Seit der Umstellung auf einen Windows 2008 DNS-Server wird der Name WPAD.mydomain.local nicht mehr aufgelöst.
Im DNS-Protokoll erhalten Sie den Fehler
| Quelle: DNS, Ereignis-ID: 7600 |
|
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.mydomain.local.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist): wpad isatap
|
Ursache ist die globale Abfragesperrliste!
Diese kann man entweder komplett außer Kraft setzen, oder die Einträge einzeln entfernen:
1 Komplettes Deaktivieren der Abfragesperrliste
Entweder in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
den Parameter EnableGlobalQueryBlockList auf 0 setzen: dies schaltet die Funktion ab. (Ein Wert von 1 aktiviert die Funktion wieder).
Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad)
Alternativ kann man den Kommandozeilenbefehl
dnscmd /config /enableglobalqueryblocklist 0
absetzen, dieser setzt den eben genannten Registryschlüssel.
2 Entfernen einzelner Werte aus der Liste
Über den Befehl
dnscmd /info /globalqueryblocklist
kann man sich den Inhalt dieser Liste ansehen um sie dann ggf. neu zu setzen:
Mit dem Befehl
dnscmd /config /globalqueryblocklist isatap
wird nur noch die Abfrage auf isatap blockiert, d.h. danach kann der wpad wieder abgefragt werden.
dnscmd /config /globalqueryblocklist wpad isatap
setzt den Wert auf den Standard zurück!
ACHTUNG: Dies muss an ALLEN 2008er DNS-Servern ausgeführt werden!
Eine ausführliche Beschreibung dieser Funktion finden Sie bei Microsoft im Dokument "Windows Server 2008 DNS Server Global Query Block List" (englisch!)