DNS-forespørgsler, der sendes på tværs af en firewall, bruger ikke tilfældige kildeporte, når du har installeret sikkerhedsopdatering 953230 (MS08-037)

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 956190 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

Symptomer

Når du har installeret sikkerhedsopdatering 953230 (MS08-037) på en Microsoft Windows-baseret computer, bruger DNS-forespørgsler (Domain Name System), der sendes fra computeren på tværs af en firewall, ikke tilfældige kildeporte.

Årsag

Denne funktionsmåde indtræffer, fordi NAT-enheder (Network Address Translation) ændrer kilde- og destinations-IP-adresserne. Disse enheder ændrer også ofte kildeporten for at undgå ressourcekonflikter, der kan opstå, når flere interne værter forsøger at sende trafik ved hjælp af samme kildeport. Da mange moderne firewalls rent faktisk standser udgående trafik internt og opretter nye eksterne sokler til NAT, kan disse firewalls ikke bruge identiske kildeporte på samme eksterne IP uden at skabe en konflikt. Disse firewalls bruger derfor den sekventielle porttildeling til trafikken fra NAT. De tilfældige porte, der bruges af den opdaterede DNS-løsning, kan ses eksternt, som om de bruger de sekventielle porttildelinger, også efter at sikkerhedsopdatering 953230 er anvendt på den interne NAT-vært.

Løsning

Du kan løse problemet ved at bruge en af følgende metoder:
  • Opret en distribueret netværksrelation mellem DNS-serveren og internettet. De tilknyttede funktioner og metoder afhænger af den firewallteknologi, der bruges. Det kan være nødvendigt at flytte DNS-serveren til et andet undernet, så relationen mellem serveren og internettet ikke længere bruger NAT.
  • Hvis du har en enkelt DNS-server, kan du implementere en delt DNS-løsning i Windows Server 2003- eller Windows Server 2008 DNS-tjenester. I dette scenario skal DNS-serveren være tilgængelig fra to IP-adresser. Den ene IP-adresse er intern, og den anden er ekstern i forhold til NAT-servernetværket. Interne arbejdsstationer udfører forespørgsler til DNS-serveren. Hvis du har installeret sikkerhedsopdatering 953230, bruger DNS-serveren randomisering af porte til at videresende eksterne forespørgsler til andre DNS-servere.

    Det kan du gøre ved at åbne DNS-administrationsværktøjet, klikke på serveren og derefter dobbeltklikke på Forwarders. Klik på fanen Forwarders, og konfigurer derefter indstillingen All Other DNS Domains. Serveren videresender derefter automatisk enhver forespørgsel til DNS-domæner, som serveren ikke håndterer, til de servere, der er anført på listen over det valgte domænes IP-adresse til videresendelse. Føj upstreamudbyderens DNS-servere til denne liste.

    De interne arbejdsstationer skal konfigureres til at bruge den interne IP-adresse for DNS-serveren. Den kan angives manuelt eller ved hjælp af DHCP-indstillinger (Dynamic Host Configuration Protocol).

    Bemærk! Når der bruges en enkelt DNS-server i en delt DNS-løsning, kan kunder drage fordel af randomisering af DNS-porte. Med denne konfiguration tilføjes der dog en sti fra internettet til firma- eller lokalnetværket. Denne konfiguration kan øge risikoen for trusler fra internettet.
  • Du kan også konfigurere en delt DNS-løsning til at bruge to servere i stedet for én. I dette scenario er den ene af DNS-serverne ekstern i forhold til det netværk, der indeholder NAT-serveren, og den anden er intern i forhold til det netværk, der indeholder NAT-serveren. Konfigurer den interne server som beskrevet i scenariet med en enkelt DNS-server, men angiv adressen til den eksterne DNS-server på listen over IP-adresser til videresendelse i stedet for at angive upstreamudbyderen. Da den eksterne DNS-server findes uden for det netværk, der indeholder NAT-serveren, forstyrres randomisering af porte ikke.
  • Kontakt leverandøren af firewalls for at se, om der er planlagte opdateringer til firewallproduktet.

Yderligere Information

Du kan finde flere oplysninger ved at klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
953230 MSN-037: Sikkerhedsrisici i DNS kan tillade efterligning af identitet (spoofing)
812873 Sådan reserveres et antal midlertidige porte på en computer, som kører Windows Server 2003 eller Windows 2000 Server. Artiklen er evt. på engelsk.
956188 Du kan opleve problemer med UDP-afhængige netværkstjenester, når du har installeret sikkerhedsopdatering 953230 til DNS-servertjenesten (MS08-037)
956187 Microsoft Security Advisory: Øget sikkerhedsrisiko for efterligning af identitet i DNS (spoofing)
956189 Visse tjenester starter måske ikke eller fungerer måske ikke korrekt på en computer, der kører Windows SBS, når du har installeret sikkerhedsopdatering 953230 til DNS-serveren (MS08-037)

Egenskaber

Artikel-id: 956190 - Seneste redigering: 31. juli 2008 - Redigering: 1.1
Oplysningerne i denne artikel gælder:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 på følgende platforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 på følgende platforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 på følgende platforme
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Nøgleord: 
kbexpertiseinter kbtshoot KB956190

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com