修复: 传出来自 SecureNAT 客户端连接可能会间歇性地失败由于的 Forefront 威胁管理网关 2010年如何管理 NAT 源端口池

文章翻译 文章翻译
文章编号: 2596065 - 查看本文应用于的产品
注意
重要 本文包含有关如何修改注册表的信息。请确保备份注册表之前对其进行修改。请确保您知道如何出现问题时还原注册表。有关如何备份、 还原和修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何备份和还原在 Windows 注册表
展开全部 | 关闭全部

症状

传出来自 SecureNAT 客户端连接可能会间歇性地失败,因为 Microsoft Forefront 威胁管理网关 (TMG) 2010年如何管理其传出网络地址转换 (NAT) 源端口池。

原因

当传出 SecureNAT 连接通过 TMG 服务器并应用 NAT 时,TMG 必须确定将用于 NAT 连接的传出源端口。TMG 维护源端口用于传出 NAT 连接的池。当关闭连接时,传出的源端口释放回池中,并可立即用于以后的传出连接。

请考虑以下情形:
  • 通过此源端口上的连接关闭后不久,则使用传出的源端口。
  • 传出的源端口用于使新的传出连接到同一外部服务器。
  • 在外部服务器上以前的连接处于 TIME_WAIT 状态。
在此方案中,此连接尝试可能会失败。

TIME_WAIT 状态是的一部分 TCP 793 RFC 规范并被用来保护连接情况下可能仍有未完成从先前连接的数据包而被损坏。根据 RFC 793 连接正常关闭时,它应在奥兰多 TIME_WAIT 状态四分钟,最大段生存期的大约两倍。

当以下条件为真时,传出 SecureNAT 连接将会失败:
  • TMG 的上一个连接的 4 分钟内到外部服务器的传出连接使用相同的源端口。
  • 外部服务器有相同的源端口,处于 TIME_WAIT 状态从以前的连接。
满足这些条件时,外部服务器将不会接受新的连接尝试。这会导致失败的传出 SecureNAT 连接。

仅当有高级别的传出 SecureNAT 客户端通信并大部分传出 SecureNAT 客户端通信定向到同一外部服务器时,会遇到此问题。

解决方案

警告 如果通过使用注册表编辑器或使用另一种方法不正确修改注册表,可能会出现严重的问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

MG Service Pack 2 添加 TIME_WAIT 支持传出 NAT 端口池。

要解决此问题,请安装以下 Microsoft 知识库文章中的描述该 service pack:
2555840 Microsoft Forefront 威胁管理网关 2010年的 Service Pack 2 的说明
默认情况下未启用 TMG Service Pack 2 中的 TIME_WAIT 支持。要启用 TIME_WAIT 支持,您必须创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD 值:
ApplyCooldownForLocalSourcePortReuseValue = 1。
默认值: 0.(最小值 = 0。最大值 = 1。)
您必须重新启动 TMG 服务器注册表的更改才会生效。

根据 RFC 793 冷却端口重复使用的默认值是四分钟,以毫秒为单位 (240000)。

尽管建议不要更改默认值,可以调整冷却时间通过使用下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters

DWORD 值: CooldownForLocalSourcePortReuseTime
值: 时间 (以毫秒为单位)。
默认值值:240000。 (最小值 = 0。最大值 = 100000000。)
您必须重新启动 TMG 服务器注册表的更改才会生效。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的一个问题。

参考

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 2596065 - 最后修改: 2011年10月17日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Forefront Threat Management Gateway 2010 Enterprise
  • Microsoft Forefront Threat Management Gateway 2010 Standard
  • Microsoft Forefront Threat Management Gateway 2010 Service Pack 1
关键字:?
kbfix kbbug kbexpertiseinter kbsurveynew kbmt KB2596065 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2596065
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com