DNS-query's die door een firewall heen worden verzonden, gebruiken geen willekeurige bronpoorten nadat u beveiligingsupdate 953230 (MS08-037) hebt geïnstalleerd

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 956190 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Symptomen

Nadat u beveiligingsupdate 953230 (MS08-037) op een Microsoft Windows-computer hebt geïnstalleerd, gebruiken DNS-query's (Domain Name System) die vanaf de computer door een firewall heen worden verzonden, geen willekeurige bronpoorten.

Oorzaak

Dit gedrag doet zich voor omdat NAT-apparaten (Network Address Translation) de bron- en doel-IP-adressen wijzigen. Deze apparaten wijzigen ook vaak de bronpoort om te voorkomen dat er conflicten met de bron ontstaan wanneer meerdere interne hosts netwerkverkeer proberen te verzenden met behulp van dezelfde bronpoort. Aangezien veel moderne firewalls het uitgaande verkeer feitelijk intern stoppen en nieuwe externe sockets maken voor NAT, kunnen de firewalls geen identieke bronpoorten op hetzelfde externe IP-adres gebruiken zonder een conflict te veroorzaken. De firewalls gebruiken daarom de sequentiële poorttoewijzing voor het verkeer dat afkomstig is van de NAT. De willekeurige poorten die door de bijgewerkte DNS-resolver worden gebruikt, lijken, van buitenaf gezien, sequentiële poorttoewijzingen te gebruiken, zelfs nadat beveiligingsupdate 953230 op de interne NAT-host is toegepast.

Oplossing

U kunt dit probleem op een van de volgende manieren oplossen:
  • U kunt een gerouteerde netwerkverbinding maken tussen de DNS-server en internet. Of en hoe dit mogelijk is, hangt af van de gebruikte firewall-technologie. Mogelijk is het nodig dat de DNS-server naar een ander subnet wordt verplaatst, zodat de verbinding tussen de server en internet niet langer gebruikmaakt van NAT.
  • Als u over één DNS-server beschikt, kunt u een gesplitste DNS-oplossing implementeren in DNS-services in Windows Server 2003 of Windows Server 2008. In dit scenario moet de DNS-server beschikbaar zijn vanaf twee IP-adressen. Het ene IP-adres is intern en het andere is extern ten opzichte van het NAT-servernetwerk. Interne werkstations voeren query's uit op de DNS-server. Als u beveiligingsupdate 953230 hebt geïnstalleerd, kiest de DNS-server willekeurige poorten voor het doorsturen van externe verzoeken aan andere DNS-servers.

    Open hiertoe het beheerprogramma van DNS, klik op de server en dubbelklik vervolgens op Doorstuurservers. Klik op het tabblad Doorstuurservers en configureer vervolgens de optie Alle andere DNS-domeinen. De server stuurt vervolgens alle verzoeken voor DNS-domeinen die de server niet verwerkt, door naar de servers die zijn opgegeven in de IP-adreslijst van de doorstuurserver in het geselecteerde domein. Voeg de DNS-servers van de hoger gelegen provider aan deze lijst toe.

    Configureer de interne werkstations zodanig dat deze het interne IP-adres van uw DNS-server gebruiken. U kunt dit handmatig instellen of u kunt de DHCP-opties (Dynamic Host Configuration Protocol) gebruiken.

    Opmerking Het gebruik van één DNS-server in een gesplitste DNS-oplossing biedt gebruikers het voordeel van willekeurig gebruik van poorten door DNS. Deze configuratie biedt echter wel toegang vanaf internet tot uw bedrijfs- of lokale netwerk. Deze configuratie kan daarom het risico van bedreigingen vanaf internet verhogen.
  • U kunt ook een gesplitste DNS-oplossing configureren waarbij twee servers worden gebruikt in plaats van één server. In dit scenario bevindt één van uw DNS-servers zich extern en één DNS-server intern ten opzichte van het netwerk dat uw NAT-server bevat. Configureer de interne server zoals beschreven in het scenario met de enkele DNS-server, maar geef in plaats van de hoger gelegen provider, het adres van de externe DNS-server op in de IP-adreslijst van de doorstuurserver. Aangezien de externe DNS-server zich buiten het netwerk bevindt dat de NAT-server bevat, wordt het willekeurig gebruik van poorten niet verstoord.
  • Neem contact op met de leverancier van de firewall om na te gaan of er updates zijn gepland voor het firewallproduct.

Meer informatie

Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
953230 MS08-037: Beveiligingsproblemen in DNS kunnen vervalsing of spoofing tot gevolg hebben
812873 Een tijdelijk poortbereik reserveren op een computer waarop Windows Server 2003 of Windows 2000 Server wordt uitgevoerd (Het Engels)
956188 U ondervindt problemen met netwerkservices die gebruikmaken van UDP nadat u beveiligingsupdate 953230 (MS08-037) hebt geïnstalleerd
956187 Microsoft-beveiligingsadvies: Verhoogd risico op DNS-vervalsing
956189 Op een computer waarop Windows SBS wordt uitgevoerd, starten sommige services wellicht niet of werken deze niet naar behoren nadat u de beveiligingsupdate 953230 (MS08-037) voor de DNS Server hebt geïnstalleerd.

Eigenschappen

Artikel ID: 956190 - Laatste beoordeling: donderdag 31 juli 2008 - Wijziging: 1.1
De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 op de volgende platformen
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows® 2000 Server
    • Microsoft Windows 2000 Professional Edition
Trefwoorden: 
kbexpertiseinter kbtshoot KB956190

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com