Endringer i virkemåten til DNS-server etter at du har installert sikkerhetsoppdateringen for DNS-server

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 968732 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

INTRODUKSJON

Virkemåte etter installasjon av sikkerhetsoppdateringen for DNS-server på en serverdatamaskin

Formålet med denne Knowledge Base-artikkelen er å opplyse brukere om scenarioer som påvirkes av en forestående endring i DNS-serverfunksjonaliteten. Vi har forsøkt å gjøre dette dokumentet så generelt som mulig. Les gjennom hele dette dokumentet, og bruk det til å forstå om og hvordan bedriftsmiljøet ditt kan bli påvirket av denne oppdateringen.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringen for DNS-server, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
961063 MS09-008: Beskrivelse av sikkerhetsoppdateringen for DNS-server: 10. mars 2009

Mer informasjon

Tabell over definisjoner

Skjul denne tabellenVis denne tabellen
TermDefinisjon
DNS (Domain Name System)Domain Name System er en standard Internett-protokoll som oversetter navn til IP-adresser og omvendt.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

En oversikt over sikkerhetsproblemet

Internet Explorer og lignende klienter søker etter en proxy-server ved hjelp av protokollen Web Proxy Auto-discovery Protocol (WPAD). Klientdatamaskiner søker etter WPAD-serveren ved å løse navnet WPAD, og ved å bruke DNS. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) er en IPv6-overgangsteknologi. DNS-klienter utfører ISATAP-oppdaging, som ligner på metoden som brukes for WPAD. Skadelig registrering av en WPAD- eller ISATAP-oppføring i et bedriftsnettverk kan gi en angriper tilgang til å konfigurere en skadelig proxy-server. Det finnes løsninger for å omgå dette sikkerhetsproblemet. Du kan for eksempel registrere en reservert vertsnavnoppføring i DNS-databasen. Administratoren må registrere vertsnavnet uten å registrere noen IP-adresse, slik at vertsnavnoppføringen reserveres.

Endringer i DNS etter at du har tatt i bruk sikkerhetsoppdateringen

Følgende endringer i DNS vil skje etter at du har tatt i bruk sikkerhetsoppdateringen for DNS:
  • Sikkerhetsoppdateringen vil automatisk opprette en blokkeringsliste som vil bli brukt av DNS. Alle navnespørringer kontrolleres mot blokkeringslisten og et negativt svar sendes for navnespørringer i blokkeringslisten.
  • Blokkeringslistestandarden avhenger av dataene i sonene som serveren er autoritativ for når oppdateringen kjøres. Hvis dataene i sonen ikke inneholder oppføringer for WPAD eller ISATAP, fylles oppføringene for WPAD eller ISATAP inn i blokkeringslisten.
  • Hvis DNS-databasen allerede inneholder noen av disse oppføringene, fylles ikke oppføringene for WPAD eller ISATAP inn i blokkeringslisten.
  • Administratoren kan konfigurere og redigere blokkeringslisten i registeret. DNS-tjenesten må startes på nytt for at blokkeringslisten skal tre i kraft.
  • For DNS gjelder blokkeringslisten for alle soner som serveren er vert for. Du kan ikke tillate WPAD- og ISATAP-spørringer i én sone, men ikke i en annen.
  • Blokkeringslisten lagres i registeret for den enkelte serveren. Det er ingen replikering av oppføringer i blokkeringslisten på tvers av flere servere.

Vanlige spørsmål

  1. Hva skjer hvis jeg oppgraderer DNS-serveren til LH-server?
    Svar: DNS-servere med gyldige oppføringer for WPAD og ISATAP vil fortsatt fungere som før.
  2. På hvilken plassering befinner registeroppføringen for blokkeringslisten seg?
    Svar: Blokkeringslisten bruker oppføringen GlobalQueryBlockList REG_MULTI_SZ i følgende undernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Hva skjer hvis jeg sletter oppføringene i blokkeringslisten i registeret?
    Svar: Alle spørringer til WPAD og ISATAP lykkes etter at tjenesten har startet på nytt.
  4. Hva skjer hvis jeg sletter registernøkkelen GlobalQueryBlockList?
    Svar: Når tjenesten startes på nytt, vil nøkkelen legges til igjen og listeverdiene for standardblokken fylles ut igjen. Alle ikke-TXT WPAD- og ISATAP-spørringer vil bli blokkert.
  5. Hva skjer hvis jeg legger inn oppføringen contoso i blokkeringslisten i registeret?
    Svar: Når du legger inn oppføringen i blokkeringslisten, vil alle spørringer for contoso i alle soner mislykkes etter at tjenesten er startet på nytt.
  6. Hva skjer hvis jeg allerede har en oppføring for contoso i DNS-databasen og jeg også legger til contoso i blokkeringslisten?
    Svar: Spørringer for contoso.minsone.com vil mislykkes.
  7. Jeg har en WPAD-server i nettverket mitt. Blir jeg påvirket?
    Svar: Nei. Hvis du har WPAD distribuert i et nettverk, og du allerede har navnet WPAD registrert i DNS, vil det ikke bli blokkert. Hvis du derimot har WPAD i nettverket og den bruker DHCP til å distribuere wpad.dat-filen uten noe som helst i DNS, da vil DNS-spørringen for WPAD bli blokkert.
  8. Kan jeg bruke DNSCMD.exe til å konfigurere blokkeringslisten?
    Svar: Nei. Du kan bare endre blokkeringslisten i registeret.
  9. Vil registrering av blokkerte oppføringer mislykkes i DNS-serveren?
    Svar: Nei. Som en del av blokkeringslistefunksjonen, vil registreringer lykkes. Det er bare spørringer for blokkerte oppføringer som vil mislykkes.
  10. Er det bare spørringer for vert (type A eller AAAA) som blokkeres gjennom denne funksjonen?
    Svar: Nei. Alle typer spørringer for navn i blokkeringslisten blokkeres.

Egenskaper

Artikkel-ID: 968732 - Forrige gjennomgang: 18. januar 2010 - Gjennomgang: 4.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 på følgende plattformer
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 på følgende plattformer
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Nøkkelord: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com