I Windows Server 2008 har Microsoft gjort en del forandringer når det gjelder DNS. Noen av disse forandringene er “slått på” som standard, og det kan være greit å vite om disse i forkant.
Mange IT-miljøer har i dag en proxy server som kontrollerer tilgang til internett. Mange av disse bruker filer med regelsett som sendes ut til klientene for å fortelle dem hvordan de skal utføre kommunikasjonen med proxy-serveren. En mye brukt struktur på dette er såkalte WPAD-filer, som man finner brukt av et annet Microsoft-produkt – nemlig Internet Security and Acceleration (ISA) Server.
Hvis du har en infrastruktur som bruker wpad og er i ferd med å rulle ut Windows Server 2008 DNS-servere, er det greit å vite på forhånd om globale blokkeringslister.
Navnet sier alt, og fra Microsoft sin side er det lagt inn to standard blokkeringer: En for WPAD og en for ISATAP. For å tillate fortsatt bruk av WPAD må denne fjernes fra “globalqueryblocklist”, noe man kan gjøre igjennom kommandolinje. Denne kommandoen må kjøres på hver server som har DNS-rollen installert, og som brukes aktivt i infrastrukturen.
Eksemplet under fjerner WPAD, men beholder isatap fra blokkeringslisten:
dnscmd /config /globalqueryblocklist isatap
Videre har Microsoft innført en ny innstilling som skal hindre forurensning av DNS chachen, denne innstillingen er også standard slått på.
Uansett så lenge man bruker en sikker DNS infrastruktur der bare autoriserte brukere får lov til å oppdatere DNS, så vil ikke dette være det helt grensesprengede. Altså at f.eks DHCP konfigureres til å oppdatere både “forward” og “reverse” DNS innslag for klient, mens for servere med statisk IP lar man de selv oppdatere så lenge man klarer å issolere de i egne subnett. Ellers må man bruke DHCP reservasjon på de hvis de skal sameksistere med klienter i samme subnett. Ulempen med sikker oppdatering av DNS-soner er at bare klienter som er medlem av AD har rettigheter til å etablere og endre DNS innslag.
I de tilfeller der man ikke har tilpasset DNS designet som i eksempelet over, så kan det oppstå tilfeller der denne nye instillingen kan skape problem.
