セキュリティ更新プログラム 953230 (MS08-037) のインストール後、ファイアウォールを経由して送信される DNS クエリにランダム ソース ポートは使用されない

文書翻訳 文書翻訳
文書番号: 956190 - 対象製品
すべて展開する | すべて折りたたむ

現象

Microsoft Windows ベースのコンピュータにセキュリティ更新プログラム 953230 (MS08-037) をインストールした後、そのコンピュータからファイアウォールを経由して送信されるドメイン ネーム システム (DNS) クエリにランダム ソース ポートは使用されません。

原因

この動作が発生する理由は、ネットワーク アドレス変換 (NAT) デバイスが送信元 IP アドレスおよび送信先 IP アドレスを変更したためです。また、NAT デバイスは、リソースの競合を避けるためにソース ポートを頻繁に変更します。リソースの競合は、複数の内部ホストが同じソース ポートを使用してトラフィックを送信する場合に発生することがあります。最近のファイアウォールの多くは、送信トラフィックを内部で実際に停止して NAT 用の新しい外部ソケットを作成するので、ファイアウォールが同じ外部 IP で同じソース ポートを使用すると、競合が発生します。そのため、ファイアウォールは NAT から送信されるトラフィックに対して順次ポート割り当てを使用します。更新した DNS リゾルバが使用しているランダム ポートは、内部 NAT ホストにセキュリティ更新プログラム 953230 を適用した後も、外部からは順次ポート割り当てを使用していると見られることがあります。

解決方法

この問題を解決するには、以下のいずれかの方法を使用します。
  • DNS サーバーとインターネットの間に、ルーティング ネットワーク関係を作成します。そのための機能と方法は、使用しているファイアウォール技術によって異なります。サーバーとインターネット間の関係に NAT が使用されないように、DNS サーバーを他のサブネットに再配置することが必要な場合があります。
  • 単一の DNS サーバーを使用している場合は、Windows Server 2003 サービスまたは Windows Server 2008 DNS サービスに分割 DNS ソリューションを実装できます。この場合、DNS サーバーを 2 つの IP アドレスから使用できる必要があります。そのうちの 1 つの IP アドレスは NAT サーバー ネットワークに対して内部のアドレスで、もう 1 つは外部のアドレスです。内部のワークステーションは DNS サーバーに対してクエリを実行します。セキュリティ更新プログラム 953230 をインストールしていれば、DNS サーバーはポート ランダム化の技術を使用して外部要求を他の DNS サーバーに転送します。

    これを行うには、DNS 管理ツールを開き、サーバーをクリックして、[フォワーダ] をダブルクリックします。[フォワーダ] タブをクリックし、[ほかのすべてのドメイン] オプションを構成します。これで、サーバーが処理しない DNS ドメインへの要求は、選択されたドメイン フォワーダの IP アドレスの一覧に示されているサーバーに自動的に転送されます。アップストリーム プロバイダの DNS サーバーをこの一覧に追加してください。

    内部のワークステーションは、DNS サーバーの内部 IP アドレスを使用するように構成する必要があります。この構成は、手動で設定するか、動的ホスト構成プロトコル (DHCP) オプションを使用して設定できます。

    : 分割 DNS ソリューションで単一の DNS サーバーを使用すると、DNS ポート ランダム化の利点が得られます。ただし、この構成を使用すると、インターネットから企業ネットワークまたはローカル ネットワークへの経路が追加されます。この構成によって、インターネットの脅威に対する危険度が高まる可能性があります。
  • 1 つではなく 2 つのサーバーを使用するように分割 DNS ソリューションを構成することもできます。この場合、DNS サーバーの 1 つは NAT サーバーを含むネットワークの外部にあり、もう 1 つは NAT サーバーを含むネットワークの内部にあります。単一の DNS サーバーの場合の説明に従って内部サーバーを構成してください。ただし、フォワーダ IP アドレス一覧にはアップストリーム プロバイダを追加するのではなく、外部 DNS サーバーのアドレスを追加します。外部 DNS サーバーは NAT サーバーを含むネットワークの外側に位置するので、ポート ランダム化は中断されません。
  • ファイアウォール製品に更新が予定されているかどうかをファイアウォール ベンダに問い合わせて確認してください。

詳細

関連情報を参照するには、以下の「サポート技術情報」(Microsoft Knowledge Base) をクリックしてください。
953230 MS08-037: DNS の脆弱性により、なりすましが行われる
812873 Windows Server 2003 または Windows 2000 Server を実行しているコンピュータで ephemeral ポート範囲を予約する方法。
956188 DNS サーバー サービスのセキュリティ更新プログラム 953230 (MS08-037) をインストールした後、UDP に依存するネットワーク サービスで問題が発生する
956187 マイクロソフト セキュリティ アドバイザリ: DNS のなりすましの脆弱性に対する脅威の増加
956189 DNS Server セキュリティ更新プログラム 953230 (MS08-037) をインストールした後に Windows SBS が動作しているコンピュータで一部のサービスが正常に起動または動作しないことがある

プロパティ

文書番号: 956190 - 最終更新日: 2008年8月1日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4?を以下の環境でお使いの場合
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional
キーワード:?
kbexpertiseinter kbtshoot KB956190
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com