你目前正处于脱机状态,正在等待 Internet 重新连接

你的浏览器不受支持

你需要更新你的浏览器才能使用该网站。

更新到 Internet Explorer 的最新版本

在安装了安全更新 953230 (MS08-037) 后,穿过防火墙发送的 DNS 查询不使用随机源端口。

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

症状
在基于 Microsoft Windows 的计算机上安装了安全更新 953230 (MS08-037) 后,从计算机穿过防火墙发送的域名系统 (DNS) 查询不使用随机源端口。
原因
发生此问题的原因是网络地址转换 (NAT) 设备更改了源和目标 IP 地址。这些设备也经常会更改源端口,避免多个内部主机尝试使用同一源端口发送通信时可能会发生的资源冲突。因为许多现代防火墙实际上是在内部禁止传出通信,并为 NAT 创建了 新的外部套接字,所以这些防火墙在同一外部 IP 上使用相同的源端口时就会导致冲突。因此,这些防火墙对来自 NAT 的通信使用了连续端口分配。即使将安全更新 953230 应用于内部 NAT 主机,更新后的 DNS 解析程序所使用的随机端口也可能在外部被视为使用连续端口分配。
解决方案
要解决此问题,请使用下列方法之一:
  • 在 DNS 服务器和 Internet 之间建立路由网络关系。相关的功能和方法具体取决于所使用的防火墙技术。这可能要求将 DNS 服务器重定向到其他子网,以便该服务器与 Internet 之间的关系不再使用 NAT。
  • 如果使用的是单个 DNS 服务器,则可以在 Windows Server 2003 或 Windows Server 2008 DNS 服务中实现拆分 DNS 解决方案。在该方案中,必须可从两个 IP 地址获取该 DNS 服务器。其中一个 IP 地址位于 NAT 服务器网络内部,而另一个位于该网络外部。内部工作站对该 DNS 服务器执行查询。如果已安装了安全更新 953230,则该 DNS 服务器将使用端口随机化功能将外部请求转发到其他 DNS 服务器。

    为此,请打开 DNS 管理工具,单击该服务器,然后双击“转发器”。单击“转发器”选项卡,然后配置“所有其他 DNS 域”选项。这样,该服务器会自动将其未处理的任何 DNS 域请求转发到“所选域的转发器的 IP 地址”列表中列出的服务器。将上游提供商的 DNS 服务器添加到此列表中。

    应将内部工作站配置为使用 DNS 服务器的内部 IP 地址。此操作可手动设置,也可通过使用动态主机配置协议 (DHCP) 选项设置。

    注意:在拆分 DNS 解决方案中使用单个 DNS 服务器可以让客户体验到 DNS 端口随机化的好处。但是,该配置增加了一条从 Internet 到企业或本地网络的路径。该配置可能会增加遭受来自 Internet 威胁的风险。
  • 您也可以将拆分 DNS 解决方案配置为使用两个服务器,而不是一个服务器。在该方案中,其中一个 DNS 服务器位于 NAT 服务器所在网络的外部,而另一个位于 NAT 服务器所在网络的内部。按照单个 DNS 服务器方案中的说明配置内部服务器,但在“转发器 IP 地址”列表中列出外部 DNS 服务器的地址,而不是上游提供商的地址。由于外部 DNS 服务器位于 NAT 服务器所在网络的外部,因此端口随机化功能不会被中断。
  • 请与防火墙供应商联系以了解是否有计划为其防火墙产品发布的更新。
更多信息
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
953230 MS08-037:DNS 中的漏洞可能导致欺骗
812873如何在运行 Windows Server 2003 或 Windows 2000 Server 的计算机上保留一定范围的暂时端口 (EN)
956188 在安装了 DNS 服务器服务安全更新 953230 (MS08-037) 后,UDP 相关的网络服务出现问题
956187 Microsoft 安全公告:DNS 欺骗漏洞的威胁增加
956189 安装了 DNS 服务器安全更新 953230 (MS08-037) 后,在运行 Windows SBS 的计算机上某些服务可能无法启动或无法正常工作
属性

文章 ID:956190 - 上次审阅时间:07/31/2008 17:05:08 - 修订版本: 1.2

  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Server SP4
  • kbexpertiseinter kbtshoot KB956190
反馈
>ext/javascript" src="https://c.microsoft.com/ms.js">