Du arbetar offline, väntar på att återansluta till Internet

DNS-frågor som skickas via en brandvägg överförs inte via slumpmässiga källportar efter installation av säkerhetsuppdatering 953230 (MS08-037)

Supporten för Windows XP har upphört

Microsoft upphörde med supporten för Windows XP den 8 april 2014. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

Supporten för Windows Server 2003 upphörde 14 juli 2015

Microsoft upphörde med supporten för Windows Server 2003 den 14 juli 2015. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

Symptom
När säkerhetsuppdatering 953230 (MS08-037) har installerats på en dator med Microsoft Windows, används inte slumpmässiga källportar för DNS-frågor (Domain Name System) som skickas från datorn genom en brandvägg.
Orsak
Detta beror på att NAT-enheter (Network Address Translation) ändrar käll- och mål-IP-adresser. Dessa enheter ändrar även ofta källporten för att undvika resurskonflikter som kan uppstå när flera interna värdar försöker skicka trafik via samma källport. Eftersom många moderna brandväggar faktiskt stoppar utgående trafik internt och skapar nya externa sockets för NAT, kan brandväggarna inte använda identiska källportar på samma externa IP utan att skapa en konflikt. Därför används sekventiell porttilldelning i brandväggarna för trafiken från NAT-enheten. Externt kan det se ut som om de slumpmässiga portar som används av den uppdaterade DNS-matcharen har sekventiella porttilldelningar också efter det att säkerhetsuppdatering 953230 har installerats på den interna NAT-värden.
Lösning
Lös problemet med någon av följande metoder:
  • Skapa en nätverksrelation med routning mellan DNS-servern och Internet. Hur detta kan genomföras beror på vilken brandväggsteknik som används. Det kan vara nödvändigt att flytta DNS-server till ett annat undernät, så att NAT inte längre används i relationen mellan servern och Internet.
  • Om du har en enstaka DNS-server kan du implementera en delad DNS-lösning i Windows Server 2003- eller Windows Server 2008-DNS-tjänster. I detta fall måste DNS-servern vara tillgänglig från två IP-adresser. En IP-adress är intern och den andra IP-adressen är extern för NAT-servernätverket. Interna arbetsstationer skapar frågor till DNS-servern. Om du har installerat säkerhetsuppdatering 953230, används portrandomisering på DNS-servern för att vidarebefordra externa begäranden till andra DNS-servrar.

    Gör detta genom att öppna DNS-administrationsverktyget, klicka på servern och dubbelklicka på Vidarebefordrare. Klicka på fliken Vidarebefordrare och konfigurera sedan alternativet Alla andra DNS-domäner. Servern vidarebefordrar sedan automatiskt alla begäranden för DNS-domäner som servern inte hanterar till de servrar som anges i listan IP-adresser till vidarebefordrare i den valda domänen. Lägg till den överordnade leverantörens DNS-servrar i denna lista.

    De interna arbetsstationerna ska konfigureras för användning av din DNS-servers interna IP-adress. Detta kan göras manuellt eller med hjälp av DHCP-alternativ (Dynamic Host Configuration Protocol).

    Obs! Om endast en DNS-server används i en delad DNS-lösning får kunderna tillgång till fördelarna med DNS-portrandomisering, men konfigurationen lägger till en väg från Internet in i företagsnätverket eller det lokala nätverket, vilket kan öka exponeringen för hot från Internet.
  • Du kan även konfigurera en delad DNS-lösning med två servrar i stället för en. I detta fall är en av DNS-servrarna extern i förhållande till det nätverk som innehåller din NAT-server, och en är intern i förhållande till det nätverk som innehåller NAT-servern. Konfigurera den interna servern enligt beskrivningen i scenariot med en enda DNS-server, men ange adressen till den externa DNS-servern i listan IP-adresser till vidarebefordrare, i stället för adressen till den överordnade leverantören. Eftersom den externa DNS-servern finns utanför nätverket med NAT-servern avbryts inte portrandomiseringen.
  • Kontakta brandväggsleverantören och fråga om några uppdateringar för brandväggsprodukten planeras.
Mer Information
Om du vill veta mer klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
953230 MS08-037: Säkerhetsproblem i DNS möjliggör falska identiteter
812873Reservera ett intervall av tillfälliga portar på en dator med Windows Server 2003 eller Windows 2000 Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
956188 Det uppstår problem med UDP-beroende nätverkstjänster efter installation av säkerhetsuppdatering 953230 (MS08-037) för DNS Server-tjänsten
956187 Microsoft-säkerhetsmeddelande: Ökad risk för DNS-förfalskning
956189 Vissa tjänster startar inte eller fungerar inte som de ska på en dator med Windows SBS efter installation av säkerhetsuppdatering 953230 (MS08-037) för DNS Server
Egenskaper

Artikel-id: 956190 – senaste granskning 07/31/2008 17:04:47 – revision: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Feedback