WPAD mit Windows Server 2016 DNS Server nutzen

Das Problem

Wenn man einen DNS Server mit Windows Server 2012, 2012 R2 oder Windows Server 2016 installiert, kommt es nach der Installation eventuell zu einer Fehlermeldung im Eventlog mit der Ereignis-ID 7600:

Die globale Abfragensperrliste ist ein Feature, das Angriffe auf das Netzwerk durch Blockieren von DNS-Abfragen für bestimmte Hostnamen verhindert. Durch dieses Feature wurde der DNS-Server dazu veranlasst, eine Abfrage als fehlgeschlagen einzustufen (Fehlercode NAMENFEHLER für wpaddomainlocal), obwohl in der DNS-Datenbank Daten für diesen DNS-Namen vorhanden sind. Andere Abfragen in allen lokal autorisierenden Zonen für andere Namen, die in der Blockierliste mit Beschriftungen beginnen, schlagen ebenfalls fehl. Beim Blockieren weiterer Abfragen werden Ereignisse erst protokolliert, wenn der DNS-Serverdienst auf diesem Computer neu gestartet wird. Informationen zu diesem Feature und Anweisungen zur Konfiguration erhalten Sie in der Produktdokumentation.
Unten wird die aktuelle globale Abfragenblockierliste angezeigt (diese Liste wird bei diesem Ereignis möglicherweise abgeschnitten, falls sie zu lang ist):
wpad
isatap

Ursache und Hintergrund dieser Meldung ist, dass der Name wpad standardmäßig blockiert wird, da dies für ein DNS Flooding oder eine andere Form von Angriff missbraucht werden könnte. Möchte man diese Funktion aber trotzdem nutzen, kann es wieder aktiviert werden. Schauen wir uns das einmal genauer an.

Die erste Abfrage

Wenn ich auf meinem Client per nslookup meinen neuen DNS Server anspreche und ihn nach dem Namen wpad bzw. wpad.domain.local frage, bekomme ich als Ergebnis die Antwort, dass dieser Name nicht exisiert.

Abfrage der Block-Liste

Wenn man nun auf den DNS Server selber wechselt, können wir dort per CMD oder per PowerShell abfragen, welche Einträge auf der globalen Blockliste stehen.

dnscmd /info /globalqueryblocklist

Als Ergebnis bekomme ich in meinem Fall eine Ausgabe mit zwei Einträgen:

Das heißt, dass diese beiden Einträge wpad und isatap standardmäßig blockiert werden. Nun können wir diese Liste anpassen und den wpad-Eintrag entfernen. Wie man dies macht ist eine kleine Erklärung wert.
Um den Eintrag wpad zu entfernen, gibt man folgenden Befehl ein:

dnscmd /config /globalqueryblocklist isatap

Erklärung: Man schreibt mit dem Befehl all die Einträge, die man haben möchte. Da wir den Eintrag wpad nicht haben möchten, lassen wir ihn weg und setzen nur noch isatap auf die Blockierliste.

Eine erneute Abfrage

Wenn ich nun den DNS-Server nach dem Eintrag wpad frage, bekomme ich wie gewünscht meine Antwort:

Jetzt greifen auch Clients auf die automatische Proxy-Konfiguration zurück 🙂


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

2 Kommentare:

  1. Hallo,
    spricht etwas dagegen den WPAD Entry von der Blockliste zu nehmen in einem Unternehmensnetzwerk?
    Ist es eine Abwägungsentscheidung zwischen dem Risiko durch z.B. DNS Flooding und den möglichen Vorteilen ? (z.B. dass das Risiko minimiert wird für Clients mit Autodiscovery, die bei fehlendem WPAD Entry über LLMNR and NBT-NS resolven wollen und damit theoretisch gefährdet sind)

    • Hi,
      Microsoft empfiehlt diese Art von Proxy-Konfiguration mittlerweile nicht mehr, weil es recht viele Arten gibt, das zu missbrauchen bzw. für Angriffe zu nutzen. Wenn es eine andere Möglichkeit gibt, einen Proxy in deinem Netzwerk zu verteilen, empfehle ich die andere Art. Hängt natürlich auch immer von der Art des Netzwerks ab, Anzahl der Clients usw. ab. Trotzdem gilt es als überholt und sollte nach Möglichkeit nicht genutzt werden.
      Gruß, Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert