ich würde spontan darauf tippen, dass im IE im Register Verbindungen\LAN-Einstellungen die "Automatische Suche der Einstellungen" angehakt ist. Dort würde ich es aushaken. Ansonsten müsste man sich halt auf die Suche machen, welche Applikation den WPAD-Request raushaut.
o.k. also ,.. unter den einstellungen des IE sind keine einstellungen gemacht worden. auch der gesuchte haken wurde nicht gesetzt, also der server ist dafür auch nicht vorgesehen, der kommt eh nicht ins internet.
folgende dienste sind abgeschaltet worden
winhttp-web proxy (USW) dhcp-client... in der netzwerkumgebung wurde die protokolle E/A treiber für verbindungsschicht ... usw antwort für verbindungsschicht top...usw IPV6 ... abgewählt...
KEINE Besserung...
Warum versucht der server überhaupt, so eine auflösung durchzuführen, wodurch wird das angefordert / gestartet? hat jemand ne idee?
Ist hier denn keiner der auch so ein Problem hat, oder so etwas ähnliches hatte.
in den Konfigurationen des IE ist die Einstellung also nicht angewählt, und trozdem sendet der server ( window s2008) wpad requests an den DNS Server. warum macht er das überhaupt.
was ist dafür verantwortlich, das der request ausgelöst wird. hat da jemand vielleicht ne ahnung? ich weis gar nicht wo ich suchen soll.
läuft da evtl. ein ISA Firewall Client? Ansonsten, wie Michael schon meinte, kann der wpad Request von irgendeiner anderen Anwendung die auf dem Server ausgeführt wird kommen..
versuch es mit einem NetMon Trace entweder auf dem Windows Server 2008 oder auf dem DNS Server. Theoretisch solltest du hier auch den PID oder den Prozessnamen der Anwenung erkennen können.
Ich habe einmal den passenden Teil, da wo ich den Aufruf gefunden habe, herauskopiert. Erste Zeile ist der Frame Summary !, danach kommt der Bauminhalt.
10012 0.000000 {DNS:271, UDP:270, IPv4:143} 172.22.16.32 172.22.16.1 DNS DNS:QueryId = 0x6236, QUERY (Standard query), Query for wpad of type ALL on class Internet
Frame: Number = 10012, Captured Frame Length = 64, MediaType = ETHERNET - Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-08-C7-86-17-9A],SourceAddress:[00-25-B3-E2-00-3C] - DestinationAddress: COMPAQ COMPUTER CORPORATION 86179A [00-08-C7-86-17-9A] IG: (0.......) Individual address UL: (.0......) Universally Administered Address Rsv: (..000000) - SourceAddress: 0025B3 E2003C [00-25-B3-E2-00-3C] UL: .0...... Universally Administered Address EthernetType: Internet IP (IPv4), 2048(0x800) - Ipv4: Src = 172.22.16.32, Dest = 172.22.16.1, Next Protocol = UDP, Packet ID = 25962, Total IP Length = 50 - Versions: IPv4, Internet Protocol; Header Length = 20 Version: (0100....) IPv4, Internet Protocol HeaderLength: (....0101) 20 bytes (0x5) - DifferentiatedServicesField: DSCP: 0, ECN: 0 DSCP: (000000..) Differentiated services codepoint 0 ECT: (......0.) ECN-Capable Transport not set CE: (.......0) ECN-CE not set TotalLength: 50 (0x32) Identification: 25962 (0x656A) - FragmentFlags: 0 (0x0) Reserved: (0...............) DF: (.0..............) Fragment if necessary MF: (..0.............) This is the last fragment Offset: (...0000000000000) 0 TimeToLive: 128 (0x80) NextProtocol: UDP, 17(0x11) Checksum: 0 (0x0) SourceAddress: 172.22.16.32 DestinationAddress: 172.22.16.1 - Udp: SrcPort = 54685, DstPort = DNS(53), Length = 30 SrcPort: 54685 DstPort: DNS(53) TotalLength: 30 (0x1E) Checksum: 30845 (0x787D) - Dns: QueryId = 0x6236, QUERY (Standard query), Query for wpad of type ALL on class Internet QueryIdentifier: 25142 (0x6236) - Flags: Query, Opcode - QUERY (Standard query), RD, Rcode - Success QR: (0...............) Query Opcode: (.0000...........) QUERY (Standard query) 0 AA: (.....0..........) Not authoritative TC: (......0.........) Not truncated RD: (.......1........) Recursion desired RA: (........0.......) Recursive query support not available Zero: (.........0......) 0 AuthenticatedData: (..........0.....) Not AuthenticatedData CheckingDisabled: (...........0....) Not CheckingDisabled Rcode: (............0000) Success 0 QuestionCount: 1 (0x1) AnswerCount: 0 (0x0) NameServerCount: 0 (0x0) AdditionalCount: 0 (0x0) - QRecord: wpad of type ALL on class Internet QuestionName: wpad QuestionType: A request for all records, 255(0xff) QuestionClass: Internet, 1(0x1)
Sicherlich kann dort einer mehr herauslesen als ich, dort finde ich leider nix passendes.
im Frame Summary sollte auch eine "Process Name" Spalte vorhanden sein. Wenn da nichts steht, wäre es hilfreich dir die ganze Conversation mal anzuschauen (Rechtsklick - Find Conversations - IPV4). Vielleicht kannst du hier etwas erkennen dass dir weiterhelfen könnte, wie z.B. ein Port der von einer spezifischen Anwendung benutzt wird..
Könntest du auch bitte den folgenden Registry Wert überprüfen?
hmmm,... sieht mir nicht überzeugend aus. was soll das bedeuten?
ja, und beim Frame Summery, wenn ich nach IPv4 sortieren, sind die DNS Aufrufe weg. Nehme ich dann den Eintrage, den ich z.B. oben beschrieben habe
10012 0.000000 {DNS:271, UDP:270, IPv4:143} 172.22.16.32 172.22.16.1 DNS DNS:QueryId = 0x6236, QUERY (Standard query), Query for wpad of type ALL on class Internet
und schaue in die erste zeile,. {DNS:271, UDP:270, IPv4:143} stellt man fest, nur der Weret IPV4:142 bleibt. Die Anderen aendern sich stetig. Wenn man die Auswahlliste öffnet, was denn angezeigt werden soll, so kann man noch DNS Name und andere DNS Informationen hinzufügen. Dann erscheint z.B. auch der Aufruf WPAD unter DNS Name angezeigt! dieses habe ich hier einmal angehängt:
wpad 10111 0.000000 {UDP:280, IPv4:279} 172.22.16.32 224.0.0.252 LLMNR LLMNR:QueryId = 0xB292, Standard, Query for wpad of type ALL on class Internet
o.k. schaue ich mir das hier einmal naeher an, sehe ich LLMNR ( Protokoll) auf Multicast. Warum macht er das ? kann man das Abschalten?
mit dem GRPEDT ( by Group Policy _ Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution = Enabled ) kann man die Abfrage abschalten, ein GPUPDATE /Force hinterher. jetzt scheint vermeintlich Ruhe am DNS Server zus sein, aber weit gefehlt, Dann macht nicht mehr LLMNR diese Abfragen, sondern der DNS Dienst selber ? zu sehen im Capturing auf dem Server !
Muss man jetzt dem DNS DIENST sagen, das er damit aufhören soll, aber wie ?
das aktivieren und deaktivieren der Funktion auto proxy search fuer den IE ueber den Group Policy Editor bringt auch keine Besserung.
Der Server pollt unablaessig wpad zum DNS Server.
Das Suchen mit dem Monitor hat derezit leider keine Verwertbare Information gebracht. Ic h konnte keinen Rueckschluss darauf finden, welche Applikation / Prozess dafuer verantwortlich ist.
Ich habe mit der Selben Installations CD ( DVD ) einen weiteren Server aufgesetzt. Gleich nach der Installation habe ich mir den IE angeschaut. Dort ware sofort der Hake, suche Proxy , aktiviert. Dort habe ich den Monitor installiert, und sofort waren die suchanfragen auch von dem soeben aufgesetzten server zu sehen. daraufhin habe ich den haken entfernt, und siehe da, auch die suchanfragen waren nicht mehr da.
also. sieht es fuer mich so aus, das der server, der die suchanfragen stellt, etwas mehr installiert hat, was diesen prozess ausfuehrt. nur wie kann man dieses feststellen. wie finde ich den verursacher, der den prozess, das die wpad Anfrage gestellt wird, ausloest?
very tricky, das ganze.
hat jemand noch ein paar ideen, das waere sehr hilfreich.
kannst Du nochmal zur Übersicht zusammenfassen, was auf dem Server an Softwre installiert ist und was für Rollen und Feature aktiviert sind.Gruß
Ralph Andreas Altermann
als Verursacher der wpad-Anfrage sehe ich wahrscheinl. einer der installierten Softwaremodule. McAfee wäre z.B. so ein Kandidat der gerne 'nach Hause' telefoniert.
>Warum versucht der server überhaupt, so eine auflösung durchzuführen Naja, ohne Namensauflösung (DNS-Requests) läuft heutzutage kein Server/Software mehr.Gruß
Ralph Andreas Altermann
hachdem was ich so gelesen habe, bedeutet es ja eher, das der Computer ( in diesem falle ein server ) aufgrund eines aufrufes eine routine startet, die eine automatische proxyconfiguration von einem Proxyserver abrufen will. bedeutet ja eher, das eine applikation diese routine aufruft, und wissen will, wo ist denn hier der proxy server, gib mir mal die Infos.
setze ich einen neuen server auf, wird der aufruf wirklich nur gemacht ( ueberpruefung via monitor ) wenn im IE der haken gesetzt ist ( auto proxy search ) , nimmt man den haken weg, ist ruhe ( sieht man im monitor )
MC Afee wird via ePO4 gesteuert, der bleibt aussen vor mit seiner telefonie ;-)
Ich habe eher den Terminalserver im Verdacht, das dort ein Profil ( Userprofil ) diesen MIST verursacht. Ich habe auch schon m al mitten beim Requesten ( ja , wirklich mehrfach am DNS Screen gesehen, er spammt ... ) von wpad eine die einzige Terminalsitzung gekillt. Jedoch war keine RUHE im System.
Vielleicht hat sicherlicherlich jemand ein paar Idden, also immer raus damit. Das muss doch zu loesen sein;-)
