problème DNS [resolu]

[nina74]

bonjour,

Ayant installé le service DNS sur un serveur 2008, j'ai entré manuellement l'entrée permettant de trouver ISA serveur. Pour cela j'ai crée un alias WPAD pointant sur mon par-feu. Ayant constaté un problème pour découvrir automatiquement mon par-feu. J'ai constaté ce problème dans les evenements DNS:

Code: Tout sélectionner

La liste rouge de requêtes globale est une fonctionnalité qui permet d’empêcher les attaques sur votre réseau en bloquant les requêtes DNS pour des noms d’hôte spécifiques. Cette fonctionnalité a entraîné l’échec d’une requête du serveur DNS avec le code d’erreur ERREUR DE NOM pour WPAD.rumilly.int. même si les données de ce nom DNS existent dans la base de données DNS. D’autres requêtes dans les zones d’autorité locales pour d’autres noms commençant par des étiquettes de la liste rouge échoueront également, mais aucun événement ne sera consigné lorsque d’autres requêtes seront bloquées jusqu’au redémarrage du service Serveur DNS sur cet ordinateur. Consultez la documentation du produit pour obtenir plus d’informations sur cette fonctionnalité et des instructions de configuration.

Vous trouverez ci-dessous la liste rouge de requêtes globale actuelle (cette liste peut être tronquée dans cet événement si elle est trop longue) :
wpad
isatap

Pour plus d'informations, consultez le centre Aide et support à l'adresse


C'est la première fois que je rencontre ce type de problème et je ne sais comment le résoudre...

[oussema]

Bonjour,

Les protocoles comme WPAD utilisent la fonction de mise à jour dynamique des enregistrement DNS, cette fonction permet aux ordinateurs client DNS de se faire inscrire dynamiquement pour mettre à jour les enregistrement DNS ce quid rend les clients vulnérables aux détournements par exemple un utilisateur malveillant pourrait enregistrer un ordinateur comme un serveur WPAD et y rediriger toutes les requête de WPAD. Aucune intervention d'administrateur système n'est exigée.

pour réduire ce risque de vulnérabilité une liste rouge de requêtes globale (global query block list) a été conçu dans Windows Server 2008 « Rôle Serveur DNS », donc après avoir configuré WPAD dans le Serveur DNS de Windows server 2008 vous devez mettre à jour la liste rouge de requête globale (global query block list) sur tous les serveurs de DNS qui hébergent les zones affectées par le changement.
Exécutez la commande

Code: Tout sélectionner

dnscmd/config/globalqueryblocklist  name

pour mettre à jour la liste rouge, qui enlève le nom correspondant.

Par exemple, si vous déployez WPAD dans votre réseau et vous enregistrez un serveur nommé WPAD dans une zone, vous devez exécuter la commande suivante sur tous les serveurs de DNS qui sont autorisés pour cette zone :

Code: Tout sélectionner

Dnscmd/config/globalqueryblocklist ISATAP

Cette commande remplace la liste rouge existante d'une liste qui contient seulement le nom isatap. Cela enlève wpad de la liste rouge par défaut.
Avant que vous ne remplaciez la liste de bloc, vous devriez exécuter la commande

Code: Tout sélectionner

dnscmd /info /globalqueryblocklist

pour voir le contenu actuel de la liste rouge

@+

[nina74]

super merci

Dommage que lesinfos sont rares sur ces nouveautées!!!