Windows Server 2008 上の DNS サーバーの役割には、DNS 動的更新プロトコルに付随する脆弱性を低減するためのグローバル クエリ禁止リストが導入されています。
DNS で WPAD を使用する場合は、次の点に注意してください。
-
DNS サーバーが Windows Server 2008 でアップグレードされる前に、DNS で WPAD エントリが構成されている場合は、何の操作も必要ありません。
-
Windows Server 2008 を実行しているサーバーに DNS サーバーの役割を展開した後に、WPAD を構成または削除した場合、この変更による影響を受けるゾーンをホストしているすべての DNS サーバー上で、禁止リストを更新する必要があります。影響を受けるゾーンは、WPAD サーバーを登録したゾーンです。
禁止リストの更新
グローバル クエリ禁止リストを管理するには、dnscmd コマンドライン ツールを使用します。コマンド ライン プロンプトを開いて、次の手順を実行します。
-
グローバル クエリ禁止が有効になっているかどうかを確認するには、次のように入力します。
dnscmd /info /enableglobalqueryblocklist
-
現在の禁止リスト内のホスト名を表示するには、次のように入力します。
dnscmd /info /globalqueryblocklist
-
禁止リストを無効にして、DNS サーバー サービスが禁止リスト内の名前に対するクエリに反応することを確認するには、次のように入力します。
dnscmd /config /enableglobalqueryblocklist 0
-
禁止リストを有効にして、DNS サーバー サービスが禁止リスト内の名前に対するクエリを無視することを確認するには、次のように入力します。
dnscmd /config /enableglobalqueryblocklist 1
-
禁止リストからすべての名前を削除するには、次のように入力します。
dnscmd /config /globalqueryblocklist
-
現在の禁止リストを指定した名前のリストで置換するには、次のように入力します。
dnscmd /config /globalqueryblocklist name [name]…
詳細および手順については、Microsoft TechNet の ドメイン ネーム システムに関するページ (英語ページの可能性があります) からダウンロードできる DNS サーバーのグローバル クエリ禁止リストの文書を参照してください。