我在无法访问互联网的私有网络上使用 Windows 客户端和服务器系统。问题是,许多程序(如 Subversion)会导致 Windows 尝试连接到 www.download.windowsupdate.com 以下载名为“authrootstl.cab”的文件。直接的结果是,许多使用 SSL 的程序(如 Subversion)在尝试解析此主机时会阻塞五到十秒钟(它永远不会这样做)。
我尝试将此主机设置为 127.0.0.1 或 C:\Windows\System32\Drivers\Etc\hosts 文件中的其他 IP 地址,但它仍尝试在 DNS 中查找它,并且我假设它出于安全原因绕过了 hosts 文件。
除了将虚拟条目放入 DNS 服务器(我无法做到这一点)之外,我还能尝试哪些其他方法来阻止或阻止这种情况?
答案1
好吧,如果您无法触及官方 DNS,也许您可以安装一个代理 DNS(在您的工作站上),该代理 DNS 具有针对 www.download.windowsupdate.com 的虚假条目(例如指向 127.0.0.1),并且会将所有其他请求重定向到真正的 DNS。
答案2
为了确保问题确实是一个解决方案的问题,您可以启用 DNS 客户端日志(DNS 客户端是 Windows 上的一项服务)。
为此,请访问:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\LogFilePath
并且可选地
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\LogFileMaxSize
然后看看 Subversion 客户端在该日志中做了什么。为了确保它确实绕过了 hosts 文件,请与手册的结果进行比较:
nslookup -d2 www.download.windowsupdate.com
答案3
我过去使用过的一个聪明的解决方案是推出不存在的 WSUS 服务器的 GPO 或注册表设置。然后机器将停止向 Microsoft 请求更新,而是无法查询您丢失的服务器。这不是一个干净的解决方案,但它可以完成工作。
顺便说一句,您确实应该有一个 WSUS 服务器。