שאילתות DNS שנשלחות מעבר לחומת אש לא עושות שימוש ביציאות מקור אקראיות לאחר התקנת עדכון האבטחה 953230 (MS08-037)

תרגומי מאמרים תרגומי מאמרים
Article ID: 956190 - View products that this article applies to.
הרחב הכל | כווץ הכל

מאפייני הבעיה

לאחר התקנת עדכון האבטחה 953230 ?(MS08-037) במחשב מבוסס Microsoft Windows, שאילתות של מערכת שמות תחומים (DNS) שנשלחות מהמחשב מעבר לחומת אש לא משתמשות ביציאות מקור אקראיות.

סיבה

אופן פעולה זה מתרחש כיוון שהתקני תרגום כתובות רשת (NAT) משנים את כתובות ה-IP של המקור והיעד. התקנים אלה עשויים לעתים קרובות לשנות את יציאת המקור כדי להימנע מהתנגשויות מקור שעשויות להתרחש כאשר מארחים פנימיים מרובים מנסים לשלוח תנועה על ידי שימוש באותה יציאת מקור. כיוון שחומות אש מודרניות רבות עוצרות למעשה באופן פנימי את התנועה היוצאת ויוצרות sockets חיצוניים חדשים עבור NAT, חומות האש לא יכולות להשתמש ביציאות מקור זהות באותה כתובת IP חיצונית מבלי ליצור התנגשות. לפיכך, משתמשות חומות האש בהקצאת יציאות סדרתית עבור התנועה מ-NAT. היציאות האקראיות שבהן משתמש פותרן ה-DNS המעודכן עשויות להיראות באופן חיצוני כמשתמשות בהקצאות יציאות סדרתיות גם לאחר שעדכון האבטחה 953230 הוחל על מארח NAT הפנימי.

פתרון הבעיה

כדי לפתור בעיה זו, היעזר באחת מהשיטות הבאות:
  • צור קשרי רשת המנותבים בין שרת ה-DNS ובין האינטרנט. היכולת והמתודולוגיה לכך תלויים בטכנולוגיית חומת האש שבשימוש. אלה עשויות לדרוש את שינוי מיקומו של שרת ה-DNS לרשת משנה שונה כך שקשרי הגומלין בין השרת ובין האינטרנט לא ישתמשו עוד ב-NAT.
  • אם ברשותך שרת DNS יחיד, תוכל ליישם פתרון DNS מפוצל בשירותי DNS של Windows Server 2003 או Windows Server 2008. בתרחיש זה, שרת ה-DNS חייב להיות זמין משתי כתובות IP. כתובת IP אחת היא פנימית והשנייה חיצונית לרשת שרת ה-NAT. תחנות עבודה פנימיות מבצעות שאילתות מול שרת ה-DNS. אם התקנת את עדכון אבטחה 953230, שרת ה-DNS משתמש באקראיות של היציאות כדי להעביר בקשות זרות לשרתי DNS אחרים.

    לשם כך, פתח את הכלי הניהולי של DNS, לחץ על השרת ולאחר מכן לחץ פעמיים על רכיבי העברה. לחץ על הכרטיסיה רכיבי העברה ולאחר מכן קבע את התצורה של האפשרות כל תחומי DNS האחרים. השרת יעביר לאחר מכן באופן אוטומטי כל בקשה לתחומי DNS שהשרת אינו מטפל בהם לשרתים הרשומים ברשימת 'כתובת IP של רכיב העברה של תחום נבחר'. הוסף שרתי DNS של ספק במעלה לרשימה זו.

    יש לקבוע את תצורתן של תחנות העבודה הפנימיות כך שישתמשו בכתובת ה-IP הפנימית של שרת ה-DNS שלך. ניתן לקבוע אותן באופן ידני או על ידי שימוש באפשרויות Dynamic Host Configuration Protocol ?(DHCP).

    הערה שימוש בשרת DNS יחיד בפתרון DNS מפוצל מעניק ללקוחות את היתרונות של אקראיות יציאות DNS. עם זאת, תצורה זו מוסיפה נתיב מהאינטרנט אל הארגון או הרשת המקומית שלך. תצורה זו יכולה להגדיל את החשיפה לאיום מהאינטרנט.
  • באפשרותך גם לקבוע את התצורה של פתרון DNS מפוצל כך שישתמש בשני שרתים במקום באחד. בתרחיש זה, אחד משרתי ה-DNS שלך הוא חיצוני לרשת ומכיל את שרת ה-NAT שלך, והשני הוא פנימי ברשת שמכילה את שרת ה-NAT. קבע את תצורת השרת הפנימי כפי שתואר בתרחיש שרת DNS יחיד, אך רשום את הכתובת של שרת ה-DNS החיצוני ברשימת כתובת ה-IP של רכיב ההעברה במקום לרשום את הספק במעלה. מכיוון ששרת ה-DNS החיצוני שוכן מחוץ לרשת המכילה את שרת ה-NAT, אקראיות היציאות אינה מופרעת.
  • פנה לספק חומת האש כדי לראות אם מתוכננים עדכונים למוצר חומת האש שלו.

מידע נוסף

לקבלת מידע נוסף, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
953230 MS08-037: פגיעויות ב- DNS עלולות לאפשר זיופים
812873 כיצד לשמור טווח של יציאות ארעיות במחשב שבו פועל Windows Server 2003 או Windows 2000 Server (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
956188אתה נתקל בבעיות בשירותי רשת תלויי-UDP לאחר התקנת עדכון אבטחה 953230 (MS08-037) לשירות DNS Server
956187עלון יידוע של Microsoft בנושא אבטחה: איום מוגבר עבור הפגיעות של DNS מפני זיופים
956189ייתכן שחלק מהשירותים לא יופעלו או שלא יפעלו כראוי במחשב שבו מופעל Windows SBS לאחר התקנת עדכון האבטחה 953230 (MS08-037) של DNS Server

מאפיינים

Article ID: 956190 - Last Review: יום חמישי 31 יולי 2008 - Revision: 1.1
המידע במאמר זה חל על:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2, הפועל עם:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1, הפועל עם:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3, הפועל עם:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2, הפועל עם:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4, הפועל עם:
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
מילות מפתח 
kbexpertiseinter kbtshoot KB956190

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com