Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8)

Una delle funzionalità di protezione introdotte in Windows Server 2008 influenza il comportamento del resource record WPAD. Quest'ultimo viene utilizzato dai client WEBProxy e Firewall Client per rilevare automaticamente il server ISA presente in rete e ricevere la relativa configurazione (wpad.dat).

Nell'articolo Automatic Discovery con ISA Server 2006/2004 abbiamo visto come configurare il DHCP ed DNS in esecuzione su Windows Server 2003 per configurare automaticamente i client.

Windows Server 2008 introduce per il DNS una nuova funzionalità di protezione, la Global Query Block List. Grazie a questa funzionalità, attiva di default, il server DNS di Windows Server 2008 impedisce la risoluzione dei nomi per nome host WPAD registrati nella zona DNS gestita dal nostro server DNS. Indipendentemente dal fatto che il resource record WPAD sia stato creato a mano dall'amministratore oppure mediante il processo di Dynamic Update. La funzionalità introdotta con Windows Server 2008 vuole andare a scongiurare proprio quest'ultima condizione - WPAD creato tramite Dynamic Update da server non autorizzati -. Purtroppo non esiste un meccanismo che permetta di garantire che il server che pubblica il file di configurazione wpad.dat sia un ISA Server e non un qualunque altro server non sotto il nostro diretto controllo. 

Questa problematica la vedremo con maggior dettaglio in un'altro articolo. Per ora quello che ci interessa è riabilitare la risoluzione dei nomi per il record WPAD. Per riuscirci dobbiamo istruire il server DNS affinché risolva query anche con nome host WPAD. Prima di tutto verifichiamo se è attiva la Global Query Block List. Basta eseguire sul nostro server DNS Windows Server 2008 il comando:

dnscmd /info /enableglobalqueryblocklist

Se il valore restituio è 1 (default) allora è attiva.

Per visualizzare l'elenco dei nomi host bloccati basta eseguire il comando

dnscmd /info /globalqueryblocklist

Di default sono bloccate le query per nomi host WPAD e ISATAP.  Se vogliamo utilizzare il server DNS Windows 2008 ed implementare il WPAD allora dobbiamo rimuovere dalla Global Query Block List i nomi host bloccati. Per farlo basta lanciare il seguente comando

dnscmd /config /globalqueryblocklist

In questo modo svuotiamo TUTTA la lista. Possiamo verificare che la lista risulta TUTTA svuotata lanciando nuovamente il comando:

dnscmd /info /globalqueryblocklist

Se abbiamo seguito la procedura indicata nell'articolo Automatic Discovery con ISA Server 2006/2004 siamo pronti per utilizzare il WPAD ed il nostro nuovo server DNS in esecuzione su Windows Server 2008.

Nota: per riabilitare la Global Query Block List basta utilizzare il seguente comando aggiungendo anche i nomi host da bloccare:

dnscmd /config /globalqueryblocklist wpad isatap

Per domande e commenti vi aspetto sul forum di ISAserver.it