DNS-Abfragen, die über die Netzwerkadressübersetzung (NAT) von ISA Server 2006 übergeben werden, verwenden keine nach dem Zufallsprinzip ausgewählten Quellports

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 956570 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Sie verwenden Microsoft Internet Security and Acceleration (ISA) Server 2006 als Gateway für die Netzwerkadressübersetzung (NAT), und ein interner Client sendet DNS-Abfragen (Domain Name System) über ISA Server 2006. Nach der Installation von Sicherheitsupdate 953230 (MS08-037) auf dem Client verwenden DNS-Abfragen, die durch die ISA Server 2006-NAT übergeben werden, jedoch keine nach dem Zufallsprinzip ausgewählten Quellports.

Ursache

Das Problem tritt auf, weil NAT-basierte Firewalls den vom internen Client verwendeten Quellport möglicherweise ändern. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
956190 Nach Installation des Sicherheitsupdates 953230 (MS08-037) verwenden DNS-Abfragen, die durch eine Firewall gesendet werden, keine nach dem Zufallsprinzip ausgewählten Quellports

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Installieren Sie das ISA Server 2006-Update, das im Microsoft Download Center zur Verfügung steht:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC&displayLang=de
    HinweisNach der Installation dieses Updates weist ISA Server eine Reihe von nach dem Zufallsprinzip ausgewählten UDP-Ports zu, und wählt dann daraus einen Port zur Verwendung bei neuen ausgehenden UDP-Sitzungen aus.
  2. Starten Sie den Computer, auf dem ISA Server ausgeführt wird, neu.

Abhilfe

Verwenden Sie die im folgenden KB-Artikel beschriebenen Methoden, um dieses Problem zu umgehen:
956190 Nach Installation des Sicherheitsupdates 953230 (MS08-037) verwenden DNS-Abfragen, die durch eine Firewall gesendet werden, keine nach dem Zufallsprinzip ausgewählten Quellports

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Weitere Informationen

Ändern der Größe des Socketpools

Nachdem Sie das Update installiert haben, können Sie die Registrierung ändern, um die Größe des Socketpools zu konfigurieren, den ISA Server beim Start einrichtet.

Problem automatisch beheben

Um die Größe des Socketpools automatisch erhöhen zu lassen, klicken Sie auf den Link Problem beheben. Klicken Sie anschließend im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Assistenten.

Problem beheben
Microsoft Fix it 50480

Hinweis Dieser Assistent ist möglicherweise nur in Englisch verfügbar, die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.

Hinweis Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern, um sie anschließend auf dem vom Problem betroffenen Computer auszuführen.


Problem manuell beheben

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Gehen Sie folgendermaßen vor, um die Größe des Socketpools manuell zu erhöhen:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie mit der rechten Maustaste auf den folgenden Registrierungsschlüssel:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Zeigen Sie auf Neu, und klicken Sie auf DWORD-Wert.
  4. Geben Sie ReservedPortThreshold ein.
  5. Doppelklicken Sie auf ReservedPortThreshold, und geben Sie dann in das Feld Wert eine Zahl ein, um die Größe des Socketpools festzulegen.
  6. Starten Sie den Computer, auf dem ISA Server ausgeführt wird, neu.
HinweisDer Wert von ReservedPortThreshold liegt zwischen 1 und 1250 und definiert die halbe Anzahl der Ports, die beim Start zugewiesen und während des Betriebs benötigt werden. Wenn dieser Eintrag nicht vorliegt, geht ISA Server von einem Wert von 50 aus. Wenn Sie diesen Wert auf unter 1250 ändern, erhöht sich die Vorhersehbarkeit der Quellportverwendung, was nicht empfehlenswert ist.

Um diesen Registrierungseintrag auf einen empfohlenen Wert festzulegen, führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Deaktivieren dieses Updates

Wenn nach der Installation dieses Updates Probleme auftreten, können Sie es deaktivieren.

Problem automatisch beheben

Um das Update automatisch deaktivieren zu lassen, klicken Sie auf den Link Problem beheben. Klicken Sie anschließend im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Assistenten.

Problem beheben
Microsoft Fix it 50481

Hinweis Dieser Assistent ist möglicherweise nur in Englisch verfügbar, die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.

HinweisWenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern, um sie anschließend auf dem vom Problem betroffenen Computer auszuführen.


Problem manuell beheben

Gehen Sie folgendermaßen vor, um das Update manuell zu deaktivieren:
  1. Speichern Sie das folgende Skript als "KB956570.vbs":
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    '    This code is Copyright (c) 2008 Microsoft Corporation.  
    '
    '    All rights reserved.
    '
    '    THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF
    '    ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO
    '    THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A
    '    PARTICULAR PURPOSE.
    '
    '    IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE
    '    LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY
    '    DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,
    '    WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS
    '    ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE
    '    OF THIS CODE OR INFORMATION.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0
    
    Sub SetValue()
    
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.
  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    cscript KB956570.vbs
  4. Starten Sie den Computer, auf dem ISA Server ausgeführt wird, neu.

Informationsquellen

Weitere Informationen zu diesem Problem finden Sie auf folgender Website von Microsoft:
Forefront TMG (ISA Server)-Produktteamblog: ISA & TMG NAT-Verhalten und MS08-037
Weitere Informationen zum Update MS08-037 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
953230 MS08-037: Sicherheitsrisiken in DNS können Spoofing ermöglichen
Weitere Informationen zur Terminologie für Softwareupdates von Microsoft finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684 Erläuterung von Standardbegriffen bei Microsoft-Softwareupdates

Eigenschaften

Artikel-ID: 956570 - Geändert am: Mittwoch, 6. Oktober 2010 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Keywords: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com