DNS-frågor som skickas via en brandvägg överförs inte via slumpmässiga källportar efter installation av säkerhetsuppdatering 953230 (MS08-037)

Artikelöversättning Artikelöversättning
Artikel-id: 956190 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

Symptom

När säkerhetsuppdatering 953230 (MS08-037) har installerats på en dator med Microsoft Windows, används inte slumpmässiga källportar för DNS-frågor (Domain Name System) som skickas från datorn genom en brandvägg.

Orsak

Detta beror på att NAT-enheter (Network Address Translation) ändrar käll- och mål-IP-adresser. Dessa enheter ändrar även ofta källporten för att undvika resurskonflikter som kan uppstå när flera interna värdar försöker skicka trafik via samma källport. Eftersom många moderna brandväggar faktiskt stoppar utgående trafik internt och skapar nya externa sockets för NAT, kan brandväggarna inte använda identiska källportar på samma externa IP utan att skapa en konflikt. Därför används sekventiell porttilldelning i brandväggarna för trafiken från NAT-enheten. Externt kan det se ut som om de slumpmässiga portar som används av den uppdaterade DNS-matcharen har sekventiella porttilldelningar också efter det att säkerhetsuppdatering 953230 har installerats på den interna NAT-värden.

Lösning

Lös problemet med någon av följande metoder:
  • Skapa en nätverksrelation med routning mellan DNS-servern och Internet. Hur detta kan genomföras beror på vilken brandväggsteknik som används. Det kan vara nödvändigt att flytta DNS-server till ett annat undernät, så att NAT inte längre används i relationen mellan servern och Internet.
  • Om du har en enstaka DNS-server kan du implementera en delad DNS-lösning i Windows Server 2003- eller Windows Server 2008-DNS-tjänster. I detta fall måste DNS-servern vara tillgänglig från två IP-adresser. En IP-adress är intern och den andra IP-adressen är extern för NAT-servernätverket. Interna arbetsstationer skapar frågor till DNS-servern. Om du har installerat säkerhetsuppdatering 953230, används portrandomisering på DNS-servern för att vidarebefordra externa begäranden till andra DNS-servrar.

    Gör detta genom att öppna DNS-administrationsverktyget, klicka på servern och dubbelklicka på Vidarebefordrare. Klicka på fliken Vidarebefordrare och konfigurera sedan alternativet Alla andra DNS-domäner. Servern vidarebefordrar sedan automatiskt alla begäranden för DNS-domäner som servern inte hanterar till de servrar som anges i listan IP-adresser till vidarebefordrare i den valda domänen. Lägg till den överordnade leverantörens DNS-servrar i denna lista.

    De interna arbetsstationerna ska konfigureras för användning av din DNS-servers interna IP-adress. Detta kan göras manuellt eller med hjälp av DHCP-alternativ (Dynamic Host Configuration Protocol).

    Obs! Om endast en DNS-server används i en delad DNS-lösning får kunderna tillgång till fördelarna med DNS-portrandomisering, men konfigurationen lägger till en väg från Internet in i företagsnätverket eller det lokala nätverket, vilket kan öka exponeringen för hot från Internet.
  • Du kan även konfigurera en delad DNS-lösning med två servrar i stället för en. I detta fall är en av DNS-servrarna extern i förhållande till det nätverk som innehåller din NAT-server, och en är intern i förhållande till det nätverk som innehåller NAT-servern. Konfigurera den interna servern enligt beskrivningen i scenariot med en enda DNS-server, men ange adressen till den externa DNS-servern i listan IP-adresser till vidarebefordrare, i stället för adressen till den överordnade leverantören. Eftersom den externa DNS-servern finns utanför nätverket med NAT-servern avbryts inte portrandomiseringen.
  • Kontakta brandväggsleverantören och fråga om några uppdateringar för brandväggsprodukten planeras.

Mer Information

Om du vill veta mer klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
953230 MS08-037: Säkerhetsproblem i DNS möjliggör falska identiteter
812873 Reservera ett intervall av tillfälliga portar på en dator med Windows Server 2003 eller Windows 2000 Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
956188 Det uppstår problem med UDP-beroende nätverkstjänster efter installation av säkerhetsuppdatering 953230 (MS08-037) för DNS Server-tjänsten
956187 Microsoft-säkerhetsmeddelande: Ökad risk för DNS-förfalskning
956189 Vissa tjänster startar inte eller fungerar inte som de ska på en dator med Windows SBS efter installation av säkerhetsuppdatering 953230 (MS08-037) för DNS Server

Egenskaper

Artikel-id: 956190 - Senaste granskning: den 31 juli 2008 - Revision: 1.1
Informationen i denna artikel gäller:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 på följande plattformar
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 på följande plattformar
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 på följande plattformar
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 2 på följande plattformar
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server SP4 på följande plattformar
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Nyckelord: 
kbexpertiseinter kbtshoot KB956190

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com