none
DNS не дает обнаружить ISA RRS feed

  • Вопрос

  • Доброго времени суток.

    Есть два контроллера домена, на каждом из них поднят DNS (интеграция с AD) , один из них W2K8.

     

    Поднял ISA, настроил автообнаружение на ISA, создал запись CNAME в DNS, WFC находил ISA, все было нормально несколько дней. 

     

    Потом была авария у провайдера. после появления инета (а возможно это и не связано) DNS сервер, который на W2K8 перестал выдавать данные по запросу на WPAD и WFC потеряли ISA.

     

    Полез в логи, нашел:

     

    Тип события: Предупреждение
    Источник события: DNS
    Категория события: Отсутствует
    Код события: 7600
    Дата:  06.10.2008
    Время:  9:36:50
    Пользователь:  Н/Д
    Компьютер: DC.domain.local
    Описание:
    Глобальный список блокировки запросов является средством защиты от атак на сеть с помощью блокировки DNS-запросов от некоторых узлов с определенными именами. Это средство явилось причиной отказа DNS-сервера выполнить запрос с кодом ОШИБКА ИМЕНИ для WPAD.domain.local., ходя данные для этого DNS-имени существуют в базе данных DNS. Другие запросы во всех локальных управляющих зонах для других имен, начинающихся с меток, входящих в список блокировки, также выполняться не будут, но при блокировке запросов события в журнал записываться не будут до перезапуска службы DNS-сервера на этом компьютере. Сведения об этом средстве и инструкции по его настройке см. в документации продукта.
     
    Ниже приводится текущий глобальный список блокировки запросов(слишком длинный список для данного события может быть усечен):
    wpad
    isatap

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

     

    В библиотеке technet сказано, что такое поведение DNS сервера нормальное.

    Но почему так произошло ?

     

    После рестарта DNS ничего не проходит.. "в ручную" WFC находит ISA. DNS функционирует нормально, пересылка на внешний DNS тоже работает исправно.

     

    Добавлю, заметил, что "забанили" только мой комп, нескольким другим DNS нормально отдает эту запись.

    Почему именно мой непонятно...  Как разбанить тоже не понятно...

     

    6 октября 2008 г. 4:59

Ответы

  • С настройками по умолчанию Windows Server 2008 DNS Server блокирует запросы на записи типа ISATAP и WPAD. Для решения данной проблемы у Вас есть два способа: отказаться от раздачи пути WPAD-записи посредством службы DNS, вместо чего настроить область DHCP для поддержки автоматического обнаружения, или отсключить блокирование запросов на записи типа WPAD в конфигурации DNS Server посредством использования команды dnscmd.
    Removing WPAD from DNS block list

    9 октября 2008 г. 7:10

Все ответы

  • Неужели никто не сталкивался ?  Или никто W2K8 еще не ставит ?

     

    Добавлю, что забанились еще несколько пользователей...

    8 октября 2008 г. 10:29
  • С настройками по умолчанию Windows Server 2008 DNS Server блокирует запросы на записи типа ISATAP и WPAD. Для решения данной проблемы у Вас есть два способа: отказаться от раздачи пути WPAD-записи посредством службы DNS, вместо чего настроить область DHCP для поддержки автоматического обнаружения, или отсключить блокирование запросов на записи типа WPAD в конфигурации DNS Server посредством использования команды dnscmd.
    Removing WPAD from DNS block list

    9 октября 2008 г. 7:10
  •  Artyom [d.raven] Sinitsyn написано:
    С настройками по умолчанию Windows Server 2008 DNS Server блокирует запросы на записи типа ISATAP и WPAD. Для решения данной проблемы у Вас есть два способа: отказаться от раздачи пути WPAD-записи посредством службы DNS, вместо чего настроить область DHCP для поддержки автоматического обнаружения, или отсключить блокирование запросов на записи типа WPAD в конфигурации DNS Server посредством использования команды dnscmd.
    Removing WPAD from DNS block list


     

    Спасибо! По поводу настройки области DHCP уже подумывал. Похоже это действительно выход...

    1 ноября 2008 г. 9:08
  • Если на предприятии уже развернут(ы) сервер(ы) с ролью DHCP и большинство пользовательских систем использует эти серверы для получения сетевых настроек, использование DHCP-областей для автоматической конфигурации клиентов ISA Server является хорошим решением.

    1 ноября 2008 г. 19:42
  • Забавно. У меня тоже самое на S2K3 SP2 R2... DHCP только есть одна проблема:

    DHCP настройка под номером 252 может использоваться для автоматической настройки веб прокси (Web Proxy) и брандмауэра клиентов. Для того, чтобы DHCP wpad метод заработал, компьютер с веб прокси или с брандмауэром клиента должен быть клиентом DHCP, а входящий пользователь должен быть членом группы локальных администраторов или группы Power users (для Windows 2000). В операционной системе Windows XP у группы Network Configuration Operators (операторов по сетевой настройке) также есть разрешение на выполнение DHCP запросов (DHCPINFORM сообщений).

    Так, что вариант с DHCP - отстой.

    ЗЫ. Я отрубил блокировку DNS запросов, с компов юзеров wpad резольвится, но вот если я пингую wpad имя с самого ISA сервера, то он возвращает какой-то инет ёп. Где я мог что-то пропустить? Хм... а по nslookup возвращает правельный локальный адрес...
    • Изменено Fafofu_old 23 июня 2009 г. 11:56
    23 июня 2009 г. 11:49
  • Посмотрите на ISA файл hosts, посмотрите кто на ISA прописан DNSом и уже на самом DNSе гляньте правильно ли там определена WPAD.  Эта запись так же может содежаться на WINS сервере, там тоже можете глянуть.

    Может быть и такое что у вас WPAD сделана как альяс и привязана к имени ISA сервера, а на самой ISA разрешена регистрация в DNS внешнего IP адреса.
    23 июня 2009 г. 12:53
  • Посмотрите на ISA файл hosts, посмотрите кто на ISA прописан DNSом и уже на самом DNSе гляньте правильно ли там определена WPAD.  Эта запись так же может содежаться на WINS сервере, там тоже можете глянуть.

    Может быть и такое что у вас WPAD сделана как альяс и привязана к имени ISA сервера, а на самой ISA разрешена регистрация в DNS внешнего IP адреса.

    Я думаю, от того, что на самом СИСе пингется не потому адресу ни на что влиять не будет. ДНСом на СИСя прописан вначале он сам потом главный ДНС сервер. Может мне из настроек внешнего адаптера убрать ДНС?
    На внешнем адаптере я галку убрал изначально. Впад сделан как CNAME... зачем мне лесть в хостс =) Винс сервера у мя ваще нет... если я ничего не путаю =) Спасибо за идеи, я писал, просто для истории, вдруг кто-то будет искать решение проблемы, это возможно ему поможет =)
    23 июня 2009 г. 15:50
  • Вообще то если ваша СИСЯ в домене, то первым у ней должен быть прописан DNS свер(ы) который способен разрешить ваши внутренние и внешние имена  (таким сервером,  к примеру, может выступать контроллер домена с настроенной пересылкой на вышестоящий DNS и т.д.) другие DNSы указывать не нужно.

    >зачем мне лесть в хостс
    когда ваша ось пытается разрешить какое либо имя она сначала смотрит в свой DNS кэш, потом смотрит файл hosts потом лезит на DNS сервер если и там не находит шарашить через NetBIOS.
    23 июня 2009 г. 17:12