<< Forefront UAG 2010: Propiedades de Configuración del Portal [III de III] | Forefront Protection Manager (FPE) no será lanzado >>

MS Forefront TMG 2010: Desbloqueo registro WPAD en Windows Server

by Admin 20. abril 2010 09:06

En Windows Server 2008 se produjeron cambios en el software del servicio DNS que se han replicado en las versiones anteriores de Windows tras la instalación de la actualización correspondiente al expediente MS09-008. Estos cambios pueden afectar a la configuración del servicio de descubrimiento automático del servidor Microsoft Forefront Threat Management Gateway TMG 2010, por parte del cliente firewall.

Dentro de la configuración de red se admite la posibilidad de conectar un cliente firewall para conexiones Socks con el servidor MS Forefront TMG 2010 y, aunque se admite la configuración manual del cliente para determinar el nombre del servidor con el cual conectarse, se emplea más frecuentemente el mecanismo de descubrimiento automático del servidor. Para ello hay que configurar el registro de Web Proxy Auto-Discovery, bien en el servidor DHCP o en el servidor DNS.

En el caso de utilizar un registro a través del servicio DNS, y en escenarios que intervengan los sistemas nombrados previamente, hay que tener en cuenta que Microsoft ha cambiado la funcionalidad tanto de este registro como la del registro ISATAP. Por motivos de seguridad, para evitar que cambios malintencionados en el DNS puedan reconducir tráfico de clientes proxy, se han bloqueado estos registros.

En el caso de haber creado el registro WPAD previamente a la instalación del parche de correspondiente al artículo MS09-008 en servidores Windows 2000 o 2003, el bloqueo no se realizará. Sin embargo, en el caso de Windows 2008 o en Windows 2003, donde se cree el registro posteriormente a la instalación del Kb, se deberá modificar la lista de bloqueados.

Para consultar si el bloqueo de consultas globales está habilitado, puede emplearse la siguiente sintaxis:

dnscmd /info /enableglobalqueryblocklist

Para mostrar los nombres de host de la lista de bloqueo actual, de empleará la siguiente sintaxis:

dnscmd /info /globalqueryblocklist

Figura 1: Lista de bloqueo activo y registros bloqueados

Para deshabilitar la lista de bloqueo se ejecutará el siguiente comando:

dnscmd /config /enableglobalqueryblocklist 0

Para eliminar todos los nombres de la lista de bloqueo, escriba lo siguiente:

dnscmd /config /globalqueryblocklist

Otra forma de modificar la lista de elementos bloqueados es a través del Registro de Windows. Para ello se podrá modificar la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

Figura 2: Registros bloqueados en el DNS

Deberán alterarse o eliminarse únicamente los valores correspondientes. Si se eliminase la clave GlobalQueryBlockList, en el siguiente inicio de la máquina, se crearía nuevamente con los valores por defecto.