Windows Server 2008 中的 DNS 服务器角色引入了一个全局查询阻止列表,可减少与 DNS 动态更新协议相关的漏洞。这可能会影响 WPAD 部署?

         之前在测试TMG单网卡模式下,使用自动检测功能时发现无法ping通wpad.testdomain.com,且客户端自动检测无法查询到此别名记录,但是实际上该配置已经生效,想了好久没有找到问题的原因,后来经查询原因为DNS全局查询阻止列表搞的鬼,

        如何取消DNS全局查询阻止列表呢?其实也不是太难,只要在DNS服务器上运行 dnscmd testdc.testdomain.com /config /enableglobalqueryblocklist 0 取消阻止列表后可以正常解析wpad.vancltestdomain.com,但是客户端并不能立即生效,需要等一会儿才能检测到,全局查询阻止列表功能好,但是也害得我晚上没能早早睡着,爬起来研究了半天才发现原来TMG还有这么个地方和ISA不同的,不过最终明白了,心情很happy的还是。

dnscmd testdc.testdomain.com /config /enableglobalqueryblocklist 0 这一段主要做什么用的呢?我整理了一下:

dnscmd [] /config /enableglobalqueryblocklist 0|1 这个就是上边这段命令的格式模版,具体参数选择如下:

dnscmd :用于管理 DNS 服务器的命令行工具

:指定 DNS 服务器的 DNS 主机名。还可以键入 DNS 服务器的 IP 地址。若要指定本地计算机上的 DNS 服务器,还可以键入句点 (.) 或省略主机名

/config :必选条目用于修改 DNS 服务器的配置

/enableglobalqueryblocklist:必选条目,用于定启用或禁用全局查询阻止列表的命令

0|1:指定是否启用或禁用全局查询阻止列表。如果需要 DNS 服务器服务以忽略查询阻止列表中的名称,则将该命令的值设置为 1。如果需要禁用全局查询阻止列表,则将该值设置为 0

若要确定全局查询阻止列表是否已启用,请在命令提示符处键入以下命令:

dnscmd /info /enableglobalqueryblocklist

果命令返回的值为 1,则表示已启用全局查询阻止列表。如果命令返回的值为 0,则表示未启用全局查询阻止列表。

之前一直在忙,没有时间把这些学到的分享出来,今天晚上整理了一下,分享一下,嘻嘻~Winking smile