Sich Verhalten der DNS-Server nach der Installation des Sicherheitsupdates für DNS-server

Einführung

Bereitstellen Sie Verhalten bei der Installation auf Servercomputern nach Installation des Sicherheitsupdates für DNS-server

Dieser Knowledge Base-Artikel werden Benutzer über Szenarien zu informieren, die von einer bevorstehenden Änderung an der DNS-Serverfunktionalität betroffen sind. Wir haben dieses Dokument so allgemein wie möglich. Bitte lesen Sie dieses Dokument in seiner Gesamtheit und wenn verstehen und wie Enterprise-Umgebung dieses Update betroffen sein kann.

Weitere Informationen zum Sicherheitsupdate für DNS-Server aktualisieren Sie, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
961063 MS09-008: Hinweise zum Sicherheitsupdate für DNS-Server: 10. März 2009

Weitere Informationen

Definitionen-Tabelle

BegriffDefinition
Domain Namenssystem (DNS)DNS ist ein Internetstandardprotokoll, das Namen in IP-Adressen und umgekehrt übersetzt.
WPADWeb Proxy Auto-Discovery-Protokoll
ISATAPStandortinternen automatischen Tunnel Addressing Protocol

Überblick über das Problem

Internet Explorer und ähnliche Clients Suchen mithilfe von Web Proxy Auto-Discovery-Protokoll (WPAD) für einen Proxyserver. Clientcomputer Suchen nach WPAD-Servers Auflösen des Namens WPAD und DNS. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ist eine Technologie IPv6-Übergang. DNS-Clients führen ISATAP-Erkennung ist vergleichbar mit der Methode, die für WPAD verwendet wird. Böswilliger Absicht vorgenommene Registrierung eines WPAD- oder ISATAP-Eintrags innerhalb eines Unternehmensnetzwerks können Angreifer böswillige konfiguriert. Es sind Abhilfen für das Problem der Sicherheit. Beispielsweise können Sie die DNS-Datenbank einen reservierten Namenshosteintrag registrieren. Der Administrator muss den Hostnamen registrieren ohne eine IP-Adresse reservieren und der Eintrag für den Host.




Ändert DNS nach der Sicherheitsupdates

Die folgenden Änderungen DNS erfolgen nach Sicherheitsupdates DNS:

  • Das Sicherheitsupdate erstellt automatisch eine Sperrliste, die von DNS verwendet werden. Jede Namensabfrage wird anhand der Sperrliste überprüft, und eine negative Antwort Block aufgelisteten Namen Abfrage gesendet.
  • Die Standardwerte der Sperrliste hängt die Daten in den Zonen, die der Server für die Ausführung der Aktualisierung aus. Wenn die Zonendaten keine Einträge für WPAD oder ISATAP enthalten, werden die WPAD- oder ISATAP-Einträge in der Sperrliste aufgefüllt.
  • Die DNS-Datenbank bereits einen dieser Einträge enthält, werden die WPAD- oder ISATAP-Einträge nicht in der Sperrliste aufgefüllt.
  • Der Administrator kann konfigurieren und bearbeiten die Sperrliste in der Registrierung. DNS-Dienst muss neu gestartet werden, für die neue Sperrliste akzeptieren.
  • Für DNS gilt die Sperrliste für alle Zonen, die vom Server gehostet werden. Sie lässt keine WPAD und ISATAP-Abfragen in einer Zone nicht.
  • Die Sperrliste wird für jeden Server in der Registrierung gespeichert. Gibt es keine Replikation Block Einträge auf mehreren Servern.

Häufig gestellte Fragen

  1. Was geschieht, wenn ich meinen DNS-Server auf LH-Server aktualisiere?
    Antwort: Ein DNS-Server mit gültigen Einträge WPAD und ISATAP wird weiterhin wie zuvor.
  2. Was ist der Speicherort der Registrierungseintrag für die Sperrliste?
    Antwort:
    Die Sperrliste verwendet den Eintrag GlobalQueryBlockList REG_MULTI_SZ im folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Was passiert, wenn ich die Einträge der Sperrliste in der Registrierung löschen?
    Antwort: Alle Abfragen nach WPAD und ISATAP ist erfolgreich, wenn Dienst neu starten.
  4. Was geschieht, wenn ich den Registrierungsschlüssel GlobalQueryBlockList löschen?

    Antwort: Beim Neustart des Dienstes der Schlüssel wieder hinzugefügt und die Standardwerte Block Liste aufgefüllt. Alle TXT WPAD und ISATAP-Abfragen werden blockiert.
  5. Was passiert, wenn ich einen Eintrag "Contoso" zur Sperrliste in der Registrierung hinzufügen?
    Antwort: Nach dem Hinzufügen des Eintrags in der Sperrliste fehl alle Abfragen an Contoso in allen Zonen, sobald der Dienst neu gestartet wird.
  6. Was geschieht, wenn bereits einen Eintrag für Contoso die DNS-Datenbank ist und ich auch Contoso Sperrliste hinzufügen?
    Antwort: Abfragen nach "Contoso. MyZone.com"schlagen fehl.
  7. Ich habe einen WPAD-Server im Netzwerk bereitgestellt. Betroffen bin ich sein?
    Antwort: Nein Wenn Sie WPAD in einem Netzwerk bereitstellen, und Sie haben bereits den Namen WPAD in DNS registriert, wird es nicht blockiert. Jedoch wenn Sie WPAD im Netzwerk und DHCP verwendet wpad.dat-Datei ohne DNS verteilen, werden dann DNS-Abfrage nach WPAD blockiert.
  8. Kann ich DNSCMD.exe zum Konfigurieren der Sperrliste verwenden?
    Antwort: Nein Sie können nur die Sperrliste in der Registrierung ändern.
  9. Würde die Registrierung geblockter Einträge nicht in der DNS-Server?
    Antwort: Nein Als Teil der Funktion zum Blocken Liste gelingt erfassen. Nur Abfragen nach den geblockten Einträgen schlagen fehl.
  10. Werden nur Host (TypA oder AAAA) Abfragen von diesem Feature geblockt?
    Antwort: Nein, alle Arten von Abfragen nach Namen in der Sperrliste gesperrt.
Eigenschaften

Artikelnummer: 968732 – Letzte Überarbeitung: 13.01.2017 – Revision: 2

Feedback