Windows Server 2008 中的 DNS 服务器角色引入了一个全局查询阻止列表,可减少与 DNS 动态更新协议相关的漏洞。

如果要对 DNS 使用 WPAD,请注意以下事项:

  • 如果在 Windows Server 2008 中升级 DNS 服务器之前已经在 DNS 中配置了 WPAD 条目,则无需执行任何操作。

  • 如果在运行 Windows Server 2008 的服务器上部署 DNS 服务器角色之后配置或删除了 WPAD,则必须对承载区域受此更改影响的所有 DNS 服务器上的阻止列表进行更新。受影响区域为注册 WPAD 服务器时所在的区域。

第一种方法:

使用 dnscmd 命令行工具可管理全局查询阻止列表。打开命令行提示符,然后执行下列操作:

  1. 若要检查是否启用了全局查询阻止,请键入下列命令:
    dnscmd /info /enableglobalqueryblocklist

  2. 若要显示当前阻止列表中的主机名,请键入下列命令:
    dnscmd /info /globalqueryblocklist

  3. 若要禁用阻止列表并确保 DNS 服务器服务不会忽略对阻止列表中名称的查询,请键入下列命令:
    dnscmd /config /enableglobalqueryblocklist 0

  4. 若要启用阻止列表并确保 DNS 服务器服务忽略对阻止列表中名称的查询,请键入下列命令:
    dnscmd /config /enableglobalqueryblocklist 1

  5. 若要从阻止列表中删除所有名称,请键入下列命令:
    dnscmd /config /globalqueryblocklist

  6. 若要将当前阻止列表替换为您所指定的名称列表,请键入下列命令:
    dnscmd /config /globalqueryblocklist name [name]…

第二种方法:

  1. 单击“开始”,键入 regedit.exe,然后按 Enter。

  2. 在控制台树中,打开Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

  3. 在细节窗格中,双击“GlobalQueryBlockList”值。

  4. 在“编辑多字符串”对话框中,从列表中删除名称“wpad”,然后单击“确定”。

  5. 以管理员身份启动命令提示符

  6. 在命令提示符窗口中,运行以下命令:

    net stop dns

    net start dns