Al momento sei offline in attesa che la connessione Internet venga ristabilita

Le query DNS inviate attraverso un firewall non utilizzano le porte origine casuali dopo l'installazione dell'aggiornamento della protezione 953230 (MS08-037)

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Sintomi
Dopo l'installazione dell'aggiornamento della protezione 953230 (MS08-037) in un computer con Microsoft Windows, le query DNS (Domain Name System) che vengono inviate dal computer attraverso un firewall non utilizzano le porte origine casuali.
Cause
Questo comportamento è causato dal fatto che i dispositivi NAT (Network Address Translation) modificano gli indirizzi IP di origine e di destinazione. Questi dispositivi cambiano di frequente anche la porta origine per evitare i conflitti di risorse che potrebbero verificarsi quando più host interni provano a inviare traffico utilizzando la stessa porta origine. Dal momento che molti firewall moderni effettivamente arrestano il traffico in uscita internamente e creano nuovi socket esterni per NAT, i firewall non possono utilizzare porte origine identiche sullo stesso IP esterno senza creare conflitto. Di conseguenza, i firewall utilizzano l'assegnazione delle porte sequenziale per il traffico proveniente da NAT. Le porte casuali che vengono utilizzate dal resolver DNS aggiornato potrebbero essere viste all'esterno in quanto si utilizza l'assegnazione delle porte sequenziale anche dopo l'applicazione dell'aggiornamento della protezione 953230 all'host NAT interno.
Risoluzione
Per risolvere il problema, utilizzare uno dei metodi seguenti:
  • Creare una relazione di rete instradata tra il server DNS e Internet. La capacità e la metodologia di tale relazione dipendono dalla tecnologia firewall utilizzata. Potrebbe essere necessario riallocare il server DNS in una subnet diversa in modo che per la relazione tra il server e Internet non venga più utilizzato NAT.
  • Se si dispone di un solo server DNS, è possibile implementare una soluzione DNS suddivisa nei servizi DNS di Windows Server 2003 o Windows Server 2008. In questo scenario, il server DNS deve essere disponibile da due indirizzi IP. Un indirizzo IP è interno e l'altro è esterno alla rete del server NAT. Le workstation interne eseguono query sul server DNS. Se è stato installato l'aggiornamento della protezione 953230, il server DNS utilizza la sequenza casuale della porta per inoltrare le richieste esterne ad altri server DNS.

    A tale scopo, aprire lo strumento di amministrazione di DNS, fare clic sul server e fare doppio clic su Server d'inoltro. Fare clic sulla scheda Server d'inoltro e configurare l'opzione Tutti gli altri domini DNS. Il server inoltrerà automaticamente qualsiasi richiesta non gestita per i domini DNS ai server presenti nell'Elenco indirizzi IP del server d'inoltro del dominio selezionato. Aggiungere all'elenco i server DNS del provider upstream.

    Configurare le workstation interne per l'utilizzo dell'indirizzo IP interno del server DNS. È possibile configurarle manualmente o tramite le opzioni Dynamic Host Configuration Protocol (DHCP).

    Nota L'utilizzo di un singolo server DNS in una soluzione DNS suddivisa offre ai clienti i vantaggi della sequenza casuale della porta. Questa configurazione tuttavia aggiunge un percorso da Internet alla rete locale o aziendale che potrebbe aumentare l'esposizione ai rischi di Internet.
  • È inoltre possibile configurare una soluzione DNS suddivisa per utilizzare due server anziché uno. In questo scenario, uno dei due server DNS è esterno alla rete del server NAT mentre l'altro è interno alla rete del server NAT. Configurare il server interno come descritto nello scenario del server DNS singolo, ma nell'Elenco indirizzi IP del server d'inoltro aggiungere l'indirizzo del server DNS esterno anziché il provider upstream. Dal momento che il server DNS esterno risiede all'esterno della rete del server NAT, la sequenza casuale della porta non viene interrotta.
  • Contattare il fornitore del firewall per verificare se sono stati pianificati aggiornamenti per il prodotto firewall.
Informazioni
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
953230 MS08-037: Possibili rischi di spoofing a causa di una vulnerabilità di DNS
812873Selezione di un intervallo di porte effimere in un computer che esegue Windows Server 2003 o Windows 2000 Server (in inglese)
956188 I problemi con i servizi di rete dipendenti da UPD si verificano dopo l'installazione dell'aggiornamento della protezione del servizio Server DNS 953230 (MS08-037)
956187 Avviso di sicurezza Microsoft: Un incremento della minaccia della vulnerabilità legata allo spoofing di DNS
956189 Alcuni servizi potrebbero non venire avviati o potrebbero non funzionare correttamente in un computer che esegue Windows SBS dopo l'installazione dell'aggiornamento della protezione server DNS 953230 (MS08-037)
Proprietà

ID articolo: 956190 - Ultima revisione: 07/31/2008 17:05:30 - Revisione: 1.2

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Feedback
document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> /html>