Změny v chování serveru DNS po instalaci aktualizace zabezpečení pro server DNS

Překlady článku Překlady článku
ID článku: 968732 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Chování serverových počítačů po instalaci aktualizace zabezpečení serveru DNS

Cílem tohoto článku znalostní báze Knowledge Base je seznámit uživatele se scénáři, které jsou ovlivněny nastávající změnou funkcí serveru DNS. Pokusili jsme se vytvořit tento článek co nejobecnější. Přečtěte si jej celý a pokuste se pochopit, zda a jak bude vaše podnikové prostředí ovlivněno touto aktualizací.

Další informace o této aktualizaci zabezpečení serveru DNS naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
961063 MS09-008: Popis aktualizace zabezpečení pro server DNS: 10. března 2009

Další informace

Tabulka definic

Zmenšit tuto tabulkuRozšířit tuto tabulku
TermínDefinice
DNS (Domain Name System)DNS je standardní internetový protokol, který převádí názvy na IP adresy a naopak.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Přehled tohoto problému se zabezpečením

Aplikace Internet Explorer a podobní klienti hledají proxy server pomocí protokolu WPAD (Web Proxy Auto-discovery Protocol). Klientské počítače hledají server WPAD pomocí překladu názvu WPAD a pomocí služby DNS. Protokol ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) je přenosová technologie IPv6. Klienti DNS provádějí zjišťování ISATAP, které je obdobou metody používané pro protokol WPAD. Nebezpečná registrace položky WPAD nebo ISATAP v rámci podnikové sítě může útočníkovi umožnit nakonfigurovat proxy server se zlými úmysly. Pro tyto potíže zabezpečení existuje několik alternativních řešení. Můžete například v databázi DNS zaregistrovat rezervovanou položku pro název hostitele. Správce musí zaregistrovat název hostitele bez registrace IP adresy, a tím položku názvu hostitele rezervuje.

Změny služby DNS po instalaci aktualizace zabezpečení

Po instalaci aktualizace zabezpečení služby DNS dojde k následujícím změnám služby DNS:
  • Aktualizace zabezpečení automaticky vytvoří seznam blokování, který bude použit službou DNS. Každá žádost s dotazem na název je zkontrolována podle seznamu blokování a v případě dotazu na název uvedený v seznamu blokování je odeslána negativní odpověď.
  • Výchozí nastavení seznamu blokování závisí na datech v zónách, pro něž je daný server autoritativní při spuštění aktualizace. Pokud data zóny neobsahují položky pro názvy WPAD nebo ISATAP, bude seznam blokování naplněn položkami WPAD nebo ISATAP.
  • Pokud databáze DNS již některé z těchto položek obsahuje, nebude seznam blokování položkami WPAD nebo ISATAP naplněn.
  • Správce může nakonfigurovat a upravit seznam blokování v registru. Nový seznam blokování je použit až po restartování služby DNS.
  • V případě služby DNS se seznam blokování vztahuje na všechny zóny, jichž je daný server hostitelem. Nelze povolit dotazy na položky WPAD či ISATAP pouze v některých zónách, a v jiných nikoli.
  • Seznam blokování je pro každý server uložen v registru. K replikaci položek seznamu blokování mezi servery nedochází.

Nejčastější dotazy

  1. Co se stane po upgradu serveru DNS na server LH?
    Odpověď: Server DNS, který používá platné položky pro názvy WPAD a ISATAP, bude fungovat stejně jako dříve.
  2. Jaké je umístění položky registru pro seznam blokování?
    Odpověď: Seznam blokování používá položku GlobalQueryBlockList REG_MULTI_SZ v následujícím podklíči:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Co se stane, pokud odstraním položky seznamu blokování v registru?
    Odpověď: Po restartování služby budou všechny dotazy na položky WPAD a ISATAP úspěšné.
  4. Co se stane při odstranění klíče registru GlobalQueryBlockList?
    Odpověď: Po restartování služby je tento klíč přidán zpět a jsou znovu naplněny výchozí hodnoty seznamu blokování. Všechny dotazy na netextové položky WPAD a ISATAP budou blokovány.
  5. Co se stane, pokud do seznamu blokování v registru přidám položku contoso?
    Odpověď: Po přidání této položky do seznamu blokování všechny dotazy na název contoso v libovolné zóně selžou, jakmile bude služba restartována.
  6. Co se stane, pokud databáze DNS již obsahuje položku pro název contoso a položka contoso je rovněž přidána do seznamu blokování?
    Odpověď: Dotazy na název contoso.moje_zóna.com selžou.
  7. V síti je nasazen server WPAD. Dojde k ovlivnění?
    Odpověď: Ne. Pokud je v síti nasazen server WPAD a ve službě DNS je již zaregistrován název WPAD, nebude blokován. Pokud je server WPAD nasazen v síti a využívá protokol DHCP k distribuci souboru wpad.dat, který neobsahuje položky DNS, budou dotazy DNS na položku WPAD blokovány.
  8. Lze ke konfiguraci seznamu blokování používat soubor DNSCMD.exe?
    Odpověď: Ne. Seznam blokování lze upravit pouze v registru.
  9. Dojde k selhání registrace blokovaných položek na serveru DNS?
    Odpověď: Ne. Registrace položek uvedených v seznamu blokování proběhnou úspěšně. Pouze dotazy na blokované položky selžou.
  10. Jsou touto funkcí blokovány pouze dotazy na hostitele (typ A nebo AAAA)?
    Odpověď: Ne, jsou blokovány všechny typy dotazů na názvy uvedené v seznamu blokování.

Vlastnosti

ID článku: 968732 - Poslední aktualizace: 18. ledna 2010 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 na těchto platformách
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Klíčová slova: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com