您目前已離線,請等候您的網際網路重新連線

安裝安全性更新 953230 (MS08-037) 之後,透過防火牆傳送的 DNS 查詢不會使用隨機來源連接埠

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

徵狀
在 Microsoft Windows 電腦上安裝安全性更新 953230 (MS08-037) 之後,透過防火牆從電腦傳送的網域名稱系統 (DNS) 查詢不會使用隨機來源連接埠。
發生的原因
發生這個問題的原因,是因為網路位址轉譯 (NAT) 裝置變更來源和目的 IP 位址。這些裝置也會經常變更來源連接埠,以避免多重內部主機嘗試使用相同的來源連接埠傳送流量時可能發生的資源衝突。因為目前的許多防火牆會在內部實際停止輸出流量,並為 NAT 建立新的外部通訊端,因此防火牆使用位於同一外部 IP 位址的同一來源連接埠時,就會產生衝突。因此,防火牆會使用 NAT 針對流量指派的序列連接埠。即使將安全性更新 953230 套用到內部 NAT 主機之後,更新的 DNS 解析程式所用的隨機連接埠看起來仍可能是使用序列連接埠指派。
解決方案
如果要解決這個問題,請使用下列其中一種方法:
  • 在 DNS 伺服器和網際網路之間建立路由網路關係。此路由網路關係的功能和方法取決於使用的防火牆技術。這可能需要將 DNS 伺服器重新放置到不同的子網路,伺服器和網際網路之間的關係才不會再使用 NAT。
  • 如果您擁有單一 DNS 伺服器,則可在 Windows Server 2003 或 Windows Server 2008 DNS 服務中實作獨立的 DNS 解決方案。在此案例中,必須可使用來自兩個 IP 位址的 DNS 伺服器。一個 IP 位址在 NAT 伺服器網路內部,另一個則在外部。內部工作站向 DNS 伺服器執行查詢。如果您已安裝安全性更新 953230,DNS 伺服器會使用隨機連接埠將外部要求轉寄到其他 DNS 伺服器。

    如果要執行這項操作,請開啟 DNS 系統管理工具,按一下伺服器,然後連按兩下 [轉寄站]。按一下 [轉寄站] 索引標籤,然後設定 [所有其他 DNS 網域] 選項。伺服器會接著將伺服器不處理的任何 DNS 網域要求自動轉寄到位於 [已選取的網域轉寄站 IP 位址清單] 中所列的伺服器。將上游提供者的 DNS 伺服器新增到此清單。

    內部工作站應設定為使用您 DNS 伺服器的內部 IP 位址。這可手動設定或使用 [動態主機設定通訊協定] (DHCP) 選項設定。

    注意 在獨立的 DNS 解決方案中使用單一 DNS 伺服器將可為客戶提供 DNS 隨機連接埠的優點。不過,此設定會在網際網路與您的企業或本機網路之間增加一個途徑。此設定可能會大幅提高暴露於網際網路威脅的風險。
  • 您可能也會設定獨立的 DNS 解決方案使用兩個伺服器,而非單一伺服器。在此案例中,您的其中一部 DNS 伺服器位於包含 NAT 伺服器的網路外部,一部則位於內部。請依照單一 DNS 伺服器案例所述來設定內部伺服器,但在 [轉寄站 IP 位址清單] 中列出外部 DNS 伺服器的位址,而非上游提供者的位址。因為外部 DNS 伺服器位於包含 NAT 伺服器的網路外,因此不會中斷隨機連接埠。
  • 請連絡防火牆廠商以瞭解他們的防火牆產品是否有提供更新。
其他相關資訊
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
953230 MS08-037:DNS 的漏洞也可能造成詐騙的情況發生
812873如何保留在 Windows Server 2003 或 Windows 2000 Server 電腦上執行範圍的暫時連接埠 (英文)
956188 安裝 DNS 伺服器服務安全性更新 953230 (MS08-037) 之後,遇到 UDP 相關網路服務問題。
956187 Microsoft 資訊安全諮詢:遽增的 DNS 詐騙弱點威脅
956189 安裝 DNS 伺服器安全性更新 953230 (MS08-037) 之後,部分服務可能無法在執行 Windows SBS 的電腦上啟動或正確運作
內容

文章識別碼:956190 - 最後檢閱時間:07/31/2008 17:04:51 - 修訂: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
意見反應
"; var Ctrl = ""; document.write("