Ændringer af DNS-serverens funktionsmåde, efter du har installeret sikkerhedsopdateringen til DNS-server

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 968732 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

INTRODUKTION

Servercomputernes funktionsmåde, efter du har installeret sikkerhedsopdateringen til DNS-serveren

Formålet med denne Knowledge Base-artikel er at oplyse brugere om de scenarier, der påvirkes af en nært forestående ændring af DNS-serverens funktionalitet. Vi har forsøgt at gøre dette dokument så generisk som muligt. Læs hele dokumentet, og brug det til at få kendskab til, om og hvordan dit virksomhedsmiljø kan blive påvirket af denne opdatering.

Du finder flere oplysninger om sikkerhedsopdateringen til DNS-serveren ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
961063 MS09-008: Beskrivelse af sikkerhedsopdateringen til DNS-server: 10. marts 2009

Yderligere Information

Definitionstabel

Skjul tabellenUdvid tabellen
TermDefinition
DNS (Domain Name System)Domain Name System er en internetprotokol, der oversætter navne til IP-adresser og omvendt.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

En oversigt over sikkerhedsproblemet

Internet Explorer og lignende klienter søger efter en proxyserver ved hjælp af WPAD (Web Proxy Auto-discovery Protocol). Klientcomputere søger efter WPAD-serveren ved at fortolke navnet WPAD og ved hjælp af DNS. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) er en IPv6-overgangsteknologi. DNS-klienter foretager ISATAP-registrering, hvilket svarer til den metode, der bruges i forbindelse med WPAD. Skadelig registrering af en WPAD- eller ISATAP-post i et virksomhedsnetværk kan give en hacker mulighed for at konfigurere en skadelig proxy. Der findes løsninger på dette sikkerhedsproblem. Du kan f.eks. registrere en reserveret navneværtspost i DNS-databasen. Administratoren skal registrere værtsnavnet uden at registrere en IP-adresse og dermed reservere navneværtsposten.

Ændringer af DNS, efter du har installeret sikkerhedsopdateringen

Der forekommer følgende ændringer af DNS, efter du har installeret sikkerhedsopdateringen til DNS:
  • Sikkerhedsopdateringen opretter automatisk en liste over blokerede elementer, som vil blive brugt DNS. Alle navneforespørgsler kontrolleres i forhold til listen over blokerede elementer, og der sendes et negativt svar i forbindelse med en forespørgsel på et navn, der findes på listen over blokerede elementer.
  • Standardværdien for listen over blokerede elementer afhænger af dataene i de zoner, som serveren er autoritativ for, når opdateringen køres. Hvis zonedataene ikke indeholder poster for WPAD eller ISATAP, anføres posterne for WPAD eller ISATAP automatisk på listen over blokerede elementer.
  • Hvis DNS-databasen allerede indeholder nogle af disse poster, anføres posterne WPAD eller ISATAP ikke automatisk på listen over blokerede elementer.
  • Administratoren kan konfigurere og redigere listen over blokerede elementer i registreringsdatabasen. DNS-tjenesten skal genstartes, inden den accepterer den nye liste over blokerede elementer.
  • I forbindelse med DNS gælder listen over blokerede elementer for alle de zoner, som serveren er vært for. Du kan ikke tillade WPAD- og ISATAP-forespørgsler i én zone, men ikke i en anden.
  • Listen over blokerede elementer gemmes i registreringsdatabasen for hver server. Der foretages ingen replikering af poster på listen over blokerede elementer på tværs af flere servere.

Ofte stillede spørgsmål

  1. Hvad sker der, hvis jeg opgraderer min DNS-server til LH-server?
    Svar: En DNS-server, der benytter gyldige poster for WPAD og ISATAP, vil fortsætte med at fungere som tidligere.
  2. Hvor placeres posten for listen over blokerede elementer i registreringsdatabasen?
    Svar: Listen over blokerede elementer bruger posten GlobalQueryBlockList REG_MULTI_SZ i følgende undernøgle:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Hvad sker der, hvis jeg sletter posterne på listen over blokerede elementer i registreringsdatabasen?
    Svar: Alle forespørgsler til WPAD og ISATAP gennemføres, når tjenesten er blevet genstartet.
  4. Hvad sker der, hvis jeg sletter nøglen GlobalQueryBlockList i registreringsdatabasen?
    Svar: Når tjenesten genstartes, tilføjes nøglen igen, og standardværdierne for listen over blokerede elementer angives igen. Alle forespørgsler, som ikke er TXT WPAD- og ISATAP-forespørgsler, blokeres.
  5. Hvad sker der, hvis jeg føjer posten "contoso" til listen over blokerede elementer i registreringsdatabasen?
    Svar: Når du har tilføjet posten på listen over blokerede elementer, vil alle forespørgsler til contoso i alle zoner mislykkes, så snart tjenesten genstartes.
  6. Hvad sker der, hvis der allerede findes en post for contoso i DNS-databasen, og jeg også tilføjer contoso på listen over blokerede elementer?
    Svar: Forespørgsler til "contoso.myzone.com" vil mislykkes.
  7. Jeg har installeret en WPAD-server i mit netværk. Bliver jeg berørt?
    Svar: Nej. Hvis du har installeret WPAD i et netværk, og navnet WPAD allerede er registreret i DNS, blokeres WPAD ikke. Men hvis du har installeret WPAD i netværket, og WPAD bruger DHCP til at distribuere wpad.dat-filen, uden at der er registreret noget i DNS, blokeres DNS-forespørgslen om WPAD.
  8. Kan jeg bruge DNSCMD.exe til at konfigurere listen over blokerede elementer?
    Svar: Nej. Du kan kun ændre listen over blokerede elementer i registreringsdatabasen.
  9. Vil registreringen af blokerede poster mislykkes i DNS-serveren?
    Svar: Nej. Det vil lykkes at foretage registreringer, som er en del af funktionen for listen over blokerede elementer. Kun forespørgsler om de blokerede poster vil mislykkes.
  10. Er det kun værtsforespørgsler (type A eller AAAA), der blokeres af denne funktion?
    Svar: Nej, alle former for forespørgsler om navnene på listen over blokerede elementer blokeres.

Egenskaber

Artikel-id: 968732 - Seneste redigering: 18. januar 2010 - Redigering: 4.0
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 på følgende platforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 på følgende platforme
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Nøgleord: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com