deaktivieren kann man diese Funktion über die Kommandozeile mittels dnscmd /config /enableglobalqueryblocklist 0 (<-- ändert den selben Registry-Schlüssel).
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

DNS
gelöst DNS Weiterleitung ohne www (4)

Frage von simonsays zum Thema DNS ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

DNS
IPv6 und dynamisches DNS (3)

Frage von ukulele-7 zum Thema DNS ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...