Dotazy DNS odeslané přes bránu firewall po instalaci aktualizace zabezpečení 953230 (MS08-037) nepoužívají náhodné zdrojové porty

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Příznaky
Po instalaci aktualizace zabezpečení 953230 (MS08-037) do počítače se systémem Microsoft Windows nepoužívají dotazy DNS odeslané z počítače skrz bránu firewall náhodné zdrojové porty.
Příčina
K tomuto chování dochází, protože zařízení NAT (Network Address Translation) mění zdrojové a cílové IP adresy. Tato zařízení také často mění zdrojový port, aby předcházela konfliktům zdrojů. K těmto konfliktům může docházet, když se více interních hostitelů pokusí odeslat provoz pomocí stejného zdrojového portu. Protože mnoho moderních bran firewall ve skutečnosti vnitřně zastavuje odchozí provoz a vytváří nové externí sokety pro překlad síťových adres (NAT), nemohou tyto brány firewall používat stejné porty na stejné externí IP adrese, aniž by došlo ke konfliktu. Proto tyto brány firewall pro provoz z adres NAT používají postupné přidělování portů. Náhodné porty používané aktualizovaným překladačem DNS se externě mohou jevit jako postupné přidělování portů, a to i po instalaci aktualizace zabezpečení 953230 do interního hostitele NAT.
Řešení
Chcete-li tento problém vyřešit, použijte jednu z následujících metod:
 • Vytvořte směrovaný síťový vztah mezi serverem DNS a Internetem. Tato možnost a metodika jejího provedení závisí na použité technologii brány firewall. Tato možnost může vyžadovat přemístění serveru DNS do jiné podsítě, aby vztah mezi serverem a Internetem nepoužíval překlad síťových adres (NAT).
 • Máte-li jediný server DNS, můžete ve službě DNS systému Windows Server 2003 nebo Windows Server 2008 implementovat rozdělený systém DNS. V tomto případě musí být server DNS k dispozici ze dvou IP adres. Jedna IP adresa je interní a druhá externí (vzhledem k síti serveru NAT). Interní pracovní stanice provádějí dotazy vůči serveru DNS. Pokud máte nainstalovanou aktualizaci zabezpečení 953230, používá server DNS při předávání cizích požadavků jiným serverům DNS náhodné přidělování portů.

  Postupujte takto: Spusťte nástroj pro správu služby DNS, klepněte na daný server a potom poklepejte na položku Servery pro předávání. Klepněte na kartu Servery pro předávání a potom nakonfigurujte možnost Všechny další domény DNS. Server pak všechny požadavky pro domény DNS, které sám nespravuje, automaticky předá serverům uvedeným v seznamu IP adres serverů pro předávání u vybrané domény. Do tohoto seznamu přidejte nadřazené servery DNS poskytovatele.

  Interní pracovní stanice by měly být nakonfigurovány tak, aby používaly interní IP adresu serveru DNS. To lze nastavit ručně nebo pomocí možností protokolu DHCP (Dynamic Host Configuration Protocol).

  Poznámka: Použití jediného serveru DNS v řešení s rozděleným systémem DNS poskytuje zákazníkům výhody náhodného přidělování portů službou DNS. Tato konfigurace však přidává další cestu z Internetu do podnikové nebo místní sítě. Mohla by tedy zvýšit riziko útoků z Internetu.
 • Řešení rozděleného systému DNS lze také nakonfigurovat tak, aby místo jednoho serveru používalo dva servery. V tomto případě je vzhledem k síti se serverem NAT jeden ze serverů DNS externí a jeden je interní. Interní server nakonfigurujte tak, jak bylo popsáno pro případ s jedním serverem DNS, ale v seznamu IP adres serverů pro předávání uveďte místo nadřazeného serveru poskytovatele adresu externího serveru DNS. Protože se externí server DNS nachází mimo síť se serverem NAT, nedochází k přerušení náhodného přidělování portů.
 • Obraťte se na dodavatele brány firewall a informujte se, zda jsou plánovány aktualizace jejich produktu firewall.
Další informace
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
953230 MS08-037: Chyby zabezpečení ve službě DNS by mohly umožnit falšování obsahu
812873Rezervování rozsahu dočasných portů v počítači se systémem Windows Server 2003 nebo Windows 2000 Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
956188 Po instalaci aktualizace zabezpečení služby Server DNS 953230 (MS08-037) dochází k problémům se síťovými službami závislými na protokolu UDP
956187 Informační zpravodaj zabezpečení společnosti Microsoft: Zvýšená míra ohrožení serverů DNS chybou zabezpečení proti umísťování falešného obsahu
956189 V počítači se serverem Windows SBS se po instalaci aktualizace zabezpečení serveru DNS 953230 (MS08-037) některé služby nemusí spustit nebo nemusí pracovat správně
Eigenschaften

Artikelnummer: 956190 – Letzte Überarbeitung: 07/31/2008 17:04:57 – Revision: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

 • kbexpertiseinter kbtshoot KB956190
Feedback