Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 956190 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) na komputerze z systemem Microsoft Windows może się okazać, że kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych.

Przyczyna

Przyczyną takiego działania jest to, że urządzenia NAT zmieniają źródłowe i docelowe adresy IP. Te urządzenia często zmieniają także port źródłowy w celu uniknięcia konfliktów zasobów, które mogą występować, gdy wiele wewnętrznych hostów próbuje wysyłać informacje za pomocą tego samego portu źródłowego. Wiele współczesnych zapór blokuje wewnętrznie ruch wychodzący i tworzy nowe gniazda zewnętrzne na potrzeby translacji NAT, dlatego takie zapory nie mogą używać identycznych portów źródłowych razem z tym samym zewnętrznym adresem IP bez powodowania konfliktu. Z tego powodu zapory używają sekwencyjnego przypisywania portów dla ruchu pochodzącego z translacji NAT. Losowe porty, które są używane przez zaktualizowany program rozpoznawania nazw DNS, na zewnątrz mogą być widoczne jako porty przypisane sekwencyjnie, nawet po zastosowaniu do wewnętrznego hosta NAT aktualizacji zabezpieczeń 953230.

Rozwiązanie

Aby rozwiązać ten problem, należy użyć jednej z następujących metod:
  • Należy utworzyć relację sieci trasowanej między serwerem DNS a Internetem. Możliwości i metodologia tego rozwiązania zależą od używanej technologii zapory. To rozwiązanie może wymagać przemieszczenia serwera DNS do innej podsieci, tak aby w relacji między serwerem a Internetem nie była używany translacja adresów sieciowych.
  • W przypadku używania pojedynczego serwera DNS można wdrożyć rozwiązanie z rozdzieleniem usługi DNS w systemie Windows Server 2003 lub Windows Server 2008. W tym scenariuszu serwer DNS musi być dostępny pod dwoma adresami IP. Jeden adres IP jest wewnętrzny, a drugi zewnętrzny w stosunku do sieci serwera NAT. Wewnętrzne stacje robocze wysyłają kwerendy do serwera DNS. Jeśli zainstalowano aktualizację zabezpieczeń 953230, serwer DNS będzie używać losowego generowania portów, aby przesłać obce żądania dalej do innych serwerów DNS.

    Aby zastosować to rozwiązanie, należy otworzyć narzędzie administracyjne usługi DNS, kliknąć odpowiedni serwer i kliknąć dwukrotnie pozycję Usługi przesyłania dalej. Następnie należy kliknąć kartę Usługi przesyłania dalej i skonfigurować opcję Wszystkie pozostałe domeny DNS. Serwer będzie automatycznie przesyłał wszystkie żądania dotyczące domen DNS, których nie obsługuje, dalej do serwerów wymienionych na liście adresów IP wybranych usług przesyłania dalej domeny. Do tej listy należy dodać serwery DNS dostawcy zapewniającego wysyłanie informacji.

    Wewnętrzne stacje robocze należy skonfigurować tak, aby używały wewnętrznego adresu IP serwera DNS. Taką konfigurację można przeprowadzić ręcznie lub za pomocą opcji protokołu dynamicznej konfiguracji hosta (DHCP).

    Uwaga Stosowanie rozwiązania rozdzielenia usługi DNS przy korzystaniu z pojedynczego serwera DNS zapewnia wiele korzyści związanych z losowym generowaniem portów. Jednak taka konfiguracja umożliwia uzyskanie dostępu do sieci lokalnej lub firmowej z Internetu. Wiąże się to z potencjalnym zwiększeniem narażenia na zagrożenia płynące z Internetu.
  • Rozwiązanie rozdzielenia usługi DNS można również skonfigurować przy użyciu dwóch serwerów zamiast jednego. W tym scenariuszu jeden z serwerów DNS jest serwerem zewnętrznym, a drugi wewnętrznym w stosunku do sieci zawierającej serwer NAT. Serwer wewnętrzny należy skonfigurować zgodnie z opisem w scenariuszu obejmującym używanie jednego serwera DNS. Jednak do listy adresów IP usługi przesyłania dalej zamiast serwerów dostawcy zapewniającego wysyłanie informacji należy dodać adres zewnętrznego serwera DNS. Ponieważ zewnętrzny serwer DNS jest umieszczony poza siecią zawierającą serwer NAT, losowe generowanie portów nie jest zakłócane.
  • Należy skontaktować się z dostawcą zapory, aby dowiedzieć się, czy są dla niej planowane jakiekolwiek aktualizacje.

Więcej informacji

Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
953230 MS08-037: Luki w zabezpieczeniach usługi DNS umożliwiają fałszowanie zawartości
812873 Jak zarezerwować zakres tymczasowych portów na komputerze z systemem Windows Server 2003 lub Windows 2000 Server (j. ang.)
956188 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) dla usługi serwera DNS występują problemy z usługami sieciowymi zależnymi od protokołu UDP
956187 Microsoft Security Advisory: Zwiększone zagrożenie spowodowane luką w zabezpieczeniach usługi DNS umożliwiającą fałszowanie zawartości
956189 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) dla usługi serwera DNS na komputerze z systemem Windows SBS nie można uruchomić niektórych usług lub niektóre usługi nie działają poprawnie

Właściwości

Numer ID artykułu: 956190 - Ostatnia weryfikacja: 31 lipca 2008 - Weryfikacja: 1.1
Informacje zawarte w tym artykule dotyczą:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 na następujących platformach
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 na następujących platformach
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 na następujących platformach
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbexpertiseinter kbtshoot KB956190

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com