A DNS-kiszolgáló működésének változásai a DNS-kiszolgáló biztonsági frissítésének telepítése után

A cikk fordítása A cikk fordítása
Cikk azonosítója: 968732 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

Telepítés utáni viselkedés a kiszolgáló-számítógépeken a DNS-kiszolgáló biztonsági frissítésének telepítését követően

A jelen tudásbáziscikk célja a felhasználók tájékoztatása azon esetekről, amelyeket a DNS-kiszolgáló működésének várható módosítása érint. A dokumentum létrehozásakor szempont volt, hogy a lehető legáltalánosabb legyen. Olvassa el a teljes dokumentumot annak megértéséhez, hogy miként érintheti a frissítés vállalati környezetét.

A DNS-kiszolgáló biztonsági frissítéséről a Microsoft Tudásbázis következő cikkében tájékozódhat:
961063 MS09-008: A DNS-kiszolgáló biztonsági frissítése: 2009. március 10.

További információ

Elnevezések

A táblázat összecsukásaA táblázat kibontása
KifejezésElnevezés
DNSA Domain Name System (Tartománynévrendszer) egy szabványos internetes protokoll, amely a neveket IP-címekre fordítja, és fordítva.
WPADWeb Proxy Auto-Discovery protokoll
ISATAPIntra-Site Automatic Tunnel Addressing protokoll

A biztonsági problémák áttekintése

Az Internet Explorer és a hasonló ügyfélprogramok a WPAD protokoll segítségével keresik a proxykiszolgálókat. Az ügyfélszámítógépek a WPAD-név feloldásával és a DNS használatával keresik a WPAD-kiszolgálót. Az ISATAP protokoll egy IPv6-átviteli technológia. A DNS-ügyfelek ISATAP-felderítést hajtanak végre, amely a WPAD esetén használt módszerhez hasonló. A WPAD- vagy az ISATAP-bejegyzések rosszindulatú regisztrációja egy vállalati hálózaton belül lehetővé teheti, hogy egy támadó kártevő proxyt állítson be. A biztonsági probléma kerülő megoldásokkal küszöbölhető ki. Ilyen például a fenntartott állomásbejegyzés DNS-adatbázisban történő regisztrálása. A rendszergazdának IP-cím regisztrálása nélkül kell regisztrálnia az állomásnevet, és így fenntartani az állomásbejegyzést.

A DNS-kiszolgáló működésének változásai a biztonsági frissítése telepítése után

A DNS-kiszolgáló működése az alábbi módon változik meg a DNS biztonsági frissítésének telepítése után:
  • A biztonsági frissítés automatikusan létrehoz egy, a DNS által használt tiltólistát. A rendszer minden lekérdezett nevet ellenőriz a tiltólistán, és az azon szereplő névnek egy üres választ küld.
  • A tiltólista alapértékei az abban a zónában szereplő adatoktól függenek, amelyben a frissítés futtatásakor a kiszolgáló mérvadó. Ha a zóna adatai között nem szerepelnek WPAD- vagy ISATAP-bejegyzések, akkor a rendszer a WPAD- vagy ISATAP-bejegyzéseket tölti fel a tiltólistára.
  • Ha a DNS-adatbázisban már megtalálható a bejegyzések valamelyike, akkor a WPAD- vagy az ISATAP-bejegyzéseket a rendszer nem tölti fel a tiltólistára.
  • A rendszergazda a beállításjegyzékben konfigurálhatja és szerkesztheti a tiltólistát. A tiltólista elfogadásához újra kell indítani a DNS szolgáltatást.
  • A DNS szolgáltatás esetén a tiltólista a kiszolgálón található összes zónára vonatkozik. Az nem lehetséges, hogy a WPAD- és az ISATAP-lekérdezéseket csak az egyik zónában engedélyezze, és a másikban nem.
  • Az egyes kiszolgálókhoz tartozó tiltólistát a rendszer a beállításjegyzékben tárolja. A tiltólista-bejegyzések nem replikálódnak több kiszolgáló között.

Gyakori kérdések

  1. Mi történik, ha DNS-kiszolgálóról Longhorn-kiszolgálóra frissítek?
    Válasz: Az érvényes WPAD- és ISATAP-bejegyzéseket használó DNS-kiszolgáló továbbra is ugyanúgy fog működni.
  2. Hol található a tiltólista bejegyzése a beállításjegyzékben?
    Válasz: A tiltólista a GlobalQueryBlockList REG_MULTI_SZ bejegyzést használja a következő alkulcsban:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mi történik, ha törlöm a tiltólista bejegyzéseit a beállításjegyzékben?
    Válasz: A WPAD és az ISATAP lekérdezései sikeresek lesznek a szolgáltatás újraindítása után.
  4. Mi történik, ha törlöm a GlobalQueryBlockList beállításkulcsot?
    Válasz: A szolgáltatás újraindításakor a rendszer ismét hozzáadja a kulcsot, és ismét betölti az alapértelmezett tiltólista-értékeket. A nem szöveges WPAD- és ISATAP-lekérdezéseket a rendszer letiltja.
  5. Mi történik, ha a beállításjegyzékben felveszem a „kontraktor” bejegyzést a tiltólistára?
    Válasz: Miután felvette a bejegyzést a tiltólistára, a szolgáltatás újraindítását követően a kontraktor névre történő összes lekérdezés minden zónában sikertelen lesz.
  6. Mi történik, ha a DNS-adatbázisban már szerepel egy kontraktor bejegyzés, és a tiltólistára is felveszem azt?
    Válasz: A „kontraktor.sajátzóna.com” lekérdezések sikertelenek lesznek.
  7. A hálózatomban WPAD-kiszolgáló van telepítve. Érinteni fog engem a frissítés?
    Válasz: Nem. Ha a WPAD telepítve van a hálózatán, és már rendelkezik a DNS szolgáltatásban regisztrált WPAD-névvel, a rendszer nem fogja azt letiltani. Ha azonban a WPAD telepítve van a hálózaton, DHCP segítségével terjeszti a wpad.dat fájlt, és a DNS szolgáltatásban nem található bejegyzés, a WPAD DNS-lekérdezése tiltva lesz.
  8. Használható a DNSCMD.exe a tiltólista konfigurálásához?
    Válasz: Nem. A tiltólista csak a beállításjegyzékben módosítható.
  9. Sikertelen lesz a letiltott bejegyzések regisztrálása a DNS-kiszolgálóban?
    Válasz: Nem. A tiltólista szolgáltatás részeként a regisztrálások sikerülni fognak. Csak a letiltott bejegyzések lekérdezése hiúsul meg.
  10. Csak az (A vagy AAAA típusú) állomáslekérdezéseket blokkolja a szolgáltatás?
    Válasz: Nem, a tiltólistában szereplő nevek összes típusú lekérdezése tiltva van.

Tulajdonságok

Cikk azonosítója: 968732 - Utolsó ellenőrzés: 2010. január 18. - Verziószám: 4.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003 Service Pack 1 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 a következő platformokon
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Kulcsszavak: 
kbsecvulnerability kbsecurity kbexpertiseinter kbsurveynew KB968732
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com