DNS-spørringer som sendes via en brannmur, bruker ikke tilfeldige kildeporter når du har installert sikkerhetsoppdatering 953230 (MS08-037)

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 956190 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

Symptom

Etter at du har installert sikkerhetsoppdatering 953230 (MS08-037) på en Microsoft Windows-basert datamaskin, bruker ikke DNS-spørringer (Domain Name System) som sendes fra datamaskinen via en brannmur, tilfeldige kildeporter.

Årsak

Dette skjer fordi NAT-enheter (Network Address Translation) endrer IP-adressene for kilde og mål. Disse enhetene endrer dessuten kildeport hyppig for å unngå ressurskonflikter som kan oppstå når flere interne verter forsøker å sende trafikk via samme kildeport. Fordi mange nyere brannmurer faktisk stopper utgående trafikk internt og oppretter nye eksterne socketer for NAT, kan ikke brannmurene bruke samme kildeport på samme eksterne IP uten at det oppstår konflikter. Derfor bruker brannmurene den sekvensielle porttilordningen for trafikken fra NAT. De tilfeldige portene som brukes av den oppdaterte DNS-løseren, kan ses utenfra som bruk av sekvensiell porttilordning, også etter at sikkerhetsoppdatering 953230 er installert på den interne NAT-verten.

Løsning

Bruk en av følgende metoder for å løse dette problemet:
  • Opprett et rutet nettverk mellom DNS-serveren og Internett. Hvordan dette gjøres, og hvorvidt det er mulig, avhenger av brannmurteknologien som brukes. Det kan hende at DNS-serveren må flyttes til et annet delnettverk, slik at forholdet mellom serveren og Internett ikke lenger bygger på NAT.
  • Hvis du bare har én DNS-server, kan du implementere en delt DNS-løsning i Windows Server 2003 eller Windows Server 2008 DNS-tjenester. I dette scenarioet må DNS-serveren være tilgjengelig fra to IP-adresser. Én IP-adresse er innenfor, og den andre er utenfor NAT-servernettverket. Interne arbeidsstasjoner utfører spørringer mot DNS-serveren. Hvis du har installert sikkerhetsoppdatering 953230, bruker DNS-serveren tilfeldig tilordning av porter til å videresende fremmede forespørsler til andre DNS-servere.

    Dette gjør du ved å åpne administrasjonsverktøyet for DNS, klikke serveren og deretter dobbeltklikke Forwarders (videresendere). Klikk kategorien Forwarders, og konfigurer alternativet All Other DNS Domains (alle andre DNS-domener). Serveren vil nå automatisk videresende alle forespørsler om DNS-domener som serveren ikke kan behandle, til serverne som er oppført i listen over IP-adresser til videresendere for valgte domener. Legg til den overordnede Internett-leverandørens DNS-servere i denne listen.

    De interne arbeidsstasjonene bør konfigureres slik at de bruker den interne IP-adressen til DNS-serveren. Dette kan enten gjøres manuelt eller ved hjelp av DHCP-alternativene (Dynamic Host Configuration Protocol).

    Obs!  Hvis du bruker én enkelt DNS-server i en delt DNS-løsning, kan kundene dra fordel av tilfeldig DNS-porttilordning. Imidlertid vil denne konfigurasjonen legge til en bane fra Internett til bedriftsnettverket eller det lokale nettverket ditt. Denne konfigurasjonen kan gjøre dere mer utsatt for trusler fra Internett.
  • Du kan også konfigurere en delt DNS-løsning slik at den bruker to servere i stedet for én. I dette scenarioet står en av DNS-serverne utenfor nettverket med NAT-serveren, mens den andre inngår i nettverket med NAT-serveren. Konfigurer den interne serveren slik det er beskrevet i scenarioet med én enkelt DNS-server, men før opp adressen til den eksterne DNS-serveren i listen over IP-adresser til videresendere i stedet for å føre opp den overordnede Internett-leverandøren. Fordi den eksterne DNS-serveren er plassert utenfor nettverket med NAT-serveren, påvirkes ikke den tilfeldige tilordningen av porter.
  • Ta kontakt med forhandleren av brannmuren hvis du vil vite om det er planer om å oppdatere brannmurproduktet.

Mer informasjon

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
953230 MS08-037: Sikkerhetsproblemer i DNS kan åpne for forfalsking
812873 Reservere et område med flyktige porter på en datamaskin der du kjører Windows Server 2003 eller Windows 2000 Server (denne artikkelen kan være på engelsk)
956188 Du får problemer med UDP-avhengige nettverkstjenester etter installasjon av sikkerhetsoppdatering 953230 (MS08-037) for DNS-servertjenesten
956187 Microsofts sikkerhetsveiledning: Sikkerhetsproblem gir økt risiko for DNS-forfalsking
956189 Enkelte tjenester starter ikke eller fungerer ikke som de skal på datamaskiner med Windows SBS når du har installert sikkerhetsoppdatering 953230 (MS08-037) for DNS-servere

Egenskaper

Artikkel-ID: 956190 - Forrige gjennomgang: 31. juli 2008 - Gjennomgang: 1.1
Informasjonen i denne artikkelen gjelder:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 på følgende plattformer
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 på følgende plattformer
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 på følgende plattformer
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Nøkkelord: 
kbexpertiseinter kbtshoot KB956190

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com