Seit der Umstellung auf einen Windows 2008 DNS-Server wird der Name WPAD.mydomain.local nicht mehr aufgelöst.

Im DNS-Protokoll erhalten Sie den Fehler

Quelle: DNS, Ereignis-ID: 7600
Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für WPAD.mydomain.local.), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Weitere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.

Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist):

wpad
isatap

Ursache ist die globale Abfragesperrliste!

Diese kann man entweder komplett außer Kraft setzen, oder die Einträge einzeln entfernen:

1 Komplettes Deaktivieren der Abfragesperrliste

Entweder in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
den Parameter EnableGlobalQueryBlockList auf 0 setzen: dies schaltet die Funktion ab. (Ein Wert von 1 aktiviert die Funktion wieder).

Ein weiterer Schlüssel namens GlobalQueryBlockList beinhaltet die zu sperrenden Protokolle (in diesem Fall u.a. wpad)

Alternativ kann man den Kommandozeilenbefehl

dnscmd /config /enableglobalqueryblocklist 0

absetzen, dieser setzt den eben genannten Registryschlüssel.

2 Entfernen einzelner Werte aus der Liste

Über den Befehl

dnscmd /info /globalqueryblocklist

kann man sich den Inhalt dieser Liste ansehen um sie dann ggf. neu zu setzen:

Mit dem Befehl

dnscmd /config /globalqueryblocklist isatap

wird nur noch die Abfrage auf isatap blockiert, d.h. danach kann der wpad wieder abgefragt werden.

dnscmd /config /globalqueryblocklist wpad isatap

setzt den Wert auf den Standard zurück!


ACHTUNG: Dies muss an ALLEN 2008er DNS-Servern ausgeführt werden!


Eine ausführliche Beschreibung dieser Funktion finden Sie bei Microsoft im Dokument "Windows Server 2008 DNS Server Global Query Block List" (englisch!)

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.