ISA Server 2004 或 ISA Server 2006 的下游服务器不会重新使用 TCP 连接,到第三方的上游服务器

文章翻译 文章翻译
文章编号: 934022 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

请考虑以下情形。下游服务器正在运行 Microsoft Internet 安全性和加速 (ISA) Server 2004 或 Microsoft 网络安全和加速 (ISA) 服务器 2006年。此下游服务器被链接到第三方通过 Web 链接配置的上游服务器。在这种情况下 ISA 服务器不会不重复使用已创建了到上游服务器在 TCP 连接。而是,ISA 服务器后收到的 HTTP 响应关闭每个 TCP 连接。

在网络负载很重时,这种情况可能会引起 ISA Server 用尽所有可用的 TCP 端口。

原因

有些第三方代理服务器发送 HTTP 响应,其中包括这两个以下的标头:
  • 内容长度
  • 传输编码: 分块
按照 RFC 2616 的规范部分 4.4,这些两个标头是互斥性而他们必须不能一起使用。此 HTTP 响应指示可能的 HTTP smuggling 攻击。因此,ISA 服务器将处理该响应通过忽略内容长度标头。然后,ISA 服务器关闭 TCP 连接以避免潜在的攻击。

解决方案

解决方案

若要解决此问题,获得最新的 ISA 服务器服务包。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
954258如何获取最新的 Internet 安全和 $ 加速 (ISA) Server 2006 服务包
891024如何获取最新的 ISA Server 2004 服务包
重要这些步骤可能会增加安全风险。这些步骤还会使计算机或网络更易于受到恶意用户或恶意软件 (如病毒的攻击。我们之所以推荐本文介绍以使程序能够按照它们被设计为运行或者为了实现特定的程序功能的过程。您在进行这些更改之前,我们建议您考虑在您的特定环境中实施这一过程相关联的风险。如果您决定实施此过程,采取任何适当的附加措施来帮助保护系统。我们建议您在真正需要这一过程的情况下,才使用此过程。
警告请按照本节中的步骤之后,ISA Server 2004 将不会关闭 TCP 连接,即使这两个内容长度标头和"传送编码: 分块"HTTP 响应中的页眉有。此分辨率减少了由 ISA Server 提供了保护。因此,我们不建议您应用此更改,除非上游服务器提供了针对 HTTP smuggling 攻击的保护。

若要将默认 ISA 行为,请按照下列步骤操作:
  1. 若要解决此问题,获得最新的 ISA 服务器服务包。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    954258如何获取最新的 Internet 安全和 $ 加速 (ISA) Server 2006 服务包
    891024如何获取最新的 ISA Server 2004 服务包
  2. 启动记事本。
  3. 复制下面的代码,然后将其粘贴到记事本中:
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    '
    ' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    	
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script sets whether ISA will keep connections open after it receives an HTTP 
    ' response that contains both a Content-Length header and a Transfer-Encoding: Chunked header.
    '
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "EnableKb934022"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item.
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  4. 将文本的文件另存为"Enable934022。
  5. 打开命令提示符,切换到该脚本将保存的位置,然后在命令提示符处运行以下命令:
    cscript Enable934022.vbs
注意若要还原到默认设置,编辑脚本通过更改"Const SE_VPS_VALUE = true Const SE_VPS_VALUE 以 = 假"保存脚本,然后再运行它。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

有关如何安装 ISA 服务器修补程序和更新的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
885957如何安装 ISA 服务器修补程序和更新

属性

文章编号: 934022 - 最后修改: 2008年10月24日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
关键字:?
kbmt kbtshoot kbexpertiseinter kbprb KB934022 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 934022
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com