Olet tällä hetkellä offline-tilassa. Internet-yhteyden muodostamista uudelleen odotetaan

DNS-kyselyt, jotka lähetetään palomuurin läpi, eivät käytä satunnaisia lähdeportteja, kun asennat suojauspäivityksen 953230 (MS08-037)

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Oire
Kun asennat suojauspäivityksen 953230 (MS08-037) Microsoft Windows -tietokoneeseen, DNS (Domain Name System) -kyselyt, jotka lähetetään tietokoneesta palomuurin läpi, eivät käytä satunnaisia lähdeportteja.
Syy
Tämä toiminta johtuu siitä, että NAT (Network Address Translation) -laitteet muuttavat IP-lähde- ja -kohdeosoitteita. Nämä laitteet vaihtava usein myös lähdeportin välttääkseen resurssiristiriidat, joita voi tapahtua, kun usea sisäinen palvelin yrittää lähettää liikennettä saman lähdeportin kautta. Koska monet nykyaikaiset palomuurit pysäyttävät lähtevän liikenteen sisällään ja luovat uudet ulkoiset vastakkeet NAT-käännöstä varten, palomuurit eivät voi käyttää yhteneväisiä lähdeportteja samassa ulkoisessa IP-osoitteessa aiheuttamatta ristiriitoja. Tästä syystä palomuurit käyttävät NAT-liikenteessä peräkkäisiä portinvarauksia. Päivitetyn DNS-ratkaisijan käyttämät satunnaiset portit voivat näkyä ulkoisesti peräkkäisinä porttinumeroina jopa sen jälkeen, kun suojauspäivitys 953230 on asennettu sisäiseen NAT-palvelimeen.
Ratkaisu
Voit korjata tämän ongelman jollakin seuraavista tavoista:
  • Luo reititetty verkkosuhde DNS-palvelimen ja Internetin välille. Tämä mahdollisuus ja tekotapa määräytyy käytetyn palomuuritekniikan mukaan. Tämä voi vaatia sen, että DNS-palvelin sijaitsee eri aliverkossa, jolloin palvelimen ja Internetin välinen suhde ei enää käytä NAT-käännöstä.
  • Jos käytössäsi on yksittäinen DNS-palvelin, voit toteuttaa jaetun DNS-ratkaisun Windows Server 2003- tai Windows Server 2008 -DNS-palveluissa. Tässä skenaariossa DNS-palvelimeen on oltava yhteys kahdesta IP-osoitteesta. Toinen IP-osoite on NAT-palvelinverkon sisäinen ja toinen ulkoinen. Sisäiset työasemat lähettävät kyselyt DNS-palvelimeen. Jos olet asentanut suojauspäivityksen 953230, DNS-palvelin käyttää portin satunnaistamista välittäessään vieraat pyynnöt muihin DNS-palvelimiin.

    Tee tämä avaamalla DNS-hallintatyökalu, napsauttamalla palvelinta ja kaksoisnapsauttamalla Forwarders. Valitse Forwarders-välilehti ja määritä All Other DNS Domains -asetus. Palvelin välittää ne DNS-toimialuepyynnöt, joita se ei käsittele, automaattisesti palvelimiin, jotka on lueteltu Selected Domain's Forwarder IP Address -luettelossa. Lisää verkkopalvelun toimittajan DNS-palvelimet tähän luetteloon.

    Sisäiset työasemat tulee määrittää käyttämään DNS-palvelimen sisäistä IP-osoitetta. Tämä voidaan määrittää manuaalisesti tai DHCP (Dynamic Host Configuration Protocol) -asetusten avulla.

    Huomautus Yksittäisen DNS-palvelimen käyttäminen jaettuna DNS-ratkaisuna mahdollistaa DNS-portin satunnaistamisen hyödyntämisen. Tämä määritys kuitenkin lisää polun Internetistä yrityksen verkkoon tai paikalliseen verkkoon. Tämä määritys voi lisätä Internet-uhille altistumista.
  • Voit myös määrittää jaetun DNS-ratkaisun käyttämään kahta palvelinta yhden asemesta. Tässä tapauksessa yksi DNS-palvelin on NAT-palvelimen sisältävän verkon ulkopuolella ja toinen on verkossa, jossa NAT-palvelin on. Määritä sisäinen palvelin samalla tavalla kuin yhden DNS-palvelimen skenaariossa, mutta lisää ulkoisen DNS-palvelimen osoite Forwarder IP Address -luetteloon palveluntoimittajan asemesta. Koska ulkoinen DNS-palvelin sijaitsee NAT-palvelimen verkon ulkopuolella, portin satunnaistaminen ei keskeydy.
  • Ota yhteyttä palomuurin toimittajaan ja ota selvää, onko palomuurituotteeseen suunnitteilla päivityksiä.
Enemmän tietoa
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
953230 MS08-037: DNS-heikkoudet saattavat sallia tunnistetietojen väärentämisen
812873Tilapäisten porttien alueen varaaminen tietokoneessa, jossa on Windows Server 2003 tai Windows 2000 Server (tämä artikkeli saattaa olla englanninkielinen)
956188 Kohtaat ongelmia UDP-protokollaa käyttävissä verkkopalveluissa, kun asennat DNS-palvelinpalvelun suojauspäivityksen 953230 (MS08-037)
956187 Microsoft tietoturva-artikkeli: Kasvanut uhka DNS-osoitteenväärennystietoturvaongelmalle
956189 Jotkin palvelut eivät ehkä käynnisty tai toimi oikein tietokoneessa, jossa on Windows SBS, kun asennat DNS-palvelimen suojauspäivityksen 953230 (MS08-037)
Ominaisuudet

Artikkelin tunnus: 956190 – Viimeisin tarkistus: 08/01/2008 12:14:44 – Versio: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Palaute
ckstreamTracker.init(); ck="setLanguage(language);" class="ng-binding" id="language-et-ee">Eesti - Eesti
Norge - Bokmål
United States (English)
香港特別行政區 - 繁體中文
El Salvador - Español
Panamá - Español
Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
//c1.microsoft.com/c.gif?DI=4050&did=1&t=">d="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> t type="text/javascript" src="https://c.microsoft.com/ms.js">