DNS заявки, които преминават през ISA Server 2006 NAT, не използват случайни портове източник

Преводи на статии Преводи на статии
ID на статията: 956570 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

СИМПТОМИ

Използвате Microsoft Internet Security and Acceleration (ISA) Server 2006 като шлюз за преобразуване на мрежови адреси (NAT) и вътрешен клиент изпраща заявки на домейновата именна система (DNS) в ISA Server 2006. След като инсталирате актуализация на защитата 953230 (MS08-037) на клиента, DNS заявките, преминаващи през ISA Server 2006 NAT, не използват случайни портове източник.

ПРИЧИНА

Този проблем възниква, тъй като базираните на NAT защитни стени могат да променят порта източник, който се използва от вътрешен клиент. За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
956190 DNS заявките, които се изпращат през защитна стена, не използват случайни портове източник, след като инсталирате актуализация на защитата 953230 (MS08-037)

РАЗРЕШЕНИЕ

За да решите този проблем, изпълнете следните стъпки:
  1. Приложете актуализацията за ISA Server 2006, която се предлага в центъра на Microsoft за изтегляния:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC
    Забележка След като инсталирате тази актуализация, ISA Server заделя набор от случайни UDP портове и след това ISA Server избира порт от този набор, за да го използва в новите изходящи UDP сесии.
  2. Рестартирайте компютъра, на който се изпълнява ISA Server.

ЗАОБИКАЛЯНЕ

За да заобиколите този проблем, използвайте методите, упоменати в следната статия от БЗ:
956190 DNS заявките, които се изпращат през защитна стена, не използват случайни портове източник, след като инсталирате актуализация на защитата 953230 (MS08-037)

СТАТУС

Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Как се променя размерът на набора сокети

След като инсталирате актуализацията, можете да промените системния регистър, за да конфигурирате размера на набора сокети, които ISA Server изгражда при стартиране.

Решете моя проблем

За автоматично увеличаване на размера на набора сокети щракнете върху връзката Решаване на проблема. След това щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника.

Решаване на проблема
Microsoft Fix it 50480

Забележка Този съветник може да е само на английски език, но автоматичната корекция работи и за други езикови версии на Windows.

Забележка Ако не сте на проблемния компютър, можете да запишете тази автоматична корекция на флаш устройство или компактдиск, за да можете да я изпълните на проблемния компютър.


Нека реша проблема сам

Важно Този раздел, метод или задание съдържа информация за модифициране на системния регистър. Имайте предвид, че при неправилна промяна на системния регистър е възможно да възникнат сериозни проблеми. Затова спазвайте внимателно тези стъпки. За допълнителна защита направете резервно копие на системния регистър, преди да го промените. В случай на възникване на проблем чрез това копие ще можете да възстановите системния регистър. За допълнителна информация как да направите резервно копие на системния регистър или да го възстановите щракнете върху следния номер на статия от базата знания на Microsoft, за да я прегледате:
322756 Създаване на резервно копие и възстановяване на системния регистър в Windows
За да увеличите сами размера на набора сокети, изпълнете следните стъпки:
  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit, след което щракнете върху OK.
  2. Намерете и щракнете с десния бутон върху следния ключ в системния регистър:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Посочете New (Създай) и след това щракнете върху DWORD Value (DWORD стойност).
  4. Въведете ReservedPortThreshold.
  5. Щракнете двукратно върху ReservedPortThreshold, след което въведете число в полето Value data (Данни за стойността), за да зададете размера на набора сокети.
  6. Рестартирайте компютъра, на който се изпълнява ISA Server.
Забележка Стойността на записа ReservedPortThreshold е в диапазона от 1 до 1250. Тази стойност определя 1/2 от броя на портовете, които ще бъдат заделени при стартиране, според изискванията по време на работа. Ако този запис не съществува, ISA Server приема, че стойността е 50. Промяната на тази стойност на число, по-малко от 1250, увеличава възможността за предугаждане на използването на портовете източник в рамките на набора и не се препоръчва.

За да зададете препоръчвана стойност за записа в системния регистър, в командна среда изпълнете следната команда:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Как се забранява тази актуализация

Ако възникнат проблеми, след като сте инсталирали актуализацията, можете да я забраните.

Решете моя проблем

За автоматично забраняване на тази актуализация щракнете върху връзката Решаване на проблема. След това щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника.

Решаване на проблема
Microsoft Fix it 50481

Забележка Този съветник може да е само на английски език, но автоматичната корекция работи и за други езикови версии на Windows.

Забележка Ако не сте на проблемния компютър, можете да запишете тази автоматична корекция на флаш устройство или компактдиск, за да можете да я изпълните на проблемния компютър.


Нека реша проблема сам

За да забраните сами тази актуализация, следвайте тези стъпки:
  1. Запишете следващия скрипт като KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    '    Този код е (c) 2008 Microsoft Corporation.  
    '
    '    Всички права запазени.
    '
    '    ТОЗИ КОД И ИНФОРМАЦИЯ СЕ ПРЕДОСТАВЯ КАКТО Е, БЕЗ НИКАКВИ ГАРАНЦИИ,
    '    ПРЕКИ ИЛИ КОСВЕНИ, ВКЛЮЧИТЕЛНО, НО БЕЗ ОГРАНИЧЕНИЕ ДО
    '    ПОДРАЗБИРАЩИТЕ СЕ ГАРАНЦИИ ЗА ПРОДАВАЕМОСТ И/ИЛИ ГОДНОСТ ЗА
    '    ОПРЕДЕЛЕНО ПРЕДНАЗНАЧЕНИЕ.
    '
    '    ПРИ НИКАКВИ ОБСТОЯТЕЛСТВА MICROSOFT И/ИЛИ СЪОТВЕТНИТЕ НЕГОВИ ДОСТАВЧИЦИ НЕ НОСЯТ
    '    ОТГОВОРНОСТ ЗА СПЕЦИАЛНИ, НЕПРЕКИ ИЛИ ПРИЧИННО ОБУСЛОВЕНИ ЩЕТИ ИЛИ
    '    ЩЕТИ, ВЪЗНИКНАЛИ В РЕЗУЛТАТ НА ЗАГУБА НА ВЪЗМОЖНОСТ ЗА ИЗПОЛЗВАНЕ, ДАННИ ИЛИ ПЕЧАЛБИ,
    '    НЕЗАВИСИМО ДАЛИ ПО СИЛАТА НА ДОГОВОР, ПОРАДИ НЕБРЕЖНОСТ ИЛИ ДРУГИ ДЕЙСТВИЯ В НАРУШЕНИЕ НА ЗАКОНА,
    '    ВЪЗНИКНАЛИ ОТ ИЛИ ВЪВ ВРЪЗКА С ИЗПОЛЗВАНЕТО ИЛИ РАБОТАТА
    '    НА ТОЗИ КОД ИЛИ ИНФОРМАЦИЯ.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0
    
    Sub SetValue()
    
        ' Създаване на главния обект.
        Dim root  ' Главният обект FPCLib.FPC
        Set root = CreateObject("FPC.Root")
    
        'Деклариране на другите необходими обекти.
        Dim array       ' Обект FPCArray
        Dim VendorSets  ' Колекция FPCVendorParametersSets
        Dim VendorSet   ' Обект FPCVendorParametersSet
    
        ' Получаване на препратки към обекта масив
        ' и колекцията с мрежови правила.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Добавяне на елемент
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  2. Щракнете върху Старт, щракнете върху Изпълнение, въведете cmd и след това щракнете върху OK.
  3. В командния прозорец въведете следната команда и натиснете ENTER:
    cscript KB956570.vbs
  4. Рестартирайте компютъра, на който се изпълнява ISA Server.

БИБЛИОГРАФИЯ

За повече информация относно този проблем посетете следния сайт на Microsoft:
Блог на екипа за продуктите на Forefront TMG (ISA Server): ISA & TMG NAT поведение и MS08-037
За допълнителна информация относно актуализацията MS08-037 щракнете върху следния номер на статия от базата знания на Microsoft:
953230 MS08-037: Уязвимостта в DNS може да позволи некоректност
За повече информация относно терминологията за софтуерна актуализация щракнете върху следния номер на статия в базата знания на Microsoft:
824684 Описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft

Свойства

ID на статията: 956570 - Последна рецензия: 11 октомври 2011 г. - Редакция: 2.0
ВАЖИ ЗА:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Ключови думи: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com