WPAD mit Windows Server 2016 DNS Server nutzen

Das Problem

Wenn man einen DNS Server mit Windows Server 2012, 2012 R2 oder Windows Server 2016 installiert, kommt es nach der Installation eventuell zu einer Fehlermeldung im Eventlog mit der Ereignis-ID 7600:

Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für wpaddomainlocal), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Andere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist):
wpad
isatap

Ursache und Hintergrund dieser Meldung ist, dass der Name wpad standardmäßig blockiert wird, da dies für ein DNS Flooding oder eine andere Form von Angriff missbraucht werden könnte. Möchte man diese Funktion aber trotzdem nutzen, kann es wieder aktiviert werden. Schauen wir uns das einmal genauer an.

Die erste Abfrage

Wenn ich auf meinem Client per nslookup meinen neuen DNS Server anspreche und ihn nach dem Namen wpad bzw. wpad.domain.local frage, bekomme ich als Ergebnis die Antwort, dass dieser Name nicht exisiert.

Abfrage der Block-Liste

Wenn man nun auf den DNS Server selber wechselt, können wir dort per CMD oder per PowerShell abfragen, welche Einträge auf der globalen Blockliste stehen.

Als Ergebnis bekomme ich in meinem Fall eine Ausgabe mit zwei Einträgen:

Das heißt, dass diese beiden Einträge wpad und isatap standardmäßig blockiert werden. Nun können wir diese Liste anpassen und den wpad-Eintrag entfernen. Wie man dies macht ist eine kleine Erklärung wert.
Um den Eintrag wpad zu entfernen, gibt man folgenden Befehl ein:

Erklärung: Man schreibt mit dem Befehl all die Einträge, die man haben möchte. Da wir den Eintrag wpad nicht haben möchten, lassen wir ihn weg und setzen nur noch isatap auf die Blockierliste.

Eine erneute Abfrage

Wenn ich nun den DNS-Server nach dem Eintrag wpad frage, bekomme ich wie gewünscht meine Antwort:

Jetzt greifen auch Clients auf die automatische Proxy-Konfiguration zurück 🙂

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

2 Kommentare:

  1. Hallo,
    spricht etwas dagegen den WPAD Entry von der Blockliste zu nehmen in einem Unternehmensnetzwerk?
    Ist es eine Abwägungsentscheidung zwischen dem Risiko durch z.B. DNS Flooding und den möglichen Vorteilen ? (z.B. dass das Risiko minimiert wird für Clients mit Autodiscovery, die bei fehlendem WPAD Entry über LLMNR and NBT-NS resolven wollen und damit theoretisch gefährdet sind)

    • Hi,
      Microsoft empfiehlt diese Art von Proxy-Konfiguration mittlerweile nicht mehr, weil es recht viele Arten gibt, das zu missbrauchen bzw. für Angriffe zu nutzen. Wenn es eine andere Möglichkeit gibt, einen Proxy in deinem Netzwerk zu verteilen, empfehle ich die andere Art. Hängt natürlich auch immer von der Art des Netzwerks ab, Anzahl der Clients usw. ab. Trotzdem gilt es als überholt und sollte nach Möglichkeit nicht genutzt werden.
      Gruß, Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.