DNS全域查詢阻止列表對TMG中的WPAD部署的影響

Windows Server 2008 中的 DNS 伺服器角色引入了一個全域查詢阻止列表，可減少與 DNS 動態更新協議相關的漏洞。這可能會影響 WPAD 部署？

之前在測試TMG單網卡模式下，使用自動檢測功能時發現無法ping通wpad.testdomain.com，且用戶端自動檢測無法查詢到此別名記錄，但是實際上該配置已經生效，想了好久沒有找到問題的原因，後來經查詢原因為DNS全域查詢阻止列表搞的鬼，

如何取消DNS全域查詢阻止列表呢？其實也不是太難，只要在DNS伺服器上運行 dnscmd testdc.testdomain.com /config /enableglobalqueryblocklist 0 解除封鎖列表後可以正常解析wpad.vancltestdomain.com，但是用戶端並不能立即生效，需要等一會兒才能檢測到，全域查詢阻止列表功能好，但是也害得我晚上沒能早早睡著，爬起來研究了半天才發現原來TMG還有這麼個地方和ISA不同的，不過最終明白了，心情很happy的還是。

dnscmd testdc.testdomain.com /config /enableglobalqueryblocklist 0 這一段主要做什麼用的呢？我整理了一下：

dnscmd [<ServerName>] /config /enableglobalqueryblocklist 0|1 這個就是上邊這段命令的格式模版，具體參數選擇如下：

dnscmd ：用於管理 DNS 伺服器的命令列工具

<ServerName>：指定 DNS 伺服器的 DNS 主機名稱。還可以鍵入 DNS 伺服器的 IP 位址。若要指定本機電腦上的 DNS 伺服器，還可以鍵入句點 (.) 或省略主機名稱

/config ：必選條目用於修改 DNS 伺服器的配置

/enableglobalqueryblocklist：必選條目，用於定啟用或禁用全域查詢阻止列表的命令

更多精彩內容：http://www.bianceng.cnhttp://www.bianceng.cn/Servers/DNS/

0|1:指定是否啟用或禁用全域查詢阻止列表。如果需要 DNS 伺服器服務以忽略查詢阻止列表中的名稱，則將該命令的值設定為 1。如果需要禁用全域查詢阻止列表，則將該值設定為 0

若要確定全域查詢阻止列表是否已啟用，請在命令提示字元處鍵入以下命令：

dnscmd <ServerName> /info /enableglobalqueryblocklist

果命令返回的值為 1，則表示已啟用全域查詢阻止列表。如果命令返回的值為 0，則表示未啟用全域查詢阻止列表。

之前一直在忙，沒有時間把這些學到的分享出來，今天晚上整理了一下，分享一下，嘻嘻~Winking smile

本文出自 “笨鳥先飛” 部落格，請務必保留此出處http://tingdongwang.blog.51cto.com/1056852/676432