WPAD mit Windows Server 2016 DNS Server nutzen

Das Problem

Wenn man einen DNS Server mit Windows Server 2012, 2012 R2 oder Windows Server 2016 installiert, kommt es nach der Installation eventuell zu einer Fehlermeldung im Eventlog mit der Ereignis-ID 7600:

Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für wpaddomainlocal), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Andere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist):
wpad
isatap

Ursache und Hintergrund dieser Meldung ist, dass der Name wpad standardmäßig blockiert wird, da dies für ein DNS Flooding oder eine andere Form von Angriff missbraucht werden könnte. Möchte man diese Funktion aber trotzdem nutzen, kann es wieder aktiviert werden. Schauen wir uns das einmal genauer an.

Die erste Abfrage

Wenn ich auf meinem Client per nslookup meinen neuen DNS Server anspreche und ihn nach dem Namen wpad bzw. wpad.domain.local frage, bekomme ich als Ergebnis die Antwort, dass dieser Name nicht exisiert.

Abfrage der Block-Liste

Wenn man nun auf den DNS Server selber wechselt, können wir dort per CMD oder per PowerShell abfragen, welche Einträge auf der globalen Blockliste stehen.

Als Ergebnis bekomme ich in meinem Fall eine Ausgabe mit zwei Einträgen:

Das heißt, dass diese beiden Einträge wpad und isatap standardmäßig blockiert werden. Nun können wir diese Liste anpassen und den wpad-Eintrag entfernen. Wie man dies macht ist eine kleine Erklärung wert.
Um den Eintrag wpad zu entfernen, gibt man folgenden Befehl ein:

Erklärung: Man schreibt mit dem Befehl all die Einträge, die man haben möchte. Da wir den Eintrag wpad nicht haben möchten, lassen wir ihn weg und setzen nur noch isatap auf die Blockierliste.

Eine erneute Abfrage

Wenn ich nun den DNS-Server nach dem Eintrag wpad frage, bekomme ich wie gewünscht meine Antwort:

Jetzt greifen auch Clients auf die automatische Proxy-Konfiguration zurück 🙂

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.