# DNS & Proxy Deep Dive: Konnektivität für Enterprise-Clients

TL;DR / Management Summary DNS und Proxy-Einstellungen sind die “Leitplanken” des Internetverkehrs. Wir nutzen die Name Resolution Policy Table (NRPT) für DNSSEC und VPN-Tunneling, sowie PAC-Dateien (Proxy Auto-Config) via WPAD für einen flexiblen Web-Zugriff. Ein Senior Admin verlässt sich nicht auf statische Proxys, sondern baut resiliente Architekturen, die zwischen Home-Office und Büro unterscheiden können.

# 1. Einführung & Architektur

Die Suche nach der IP.

# DNS-Mechanismen in Windows

Windows nutzt den DNS-Client-Dienst (dnscache). Dieser fragt Server in einer festen Reihenfolge ab und cached Ergebnisse lokal, um die Performance zu steigern.

# Proxy-Mechanismen

Es gibt zwei Welten:

1. WinINet: Genutzt von Edge, Internet Explorer und vielen Desktop-Apps.
2. WinHTTP: Genutzt von System-Diensten (z.B. Windows Update, PowerShell Invoke-WebRequest).

# Architektur-Übersicht (Mermaid)

graph TD
    APP[Application] -->|Query| DNS_CACHE[DNS Client Service]
    DNS_CACHE -->|Check| NRPT[Name Resolution Policy Table]
    NRPT -->|Rule Match| SPEC_DNS[Special DNS / VPN]
    NRPT -->|No Match| DEF_DNS[Global DNS / DHCP]
    
    APP -->|HTTP Request| PROXY_LOGIC{Proxy required?}
    PROXY_LOGIC -->|Yes| WPAD[WPAD / PAC File]
    WPAD -->|Return| PROXY_SRV[Proxy Server]
    PROXY_LOGIC -->|No| DIRECT[Direct Connection]

# 2. DNS-Management in der Praxis

Sicherheit durch Richtlinien.

# NRPT (Name Resolution Policy Table)

Mit der NRPT können Sie steuern, wie bestimmte DNS-Suffixe aufgelöst werden.

• Anwendungsfall: Alle Anfragen für *.internal.firma.de müssen über den VPN-DNS-Server laufen, während google.de über den lokalen ISP gehen kann.
• Konfiguration (GPO): Computerkonfiguration -> Windows-Einstellungen -> Namensauflösungsrichtlinie.

# DNS over HTTPS (DoH) via PowerShell

Aktivieren Sie verschlüsseltes DNS systemweit:

# DNS-Server mit DoH-Template hinzufügen
Add-DnsClientNrptRule -Namespace "." -DnsSecValidationRequired -DnsSecIPsecRequired
# (In Win11 besser via Set-DnsClientServerAddress -Type Encrypted)

# 3. Proxy-Konfiguration: WPAD & PAC

Automatisierung des Web-Zugriffs.

Ein statischer Proxy-Eintrag (proxy:8080) führt zu Problemen, wenn der User im Home-Office ist.

# PAC-Dateien (JavaScript)

Eine PAC-Datei erlaubt Logik:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) || dnsDomainIs(host, ".firma.de"))
        return "DIRECT";
    return "PROXY proxy.firma.de:8080; DIRECT";
}

# WPAD (Web Proxy Auto-Discovery)

Clients finden die PAC-Datei automatisch via DNS:

• Der Client sucht nach dem Host wpad.firma.de und lädt http://wpad.firma.de/wpad.dat.
• Wichtig: Aus Sicherheitsgründen ignorieren moderne Windows-Versionen WPAD via DHCP (Option 252) oft, DNS-Einträge sind zuverlässiger.

# 4. Day-2 Operations: WinHTTP vs. WinINet

Warum Windows Update nicht funktioniert.

Oft ist der User-Proxy konfiguriert, aber System-Updates schlagen fehl. Grund: System-Dienste nutzen WinHTTP.

# WinHTTP Proxy setzen

# Zeigt aktuellen WinHTTP Proxy
netsh winhttp show proxy

# Importiert die Einstellungen vom User (Internet Explorer)
netsh winhttp import proxy source=ie

# Manuell setzen
netsh winhttp set proxy "proxy.firma.de:8080" "<local>;*.firma.de"

# 5. Troubleshooting & “War Stories”

Wenn der Hostname nicht aufgelöst wird.

# Top 3 Fehlerbilder

1. Symptom: DNS-Auflösung geht in der CMD (nslookup), aber nicht im Browser.

   • Ursache: nslookup nutzt seinen eigenen Resolver, der Browser nutzt den Windows DNS-Cache.
   • Lösung: ipconfig /flushdns und Prüfung der Hosts-Datei (C:\Windows\System32\drivers\etc\hosts).

2. Symptom: PAC-Datei wird ignoriert.

   • Ursache: MIME-Type am Webserver falsch konfiguriert.
   • Lösung: Der Server muss application/x-ns-proxy-autoconfig für .dat und .pac Files senden.

3. Symptom: Endloser “Authentifizierung erforderlich” Prompt am Proxy.

   • Ursache: Kerberos-Authentifizierung schlägt fehl (FQDN vs. IP).
   • Lösung: Proxy-Host im Credential Manager hinterlegen oder SPNs im AD prüfen.

# “War Story”: Der DNS-Loop

Wir hatten einen Fall, bei dem ein falsch konfiguriertes VPN-Client-Profil die NRPT-Regel . (alles) auf den Tunnel-DNS bog. Sobald der Tunnel stand, versuchte der Client, die Adresse des VPN-Gateways selbst über den Tunnel-DNS aufzulösen – den er aber ohne stehenden Tunnel nicht erreichen konnte. Lehre: Definieren Sie NRPT-Regeln immer so spezifisch wie möglich. Nutzen Sie niemals den Wildcard . für interne Suffixe in der NRPT.

# 6. Monitoring & Auditing

Integrität der Namensauflösung.

# DNS-Query Logging

Aktivieren Sie das DNS-Client-Log (via Event Viewer), um zu sehen, welche IP-Adressen Ihre Clients anfragen. Dies ist ein Frühwarnsystem für Malware (C2-Communication).

# 7. Fazit & Empfehlung

DNS und Proxy sind kritische Pfade.

• Empfehlung: Nutzen Sie PAC-Dateien. Sie bieten die nötige Flexibilität für mobile Arbeitsplätze.
• Sicherheit: Implementieren Sie DNSSEC via NRPT, um Cache-Poisoning Attacken zu verhindern.

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: Name Resolution Policy Table
• FindProxyForURL.com - The unofficial guide to PAC files
• DNSSEC in Windows Documentation