การเปลี่ยนแปลงลักษณะการทำ DNS เซิร์ฟเวอร์งานหลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ DNS

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 968732 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

การลงรายการบัญชีของลักษณะการทำงานของการติดตั้งบนเซิร์ฟเวอร์ที่มีการปรับปรุงคอมพิวเตอร์หลังจากที่คุณติดตั้งการรักษาความปลอดภัยของเซิร์ฟเวอร์ DNS

วัตถุประสงค์ของบทความฐานความรู้นี้คือการ educate ผู้ใช้เกี่ยวกับสถานการณ์ที่ได้รับผลจากการเกิดการเปลี่ยนแปลงการทำงานของเซิร์ฟเวอร์ DNS impending เราได้พยายามที่จะทำให้เอกสารฉบับนี้ทั่วไปจะเป็นไปได้ โปรดอ่านเอกสารนี้ใน entirety นั้น และใช้การทำความเข้าใจว่าและวิธีสภาพแวดล้อมขององค์กรของคุณอาจได้รับผลจากการปรับปรุงนี้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ DNS ที่ปรับปรุง คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
961063คำอธิบาย MS09-008: การปรับปรุงการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ DNS: 10 มีนาคม 2009

ข้อมูลเพิ่มเติม

ข้อกำหนดของตาราง

ยุบตารางนี้ขยายตารางนี้
ระยะเวลาข้อกำหนด
Domain Name System (DNS)ระบบการชื่อโดเมนมีอินเทอร์เน็ตมาตรฐานคอที่แปลชื่อไป ยังที่อยู่ IP และในทางกลับกัน
wpadโพรโทคอลค้นพบอัตโนมัติพร็อกซีของเว็บ
isatapไซต์ Intra ทันเนลอัตโนมัติจัดการกับโพรโทคอล

ภาพรวมของปัญหาด้านความปลอดภัย

Internet Explorer และไคลเอนต์ที่คล้ายกันค้นหาพร็อกซี่เซิร์ฟเวอร์ โดยใช้พร็อกซีของเว็บค้นพบอัตโนมัติโพรโทคอล (WPAD) คอมพิวเตอร์ไคลเอนต์ค้นหาเซิร์ฟเวอร์ WPAD โดยการแก้ไขชื่อ WPAD และ โดยใช้ DNS isatap (ไซต์ Intra อัตโนมัติทันเนลจัดการกับ Protocol) คือ เทคโนโลยีช่วงการเปลี่ยนภาพ IPv6 ไคลเอ็นต์ dns ทำการค้น ISATAP พบ ซึ่งเหมือนกับวิธีการที่จะใช้สำหรับ WPAD การลงทะเบียนรายการ WPAD หรือ ISATAP ภายในเครือข่ายขององค์กรที่เป็นอันตรายอาจทำให้สำหรับการโจมตีการกำหนดค่าพร็อกซีที่เป็นอันตราย มีการแก้ไขปัญหาสำหรับปัญหาด้านความปลอดภัย ตัวอย่างเช่น คุณสามารถลงทะเบียนรายการโฮสต์เป็นชื่อที่สงวนไว้ในฐานข้อมูลของ DNS ผู้ดูแลต้องลงทะเบียนชื่อโฮสต์ โดยไม่มีการลงทะเบียนที่อยู่ IP นั้นจึงทำการสำรองรายการโฮสต์ชื่อ

การเปลี่ยนแปลงไปหลังจากที่คุณใช้ปรับปรุงการรักษาความปลอดภัย DNS

การเปลี่ยนแปลงการ DNS ต่อไปนี้จะเกิดขึ้นหลังจากที่คุณใช้ปรับปรุงการรักษาความปลอดภัย DNS:
  • การปรับปรุงการรักษาความปลอดภัยสร้างบล็อกรายการที่จะใช้ โดย DNS โดยอัตโนมัติ การร้องขอการสอบถามชื่อทั้งหมดมีการตรวจสอบเทียบกับรายชื่อของบล็อก และมีส่งการตอบสนองที่เป็นค่าลบสำหรับแบบสอบถามชื่อที่แสดงรายการของบล็อก
  • ค่าเริ่มต้นของรายการบล็อกขึ้นอยู่กับข้อมูลในเขตพื้นที่ที่เป็นเซิร์ฟเวอร์ที่มีสิทธิ์สำหรับเมื่อรันการปรับปรุง ถ้าข้อมูลของเขตพื้นที่ไม่ประกอบด้วยรายการสำหรับ WPAD หรือ ISATAP แล้วรายการ WPAD หรือ ISATAP จะบรรจุในรายการบล็อก
  • ถ้าฐานข้อมูล DNS มีอยู่ใด ๆ รายการเหล่านี้ แล้วรายการ WPAD หรือ ISATAP จะไม่บรรจุในรายการบล็อก
  • ผู้ดูแลระบบสามารถกำหนดค่า และแก้ไขรายการของบล็อกในรีจิสทรี บริการ dns มีการเริ่มต้นใหม่สำหรับการยอมรับการบล็อกรายการใหม่
  • สำหรับ DNS รายการบล็อกนำไปใช้กับเขตพื้นที่ทั้งหมดที่โฮสต์ โดยเซิร์ฟเวอร์ คุณไม่อนุญาตให้สอบถาม WPAD และ ISATAP ในโซนที่หนึ่ง แต่ไม่อื่นได้
  • รายการบล็อกถูกจัดเก็บไว้ในรีจิสทรีสำหรับแต่ละเซิร์ฟเวอร์ ไม่มีการจำลองแบบของบล็อกรายการรายการผ่านเซิร์ฟเวอร์หลายตัว

คำถามที่ถามบ่อย

  1. เกิดอะไรขึ้นถ้าฉันจะปรับรุ่นเซิร์ฟเวอร์ DNS ของฉันเป็นเซิร์ฟเวอร์ LH
    คำตอบ:เซิร์ฟเวอร์ DNS ที่ใช้ในรายการที่ถูกต้องของ WPAD และ ISATAP จะดำเนินต่อไปก่อนที่ทำงาน
  2. ตำแหน่งที่ตั้งของรายการรีจิสทรีสำหรับรายการบล็อกคืออะไร
    คำตอบ:รายการบล็อกใช้รายการ REG_MULTI_SZ GlobalQueryBlockList ในคีย์ย่อยต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. ถ้าฉันลบรายการของรายการบล็อกที่อยู่ในรีจิสทรีได้
    คำตอบ:แบบสอบถามทั้งหมด WPAD และ ISATAP จะสำเร็จหลังจากที่เริ่มต้นบริการ
  4. เกิดอะไรขึ้นถ้าฉันลบคีย์รีจิสทรี GlobalQueryBlockList
    คำตอบ:เมื่อมีการรีสตาร์ทให้บริการ คีย์ถูกเพิ่มเข้าไปกลับ และบล็อกรายการค่าเริ่มต้นที่จะ repopulated จะถูกบล็อกไม่ - TXT WPAD และแบบสอบถาม ISATAP
  5. ถ้าฉันจะเพิ่มรายการ "contoso" ลงในรายการบล็อกในรีจิสทรีหรือไม่
    คำตอบ:หลังจากที่คุณเพิ่มรายการในรายการบล็อก แบบสอบถามทั้งหมดเพื่อ contoso ในโซนใด ๆ จะล้มเหลวทันทีที่การบริการถูกเริ่มใหม่
  6. เกิดอะไรขึ้นถ้าฉันมีรายการสำหรับ contoso ในฐานข้อมูลของ DNS อยู่แล้ว และฉันจะเพิ่ม contoso ในรายการที่ถูกบล็อก
    คำตอบ:แบบสอบถามไปยัง "contosomyzone.com"จะล้มเหลว
  7. ฉันมีเซิร์ฟเวอร์ WPAD จัดวางในเครือข่ายของฉัน จะฉันได้รับผลกระทบได้อย่างไร
    คำตอบ:หมายเลข ถ้าคุณมี WPAD ที่มีการจัดวางในเครือข่าย และคุณมีชื่อ WPAD ที่ลงทะเบียนใน DNS จากนั้นคุณจะไม่ถูกบล็อก อย่างไรก็ตาม ถ้าคุณมี WPAD ในเครือข่าย และใช้ DHCP การกระจายแฟ้ม wpad.dat มีสิ่งใดใน DNS จากนั้นแบบสอบถาม DNS สำหรับ WPAD จะถูกบล็อก
  8. ฉันสามารถใช้ DNSCMD.exe รายการบล็อกการกำหนดค่าคอนฟิกได้
    คำตอบ:หมายเลข คุณสามารถเปลี่ยนรายการบล็อกที่อยู่ในรีจิสทรีเท่านั้น
  9. ต้องการลงทะเบียนสำหรับรายการที่ถูกบล็อกล้มเหลวในเซิร์ฟเวอร์ DNS หรือไม่
    คำตอบ:หมายเลข เป็นส่วนหนึ่งของคุณลักษณะของรายการบล็อก ลงทะเบียนที่จะสำเร็จ เฉพาะแบบสอบถามสำหรับรายการที่ถูกบล็อกจะล้มเหลว
  10. มีการสอบถามโฮสต์ (ชนิด A หรือ AAAA) เท่านั้นถูกบล็อก โดยลักษณะการทำงานนี้หรือไม่
    คำตอบ:ไม่มี ทุกชนิดของแบบสอบถามสำหรับชื่อในรายการบล็อกถูกบล็อค

คุณสมบัติ

หมายเลขบทความ (Article ID): 968732 - รีวิวครั้งสุดท้าย: 21 ตุลาคม 2553 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Service Pack 1 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 เมื่อใช้กับ:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Keywords: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew kbmt KB968732 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:968732

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com