แบบสอบถาม dns ที่ส่งผ่านไฟร์วอลล์ไม่ได้ใช้แหล่งข้อมูลที่สุ่มพอร์หลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัย 953230 (MS08 037)

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 956190 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

หลังจากที่คุณติดตั้ง โปรแกรมปรับปรุงความปลอดภัย 953230 (MS08 037) ใน Microsoft Windows-คอมพิวเตอร์ที่ใช้ แบบสอบถามของระบบชื่อโดเมน (DNS) ที่ส่งจากคอมพิวเตอร์ผ่านไฟร์วอลล์ไม่ใช้พอร์ตแหล่งที่มาแบบสุ่ม

สาเหตุ

ลักษณะการทำงานนี้เกิดขึ้นเนื่องจากอุปกรณ์การแปลที่อยู่เครือข่าย (NAT) ที่อยู่ IP ของแหล่งที่มาและปลายทางที่เปลี่ยนแปลง อุปกรณ์เหล่านี้นอกจากนี้มักเปลี่ยนพอร์แหล่งที่มาเพื่อหลีกเลี่ยงข้อขัดแย้งของทรัพยากรที่อาจเกิดขึ้นเมื่อโฮสต์ภายในหลายพยายามส่งการรับส่งข้อมูล โดยใช้พอร์ตแหล่งเดียวกัน เนื่องจากไฟร์วอลล์ modern หลายหยุดการรับส่งข้อมูลที่ส่งออกเป็นการภายในจริง และสร้างซ็อกเก็ตภายนอกใหม่สำหรับ NAT ไฟร์วอลล์ไม่สามารถใช้พอร์ตต้นทางที่เหมือนกันบน IP ภายนอกที่เดียวกันโดยไม่ต้องการสร้างข้อขัดแย้ง ดังนั้น ไฟร์วอลล์ใช้กำหนดพอร์ตที่เรียงลำดับสำหรับการรับส่งข้อมูลจากการ NAT. พอร์ตแบบสุ่มที่ถูกใช้ โดยตัวจำแนกชื่อ DNS ที่ปรับปรุงอาจจะเห็นภายนอกเป็นการใช้ลำดับมีใช้พอร์ตที่กำหนดแม้หลังจากที่การปรับปรุงการรักษาความปลอดภัย 953230 ไปยังโฮสต์ NAT ภายใน

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ให้ใช้วิธีการอย่างใดอย่างหนึ่งต่อไปนี้:
  • สร้างความสัมพันธ์ของเครือข่าย routed ระหว่างเซิร์ฟเวอร์ DNS และอินเทอร์เน็ต ความสามารถและ methodology สำหรับนี้ขึ้นอยู่เทคโนโลยีไฟร์วอลล์ที่ใช้ ซึ่งอาจทำให้เซิร์ฟเวอร์ DNS สามารถ relocated กับเครือข่ายย่อยที่แตกต่างกันเหลือเพื่อให้ความสัมพันธ์ระหว่างเซิร์ฟเวอร์และอินเทอร์เน็ตที่ไม่ใช้ NAT.
  • ถ้าคุณมีเซิร์ฟเวอร์ DNS ที่หนึ่ง คุณสามารถใช้งานวิธีแก้ไขปัญหา DNS แยกในบริการของ Windows Server 2003 หรือ Windows DNS 2008 ของเซิร์ฟเวอร์ ในสถานการณ์สมมตินี้ เซิร์ฟเวอร์ DNS ต้องพร้อมใช้งานจากที่อยู่ IP ที่สอง ที่อยู่ IP ที่หนึ่งอยู่ภายใน นั้นอีกภายนอกไปยังเครือข่าย NAT เซิร์ฟเวอร์ เวิร์กสเตชันภายในทำการสอบถามกับเซิร์ฟเวอร์ DNS ถ้าคุณได้ติดตั้งการปรับปรุงการรักษาความปลอดภัย 953230 เซิร์ฟเวอร์ DNS ใช้พอร์ต randomization ส่งต่อการร้องขอภายนอกไปยังเซิร์ฟเวอร์ DNS อื่น ๆ

    การทำเช่นนี้ เปิดเครื่องมือการดูแล DNS คลิกเซิร์ฟเวอร์ แล้ว คลิกสองครั้งforwarders. คลิกการforwardersแท็บ และจากนั้น ตั้งค่าคอนฟิกโดทั้งหมดอื่น ๆ DNS เมนตัวเลือก ส่งต่อเซิร์ฟเวอร์จะแล้วโดยอัตโนมัติไปร้องขอสำหรับโดเมน DNS ที่เซิร์ฟเวอร์ไม่ได้จัดการกับเซิร์ฟเวอร์ที่ระบุไว้ในรายการที่อยู่ IP Forwarder เลือก Domain ของ เพิ่มเซิร์ฟเวอร์ DNS ของผู้ให้บริการ upstream รายการนี้

    เวิร์กสเตชันภายในจะมีการกำหนดค่าเพื่อใช้อยู่ IP ภายในของเซิร์ฟเวอร์ DNS ของคุณ ซึ่งสามารถตั้งค่าด้วยตนเอง หรือ โดยใช้ตัวเลือกแบบไดนามิก Host Configuration Protocol (DHCP)

    หมายเหตุ:ใช้เซิร์ฟเวอร์ DNS เดียวในการแก้ไขปัญหา DNS ในการแบ่งให้ลูกค้าประโยชน์ randomization พอร์ต DNS อย่างไรก็ตาม การกำหนดค่านี้เพิ่ม pathway แบบจากอินเทอร์เน็ตลงในองค์กรของคุณหรือเครือข่ายภายใน การกำหนดค่านี้ไม่สามารถเพิ่มความเสี่ยงในการคุกคามจากอินเทอร์เน็ต
  • คุณยังอาจกำหนดค่า DNS แยกวิธีแก้ไขปัญหาการใช้เซิร์ฟเวอร์สองแทนหนึ่ง ในสถานการณ์สมมตินี้ เซิร์ฟเวอร์ DNS ของคุณอย่างใดอย่างหนึ่งเป็นการภายนอกไปยังเครือข่ายที่ประกอบด้วยเซิร์ฟเวอร์ NAT และหนึ่งเป็นการภายในเครือข่ายที่ประกอบด้วยเซิร์ฟเวอร์ NAT ตั้งค่าคอนฟิกเซิร์ฟเวอร์ภายในตามที่อธิบายไว้ในสถานการณ์สมมติของเซิร์ฟเวอร์ DNS เดียว แต่รายการอยู่ของเซิร์ฟเวอร์ DNS ภายนอกในรายการที่อยู่ IP Forwarder แทนที่จะแสดงรายการตัวให้บริการ upstream เนื่องจากเซิร์ฟเวอร์ DNS ภายนอกอยู่นอกเครือข่ายที่ประกอบด้วยเซิร์ฟเวอร์ NAT, randomization พอร์ตไม่หยุดงาน
  • ติดต่อผู้ผลิตไฟร์วอลล์เพื่อดูว่า มี การปรับปรุงสำหรับผลิตภัณฑ์ของไฟร์วอลล์ที่วางแผนไว้

ข้อมูลเพิ่มเติม

หากต้องการทราบข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
953230MS08-037: ช่องโหว่ใน DNS อาจทำให้ spoofing
812873วิธีการจองช่วงพอร์ตที่ ephemeral บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือ Windows 2000 Server
956188คุณพบปัญหาเกี่ยวกับทาง UDP ขึ้นอยู่กับบริการของเครือข่ายหลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัยการบริการของเซิร์ฟเวอร์ DNS 953230 (MS08 037)
956187Advisory การรักษาความปลอดภัยของ Microsoft: คามสำหรับ DNS spoofing ช่องโหว่ที่เพิ่มขึ้น
956189บริการบางอย่างอาจไม่เริ่มทำงาน หรืออาจไม่ทำงานอย่างถูกต้องในคอมพิวเตอร์ที่กำลังเรียกใช้ Windows SBS หลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัยเซิร์ฟเวอร์ DNS 953230 (MS08 037)

คุณสมบัติ

หมายเลขบทความ (Article ID): 956190 - รีวิวครั้งสุดท้าย: 21 ตุลาคม 2553 - Revision: 2.0
ใช้กับ
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 เมื่อใช้กับ:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 2 เมื่อใช้กับ:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Keywords: 
kbexpertiseinter kbtshoot kbmt KB956190 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:956190

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com