REVISIÓN: Las conexiones de clientes SecureNAT salientes intermitentemente fallen porque cómo Forefront Threat Management Gateway 2010 administra grupos de puerto de origen NAT

Seleccione idioma Seleccione idioma
Id. de artículo: 2596065 - Ver los productos a los que se aplica este artículo
Aviso
Importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de que copia el registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre un problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
Expandir todo | Contraer todo

Síntomas

Las conexiones de clientes SecureNAT salientes intermitentemente fallen porque cómo Microsoft Forefront Threat Management Gateway (TMG) 2010 administra su grupo de puerto origen saliente del translation (NAT) de direcciones red.

Causa

Cuando se realiza una conexión saliente de SecureNAT a través de un servidor TMG y NAT se aplica, TMG debe determinar el puerto de origen saliente que se utilizará para la conexión de NAT. TMG mantiene un grupo de puertos de origen que se utilizará para las conexiones salientes de NAT. Cuando se cierra una conexión, el puerto de origen saliente se libera al grupo y está inmediatamente disponible para una conexión saliente más tarde.

Tenga en cuenta la situación siguiente:
  • Poco después de cerrar la conexión anterior a través de ese puerto de origen, se utiliza un puerto de origen saliente.
  • El puerto de origen saliente se utiliza para crear una nueva conexión saliente con el mismo servidor externo.
  • La conexión anterior en el servidor externo está en el estado TIME_WAIT.
En este escenario, este intento de conexión puede fallar.

El estado TIME_WAIT es parte de la TCP RFC 793 especificación y se utiliza para proteger las conexiones se corrompan los paquetes de datos que pueden ser aún pendientes de una conexión anterior. Según RFC 793, cuando una conexión se cierra correctamente, se debe mantenerse en un estado TIME_WAIT durante cuatro minutos, la duración de máxima del segmento dos veces.

La conexión saliente de SecureNAT se producirá un error cuando se cumplen las condiciones siguientes:
  • TMG utiliza el mismo puerto de origen para una conexión saliente al servidor externo dentro de cuatro minutos de una conexión anterior.
  • El servidor externo tiene la conexión anterior del mismo puerto de origen en un estado TIME_WAIT.
Cuando se cumplen estas condiciones, el servidor externo no aceptará el nuevo intento de conexión. Esto hace que la conexión saliente de SecureNAT falle.

Este problema sólo cuando hay altos niveles de tráfico saliente de los clientes SecureNAT y cuando la mayoría del tráfico saliente de cliente de SecureNAT se dirige al mismo servidor externo.

Solución

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que se puedan resolver estos problemas. Modificar el registro bajo su responsabilidad.

MG Service Pack 2 agrega soporte TIME_WAIT para el grupo de puertos NAT saliente.

Para resolver este problema, instale el service pack que se describe en el siguiente artículo de Microsoft Knowledge Base:
2555840 Descripción del Service Pack 2 de Microsoft Forefront Threat Management Gateway 2010
De forma predeterminada, no está habilitada la compatibilidad TIME_WAIT en TMG Service Pack 2. Para habilitar la compatibilidad TIME_WAIT, debe crear la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD:
ApplyCooldownForLocalSourcePortReuseValue = 1.
Valor predeterminado: 0. (Valor mínimo = 0. Valor máximo = 1.)
Debe reiniciar el servidor TMG para que surta efecto el cambio de registro.

Según RFC 793, el enfriamiento para su reutilización de puerto predeterminado es cuatro minutos en milisegundos (240000).

Aunque no se recomienda cambiar los valores predeterminados, se puede ajustar el tiempo de enfriamiento mediante el uso de la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD: CooldownForLocalSourcePortReuseTime
Valor: Tiempo en milisegundos.
Por defectovalor:240000. (Valor mínimo = 0. Valor máximo = 100000000.)
Debe reiniciar el servidor TMG para que surta efecto el cambio de registro.

Estado

Microsoft ha confirmado que se trata de un problema en los productos de Microsoft enumerados en la sección "Se refiere a:".

Referencias

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 2596065 - Última revisión: lunes, 17 de octubre de 2011 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Forefront Threat Management Gateway 2010 Enterprise
  • Microsoft Forefront Threat Management Gateway 2010 Standard
  • Microsoft Forefront Threat Management Gateway 2010 Service Pack 1
Palabras clave: 
kbfix kbbug kbexpertiseinter kbsurveynew kbmt KB2596065 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2596065

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com