Entfernen von WPAD aus der DNS-Sperrliste

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Mit der DNS-Serverrolle in Windows Server 2008 wird eine globale Abfragensperrliste eingeführt, um das mit dem dynamischen DNS-Aktualisierungsprotokoll einhergehende Sicherheitsrisiko zu verringern.

Wenn Sie WPAD mit DNS verwenden möchten, sollten Sie Folgendes beachten:

  • Wenn WPAD-Einträge in DNS konfiguriert sind, bevor der DNS-Server auf Windows Server 2008 aktualisiert wurde, ist keine Aktion erforderlich.

  • Wenn Sie WPAD nach der Implementierung der DNS-Serverrolle auf einem Server mit Windows Server 2008 konfigurieren oder entfernen, müssen Sie die Sperrliste auf allen DNS-Servern aktualisieren, auf denen die von der Änderung betroffenen Zonen verwaltet werden. Die betroffenen Zonen sind diejenigen Zonen, in denen die WPAD-Server registriert wurden.

Aktualisieren der Sperrliste

Verwenden Sie das Befehlszeilentool "dnscmd", um die globale Abfragensperrliste zu verwalten. Öffnen Sie eine Eingabeaufforderung, und gehen Sie dann wie folgt vor:

  1. Geben Sie Folgendes ein, um zu überprüfen, ob die globale Abfragensperrung aktiviert ist:

    dnscmd /info /enableglobalqueryblocklist

  2. Geben Sie Folgendes ein, um die Hostnamen in der aktuellen Sperrliste anzuzeigen:

    dnscmd /info /globalqueryblocklist

  3. Geben Sie Folgendes ein, um die Sperrliste zu deaktivieren und um sicherzustellen, dass der DNS-Serverdienst Abfragen nach Namen in der Sperrliste nicht ignoriert:

    dnscmd /config /enableglobalqueryblocklist 0

  4. Geben Sie Folgendes ein, um die Sperrliste zu aktivieren und um sicherzustellen, dass der DNS-Serverdienst Abfragen nach Namen in der Sperrliste ignoriert:

    dnscmd /config /enableglobalqueryblocklist 1

  5. Geben Sie Folgendes ein, um alle Namen aus der Sperrliste zu entfernen:

    dnscmd /config /globalqueryblocklist

  6. Geben Sie Folgendes ein, um die aktuelle Sperrliste durch eine Liste mit von Ihnen angegebenen Namen zu ersetzen:

    dnscmd /config /globalqueryblocklist name [name]…

Weitere Informationen und Anweisungen finden Sie im Dokument „Globale DNS-Server-Abfragensperrliste“, das im Microsoft TechNet unter Domain Name System zum Download zur Verfügung steht.

Anzeigen: