На компьютере с системой Windows SBS после установки обновления безопасности 953230 (MS08-037) для DNS-сервера некоторые службы могут не запускаться или работать неправильно

Переводы статьи Переводы статьи
Код статьи: 956189 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

После установки обновления безопасности 953230 (MS08-037) для DNS-сервера на компьютере с системой Windows Small Business Server и перезагрузки компьютера могут возникнуть различные неполадки, связанные с работой сети.

Например, могут возникнуть проблемы, описанные ниже.

Проблема 1

Не запускается служба проверки подлинности в Интернете (IAS), при этом в системный журнал записывается сообщение об ошибке, похожее на приведенное в примере.
Тип события: Ошибка
Источник события: Диспетчер служб
Категория события: Отсутствует
Код события: 7023
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: имя_сервера
Описание: Служба проверки подлинности в Интернете завершена из-за ошибки. Каждый адрес сокета (протокол/сетевой адрес/порт) обычно разрешается использовать только один раз.

Проблема 2

Происходит сбой уведомлений Microsoft Exchange Server Always Up To Date (AUTD) для ActiveSync, при этом и в журнал событий приложений записывается сообщение об ошибке, похожее на приведенное в примере.
Тип события: Ошибка
Источник события: Server ActiveSync
Категория события: Отсутствует
Код события: 3015
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: имя_сервера
Описание: Сбой инициализации AUTD на основе IP в связи с невозможностью настройки обработки уведомлений. Код ошибки [0x80004005]. Убедитесь, что другие приложения не привязаны к UDP-порту [2883], или попытайтесь указать другой номер порта.
Тип события: Ошибка
Источник события: Server ActiveSync
Категория события: Отсутствует
Код события: 3024
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: имя_сервера
Описание: Сбой инициализации AUTD на основе IP. Код ошибки: [0x80004005].

Проблема 3

Не запускается служба IPSEC, при этом в системный журнал событий записывается сообщение об ошибке, похожее на приведенное в примере:
Тип события: Ошибка
Источник события: Диспетчер служб
Категория события: Отсутствует
Код события: 7023
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: имя_сервера
Описание: Служба IPSEC завершена из-за ошибки. Каждый адрес сокета (протокол/сетевой адрес/порт) обычно разрешается использовать только один раз.
Тип события: Ошибка
Источник события: IPSec
Категория события: Отсутствует
Код события: 4292
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: имя_сервера
Описание: Драйвер IPSec вошел в режим блокировки. IPSec отбросит весь входящий и исходящий сетевой трафик TCP/IP, который не разрешен привилегиями политики IPSec времени загрузки. Действие пользователя: Чтобы восстановить полную функциональность незащищенных подключений по протоколу TCP/IP, отключите службы IPSec, а затем перезагрузите компьютер. Подробные сведения о поиске и устранении неполадок см. в журнале событий безопасности.

Причина

Проблема возникает в связи с тем, что служба DNS-сервера прослушивает UDP-порт, который требуется другой службе. Проблема возникает при наличии параметра реестра MaxUserPort. Он находится в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
По умолчанию параметр реестра MaxUserPort устанавливается следующими программами с указанными ниже значениями.
Свернуть эту таблицуРазвернуть эту таблицу
ПрограммаЗначение параметра MaxUserPort по умолчанию
Microsoft Exchange Server 2003 60000
Microsoft Internet Security and Acceleration (ISA) Server65535
Windows Small Business Server 200360000
Windows Small Business Server 2003 с установленным сервером Exchange Server 2003 или ISA Server65535

Решение

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять с осторожностью. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003
Чтобы решить эту проблему, добавьте порт, который требуется службе, в параметр реестра ReservedPorts. Это позволит предотвратить прослушивание этого порта службой DNS-сервера. Известно, что конфликты могут вызывать порты, указанные ниже.
Свернуть эту таблицуРазвернуть эту таблицу
ПортыПрограммы, использующие эти порты
1645-1646IAS
1701-1701L2TP
1718-1719H.323 Gatekeeper (только ISA 2000)
1745-1745ISA Server 2000 или ISA Server 2004
1812-1813IAS
2883-2883AUTD
3500-3619Только ISA Server 2000
4500-4500IPSEC
Чтобы изменить параметр реестра ReservedPorts, выполните действия, описанные ниже.
  1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Щелкните правой кнопкой мыши параметр ReservedPorts и выберите команду Изменить.
  4. Введите диапазон портов, которые требуется зарезервировать.

    Примечания
    • Диапазон портов необходимо ввести в следующем формате:
      xxxx-yyyy
    • Не заменяйте существующие значения (дополнительные значения следует добавить).
    • Чтобы указать один порт, введите одно и то же значение в качестве «х» и «у». Например, чтобы указать порт 4000, введите 4000-4000.
    • Если указать порты, следующие один за одним, отдельно и если один порт зарезервирован, но не используется, резервирование следующего порта не будет выполнено должным образом и будет использоваться этот порт.
    • Параметры ISA Server применяются только к серверу Small Business Server 2000 или Windows Small Business Server 2003 Premium Edition.
  5. Нажмите кнопку ОК.

    Примечание. Если будет выведено предупреждение, указанное ниже, нажмите кнопку OK.
    Предупреждение.
    Данные типа REG_MULTI_SZ не могут содержать пустые строки.
    Редактор реестра удалит обнаруженную пустую строку.
  6. Закройте редактор реестра и перезагрузите компьютер.
Примечания
  • Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
  • Если на сервере используются приложения сторонних компаний, которые могут требовать использования статического UDP-порта с номером больше 1024, следует также добавить его в список зарезервированных портов.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе "Информация в данной статье применима к".

Дополнительная информация

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
953230 MS08-037: уязвимости в службе доменных имен (DNS) могут привести к атакам злоумышленников
812873 Резервирование диапазона временных портов на компьютере с системой Windows Server 2003 или Windows 2000 Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 956189 - Последний отзыв: 31 июля 2008 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Microsoft Windows Small Business Server 2003 R2 Premium Edition
  • Microsoft Windows Small Business Server 2003 R2 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Small Business Server 2000 Standard Edition
Ключевые слова: 
kbregistry kbprb kbtshoot kbexpertiseinter KB956189

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com