文章編號: 956190 - 上次校閱: 2008年7月31日 - 版次: 1.1

安裝安全性更新 953230 (MS08-037) 之後,透過防火牆傳送的 DNS 查詢不會使用隨機來源連接埠

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

在 Microsoft Windows 電腦上安裝安全性更新 953230 (MS08-037) 之後,透過防火牆從電腦傳送的網域名稱系統 (DNS) 查詢不會使用隨機來源連接埠。
回此頁最上方

發生的原因

發生這個問題的原因,是因為網路位址轉譯 (NAT) 裝置變更來源和目的 IP 位址。這些裝置也會經常變更來源連接埠,以避免多重內部主機嘗試使用相同的來源連接埠傳送流量時可能發生的資源衝突。因為目前的許多防火牆會在內部實際停止輸出流量,並為 NAT 建立新的外部通訊端,因此防火牆使用位於同一外部 IP 位址的同一來源連接埠時,就會產生衝突。因此,防火牆會使用 NAT 針對流量指派的序列連接埠。即使將安全性更新 953230 套用到內部 NAT 主機之後,更新的 DNS 解析程式所用的隨機連接埠看起來仍可能是使用序列連接埠指派。
回此頁最上方

解決方案

如果要解決這個問題,請使用下列其中一種方法:
  • 在 DNS 伺服器和網際網路之間建立路由網路關係。此路由網路關係的功能和方法取決於使用的防火牆技術。這可能需要將 DNS 伺服器重新放置到不同的子網路,伺服器和網際網路之間的關係才不會再使用 NAT。
  • 如果您擁有單一 DNS 伺服器,則可在 Windows Server 2003 或 Windows Server 2008 DNS 服務中實作獨立的 DNS 解決方案。在此案例中,必須可使用來自兩個 IP 位址的 DNS 伺服器。一個 IP 位址在 NAT 伺服器網路內部,另一個則在外部。內部工作站向 DNS 伺服器執行查詢。如果您已安裝安全性更新 953230,DNS 伺服器會使用隨機連接埠將外部要求轉寄到其他 DNS 伺服器。

    如果要執行這項操作,請開啟 DNS 系統管理工具,按一下伺服器,然後連按兩下 [轉寄站]。按一下 [轉寄站] 索引標籤,然後設定 [所有其他 DNS 網域] 選項。伺服器會接著將伺服器不處理的任何 DNS 網域要求自動轉寄到位於 [已選取的網域轉寄站 IP 位址清單] 中所列的伺服器。將上游提供者的 DNS 伺服器新增到此清單。

    內部工作站應設定為使用您 DNS 伺服器的內部 IP 位址。這可手動設定或使用 [動態主機設定通訊協定] (DHCP) 選項設定。

    注意 在獨立的 DNS 解決方案中使用單一 DNS 伺服器將可為客戶提供 DNS 隨機連接埠的優點。不過,此設定會在網際網路與您的企業或本機網路之間增加一個途徑。此設定可能會大幅提高暴露於網際網路威脅的風險。
  • 您可能也會設定獨立的 DNS 解決方案使用兩個伺服器,而非單一伺服器。在此案例中,您的其中一部 DNS 伺服器位於包含 NAT 伺服器的網路外部,一部則位於內部。請依照單一 DNS 伺服器案例所述來設定內部伺服器,但在 [轉寄站 IP 位址清單] 中列出外部 DNS 伺服器的位址,而非上游提供者的位址。因為外部 DNS 伺服器位於包含 NAT 伺服器的網路外,因此不會中斷隨機連接埠。
  • 請連絡防火牆廠商以瞭解他們的防火牆產品是否有提供更新。
回此頁最上方

其他相關資訊

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
953230? (http://support.microsoft.com/kb/953230/ ) MS08-037:DNS 的漏洞也可能造成詐騙的情況發生
812873? (http://support.microsoft.com/kb/812873/ ) 如何保留在 Windows Server 2003 或 Windows 2000 Server 電腦上執行範圍的暫時連接埠 (英文)
956188? (http://support.microsoft.com/kb/956188/ ) 安裝 DNS 伺服器服務安全性更新 953230 (MS08-037) 之後,遇到 UDP 相關網路服務問題。
956187? (http://support.microsoft.com/kb/956187/ ) Microsoft 資訊安全諮詢:遽增的 DNS 詐騙弱點威脅
956189? (http://support.microsoft.com/kb/956189/ ) 安裝 DNS 伺服器安全性更新 953230 (MS08-037) 之後,部分服務可能無法在執行 Windows SBS 的電腦上啟動或正確運作
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3?應用於:
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2?應用於:
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4?應用於:
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
回此頁最上方
關鍵字:?
kbexpertiseinter kbtshoot KB956190
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。