Dotazy DNS předávané prostřednictvím překladu adres (NAT) serveru ISA Server 2006 nepoužívají náhodné zdrojové porty

Překlady článku Překlady článku
ID článku: 956570 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Používáte server Microsoft ISA (Internet Security and Acceleration) Server 2006 jako bránu pro překlad adres (NAT) a interní klient posílá prostřednictvím serveru ISA Server 2006 dotazy DNS (Domain Name System). Po instalaci aktualizace zabezpečení 953230 (MS08-037) do klienta však dotazy DNS procházející překladem adres na serveru ISA Server 2006 nepoužívají náhodné zdrojové porty.

Příčina

K těmto potížím dochází z toho důvodu, že brány firewall založené na překladu adres mohou měnit zdrojový port používaný interním klientem. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
956190 Dotazy DNS odeslané přes bránu firewall po instalaci aktualizace zabezpečení 953230 (MS08-037) nepoužívají náhodné zdrojové porty

Řešení

Při řešení těchto potíží postupujte takto:
  1. Nainstalujte aktualizaci serveru ISA Server 2006, která je k dispozici v rámci služby Stažení softwaru.
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC
    Poznámka: Po instalaci této aktualizace server ISA přidělí soubor portů UDP a poté z tohoto souboru vybere port pro použití v nových odchozích relacích UDP.
  2. Restartujte počítač se serverem ISA.

Jak potíže obejít

Chcete-li tento problém obejít, použijte postupy uvedené v následujícím článku znalostní báze Microsoft Knowledge Base:
956190 Dotazy DNS odeslané přes bránu firewall po instalaci aktualizace zabezpečení 953230 (MS08-037) nepoužívají náhodné zdrojové porty

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Další informace

Úprava velikosti fondu soketů

Po instalaci této aktualizace můžete upravit registr a nakonfigurovat velikost fondu soketů, který server ISA při spuštění vytváří.

Automatická oprava

Chcete-li velikost fondu soketů nastavit automaticky, klikněte na odkaz Opravit tyto potíže. Potom klikněte v dialogovém okně Stažení souboru na tlačítko Spustit a postupujte podle kroků v tomto průvodci.

Opravit tyto potíže
Microsoft Fix it 50480

Poznámka: Je možné, že tento průvodce bude k dispozici pouze v angličtině, tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.

Poznámka: Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB flash nebo na disk CD a spustit ji v příslušném počítači později.


Manuální oprava

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows
Chcete-li velikost fondu soketů zvětšit sami, postupujte takto:
  1. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz regedit a potom klikněte na tlačítko OK.
  2. Vyhledejte následující klíč registru a klikněte na něj pravým tlačítkem:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Přejděte na příkaz Nový a klikněte na příkaz Hodnota DWORD.
  4. Zadejte hodnotu ReservedPortThreshold.
  5. Dvakrát klikněte na položku ReservedPortThreshold a do pole Údaj hodnoty zadejte číslo, které představuje velikost fondu soketů.
  6. Restartujte počítač se serverem ISA.
Poznámka: Hodnota položky ReservedPortThreshold se pohybuje v rozmezí od 1 do 1250. Tato hodnota určuje polovinu počtu portů, které budou přiděleny při spuštění a podle potřeby i v průběhu operace. Pokud tato položka neexistuje, server ISA předpokládá, že je zadána hodnota 50. Změnou této hodnoty na hodnotu menší než 1250 se zvyšuje předvídatelnost využití zdrojových portů v rámci fondu, což se nedoporučuje.

Chcete-li nastavit tuto položku registru na doporučenou hodnotu, zadejte na příkazový řádek následující příkaz:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Zákaz této aktualizace

Pokud se po instalaci této aktualizace vyskytnou potíže, můžete tuto aktualizaci zakázat.

Automatická oprava

Chcete-li tuto aktualizaci zakázat automaticky, klikněte na odkaz Opravit tyto potíže. Potom klikněte v dialogovém okně Stažení souboru na tlačítko Spustit a postupujte podle kroků v tomto průvodci.

Opravit tyto potíže
Microsoft Fix it 50481

Poznámka: Je možné, že tento průvodce bude k dispozici pouze v angličtině, tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.

Poznámka: Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB flash nebo na disk CD a spustit ji v příslušném počítači později.


Manuální oprava

Chcete-li tuto aktualizaci zakázat sami, postupujte takto:
  1. Uložte následující skript do souboru KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    '    Tento kód je chráněn autorským právem Copyright (c) 2008 Microsoft Corporation.  
    '
    '    Všechna práva vyhrazena.
    '
    '    TENTO KÓD JE K POSKYTOVÁN TAK, JAK JE, BEZ JAKÝCHKOLI
    '    ZÁRUK, AŤ UŽ VÝSLOVNÝCH, NEBO PŘEDPOKLÁDANÝCH, VČETNĚ, BEZ OMEZENÍ,
    '    PŘEDPOKLÁDANÝCH ZÁRUK PRODEJNOSTI NEBO VHODNOSTI
    '    K URČITÉMU ÚČELU.
    '
    '    SPOLEČNOST MICROSOFT ANI JEJÍ PŘÍSLUŠNÍ DODAVATELÉ NENESOU V ŽÁDNÉM PŘÍPADĚ
    '    ODPOVĚDNOST ZA ŽÁDNÉ ZVLÁŠTNÍ, NEPŘÍMÉ NEBO NÁSLEDNÉ ŠKODY NEBO ZA JAKÉKOLI
    '    ŠKODY VYPLÝVAJÍCÍ ZE ZTRÁTY POUŽITÍ, DAT NEBO ZISKU,
    '    AŤ UŽ V DŮSLEDKU SMLOUVY, NEDBALOSTI NEBO JINÉHO PROTIPRÁVNÍHO
    '    ČINU, KE KTERÝM DOJDE V DŮSLEDKU POUŽITÍ NEBO VÝKONU TOHOTO KÓDU
    '    ČI INFORMACÍ NEBO VE SPOJENÍ S NIMI.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0
    
    Sub SetValue()
    
        ' Vytvoření kořenového objektu
        Dim root  ' Kořenový objekt FPCLib.FPC
        Set root = CreateObject("FPC.Root")
    
        'Deklarace dalších potřebných objektů
        Dim array       ' Objekt FPCArray
        Dim VendorSets  ' Kolekce FPCVendorParametersSets
        Dim VendorSet   ' Objekt FPCVendorParametersSet
    
        ' Získání odkazů na objekt pole
        ' a kolekci síťových pravidel
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Přidání položky
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "Přidána nová položka VendorSet... " & VendorSet.Name
    
        Else
            WScript.Echo "Nalezena existující položka VendorSet... hodnota " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Hotovo: " & SE_VPS_NAME & ", uloženo!"
                End If
            End If
        Else
            WScript.Echo "Hotovo: " & SE_VPS_NAME & ", žádná změna!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "Došlo k chybě: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  2. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz cmd a potom klikněte na tlačítko OK.
  3. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript KB956570.vbs
  4. Restartujte počítač se serverem ISA.

Odkazy

Další informace o těchto potížích naleznete na následujícím webu společnosti Microsoft:
Blog týmu produktu Forefront TMG (ISA Server): Chování překladu adres v produktu ISA & TMG a aktualizace MS08-037
Další informace o aktualizaci MS08-037 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
953230 MS08-037: Chyby zabezpečení ve službě DNS by mohly umožnit falšování obsahu
Další informace o terminologii používané v aktualizacích softwaru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Vlastnosti

ID článku: 956570 - Poslední aktualizace: 13. října 2010 - Revize: 2.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Klíčová slova: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com