FIX: In uscita le connessioni dai client SecureNAT riesca a intermittenza provocata dal modo in cui Forefront Threat Management Gateway 2010 gestisce pool porta di origine NAT

Traduzione articoli Traduzione articoli
Identificativo articolo: 2596065 - Visualizza i prodotti a cui si riferisce l?articolo.
Avviso
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
articolo 322756 Come eseguire il backup e ripristinare il Registro di sistema in Windows
Espandi tutto | Chiudi tutto

Sintomi

In uscita le connessioni dai client SecureNAT a intermittenza riesca a causa delle modalitÓ di gestione di Microsoft Forefront Threat Management Gateway (TMG) 2010 relativo pool di porta di uscita di network address translation (NAT) origine.

Cause

Quando viene effettuata una connessione SecureNAT in uscita attraverso un server TMG e NAT viene applicato, TMG deve determinare la porta di origine in uscita che verrÓ utilizzata per la connessione di NAT. TMG gestisce un pool di porte di origine da utilizzare per le connessioni NAT in uscita. Quando una connessione viene chiusa, la porta di origine in uscita viene liberata nel pool di ed Ŕ immediatamente disponibile per una connessione in uscita in un secondo momento.

Si consideri il seguente scenario:
  • Una porta di origine in uscita viene utilizzata subito dopo aver chiuso la connessione precedente tramite la porta di origine.
  • La porta di origine in uscita viene utilizzata per creare una nuova connessione in uscita sullo stesso server esterni.
  • La connessione precedente sul server esterno si trova nello stato TIME_WAIT.
In questo scenario, il tentativo di connessione potrebbe non riuscire.

Stato TIME_WAIT rientra la TCP RFC 793 specifica e viene utilizzato per proteggere le connessioni vengano danneggiate in pacchetti di dati potrebbero essere ancora in attesa di una connessione precedente. In base alla specifica RFC 793, quando una connessione viene chiusa normalmente, deve essere sorretto nello stato TIME_WAIT per quattro minuti, circa due volte la durata massima del segmento.

La connessione in uscita SecureNAT avrÓ esito negativo quando si verificano le condizioni seguenti:
  • TMG utilizza la stessa porta di origine per le connessioni in uscita al server esterno all'interno di quattro minuti di una connessione precedente.
  • Il server esterno ha la connessione precedente nello stato TIME_WAIT sulla stessa porta di origine.
Quando queste condizioni sono vere, il server esterno non accetterÓ il nuovo tentativo di connessione. In questo modo la connessione in uscita SecureNAT esito negativo.

Questo problema si verifica solo quando sono presenti livelli elevati di traffico in uscita dei client SecureNAT e quando la maggior parte del traffico client SecureNAT in uscita viene indirizzato allo stesso server esterni.

Risoluzione

Messaggio di avviso Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o tramite un altro metodo pu˛ causare seri problemi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

MG Service Pack 2 aggiunge il supporto TIME_WAIT per il pool di porta NAT in uscita.

Per risolvere questo problema, installare il service pack Ŕ descritto nell'articolo della Microsoft Knowledge Base riportato di seguito:
2555840 Descrizione del Service Pack 2 per Microsoft Forefront Threat Management Gateway 2010
Per impostazione predefinita, il supporto TIME_WAIT in TMG Service Pack 2 non Ŕ attivato. Per abilitare il supporto TIME_WAIT, Ŕ necessario creare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD:
ApplyCooldownForLocalSourcePortReuseValue = 1.
Valore predefinito: 0. (Valore minimo = 0. Valore massimo = 1.)
╚ necessario riavviare il server TMG per rendere effettiva la modifica del Registro di sistema.

In base alla specifica RFC 793, il raffreddamento per il riutilizzo di porta predefinito Ŕ quattro minuti in millisecondi (240000).

Anche se non Ŕ consigliabile modificare i valori di default, il tempo di raffreddamento pu˛ essere regolato mediante la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD: CooldownForLocalSourcePortReuseTime
Valore: Tempo in millisecondi.
Impostazione predefinitavalore:240000. (Valore minimo = 0. Valore massimo = 100000000.)
╚ necessario riavviare il server TMG per rendere effettiva la modifica del Registro di sistema.

Status

Microsoft ha confermato che si tratta di un problema con i prodotti elencati nella sezione "Si applica a".

Riferimenti

Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

ProprietÓ

Identificativo articolo: 2596065 - Ultima modifica: lunedý 17 ottobre 2011 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Forefront Threat Management Gateway 2010 Enterprise
  • Microsoft Forefront Threat Management Gateway 2010 Standard
  • Microsoft Forefront Threat Management Gateway 2010 Service Pack 1
Chiavi:á
kbfix kbbug kbexpertiseinter kbsurveynew kbmt KB2596065 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2596065
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com