WPAD problem z DNS zapisom

This post is also available in: English




 

DNS zapis za WPAD vrže napako in ni možna preusmeritev internetnega prometa preko željenega proxy serverja.

V poslovnem omrežju se običajno uporablja web proxy za varen dostop uporabnikov do interneta. Seveda je potrebno urediti tako, da se ves itnernetni promet spelje preko proxy serverja za kar se lahko uporabi transparent traffic redirection ali pa, kar je bolj običajno, se uporabi WPAD datoteka.

English: Diagram of a forward proxy.
English: Diagram of a forward proxy. (Photo credit: Wikipedia)

Na IIS serverju se je uredila stran http://wpad.domena/wpad.dat  s katere so uporabniki dobivali informacijo, kam naj se preusmeri internetni promet.

Do predkratkim je delalo vse to brez problema, konec lanskega leta pa so se začele težave. V Windows Server 2008 R2, od konca lanskega leta pa s popravkom kb961063 tudi na Windows Server 2003,  je namreč uvedena nova funkcija Global Query Block List, ki poskrbi za varnost, da ne more nekdo prevzeti wpad in sam objaviti, da je wpad server. Hkrati se lahko pojavi problem zaradi tega še na pravi wpad datoteki.

Ko iščemo z nslookup vrže ven napako: can’t find wpad: non-existent domain

Tudi ping ne deluje: ping reguest coluld not find host wpad. Please check the name and try again

 

Obstajata dve rešitvi:

  1. varnostno bolj tvegana, da se izklopi funkcija Global Query Block List
  2. varnosto dobro izkoriščena nova funkcionalnost, s tem da se wpad.domena izloči iz Global Query Block List

 

 

Izklop funkcije Global Query Block List

izklop funkcije z ukazom

dnscmd /config /enableglobalqueryblocklist 0

Če se želi kasneje vklopiti nazaj ta funkcionalnost, se samo spremeni vrednost iz 0 v 1

 

WPAD se izloči iz Global Query Block List

Seznam je shranjen v
HKEY_Local_MACHINE\SYSTEM\CurrentControlSEt\Services\DNS\Parameters\GlobalQueryBlockList.

Briše se wpad vnos in naredi ponovni zagon DNS storitve, da se globalna lista ponovno naloži.

 

To je potrebno narediti na vsakem DNS serverju posebej, ker so ti posegi ne replicirajo na druge DNS serverje.

 

vir rešitve: Michael King

 

Upravljanje Global Query Block list

 

  • info ali je list omogočen ali ne: dnscmd /info /enableglobalqueryblocklist
  • prikaže gostitelje: dnscmd /info /globalqueryblocklist
  • odstranitev vseh gostiteljev: dnscmd /config /globalqueryblocklist

 

 

Za hitrejšo vpeljavo priporočam še, začasno spremembo v group policy za uporabnike:

user configuration – policies – internet -explorer maintenance – connection – automatic browser configuration se začasno obkljuka enable automatic configuration in doda URL, kjer je WPAD datoteka.  Kasneje se to umakne in ponovno obkljuka avtomatično zaznavo konfiguracije.

V nasprotnem primeru bodo uporabniki, ki uporabljajo službene prenosnike, v svojem omrežju, imeli probleme z odstopom do spleta.

 

 

 

Enhanced by Zemanta

Saša

Works as system engineer in Slovenian Enterprise in Microsoft environment focusing on security, deployments, SharePoint, SCCM and CheckPoint firewall. Author of successful blog about IT security, Microsoft tips & tricks, social media, internet trends.

Leave a Reply