Az ISA Server 2006 hálózati címfordítást (NAT) végző modulján keresztül továbbított DNS-lekérdezések nem használnak véletlenszerűen kiosztott forrásportokat

A cikk fordítása A cikk fordítása
Cikk azonosítója: 956570 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

Tegyük fel, hogy a Microsoft Internet Security and Acceleration (ISA) Server 2006 termék hálózati címfordítást végző átjáróként működik, és egy belső ügyfélszámítógép DNS-lekérdezéseket küld az ISA Server 2006 programon keresztül. Ha telepíti a 953230. számú (MS08-037) biztonsági frissítést az ügyfélszámítógépre, akkor az ISA Server 2006 hálózati címfordítást végző átjáróján keresztül továbbított DNS-lekérdezések nem véletlenszerűen kiosztott forrásportokat fognak használni.

Oka

A problémát az okozza, hogy a hálózati címfordítás használatára épülő tűzfalak esetleg más forrásportot osztanak ki a belső ügyfélszámítógépnek. A Microsoft Tudásbázis kapcsolódó cikke:
956190 A 953230. számú biztonsági frissítés (MS08-037) telepítését követően a tűzfalon keresztül küldött DNS-lekérdezések nem használják a véletlenszerűen hozzárendelt forrásportokat

A megoldás

A probléma megoldásához kövesse az alábbi lépéseket:
  1. Telepítse az ISA Server 2006 termékhez a Microsoft letöltőközpontjában elérhető frissítést:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC
    Megjegyzés: A frissítés telepítését követően az ISA Server véletlenszerűen kiosztott UDP-portkészletet fog hozzárendelni a lekérdezésekhez, és ebből a portkészletből fog portot választani az új kimenő UDP-munkamenetekhez.
  2. Indítsa újra az ISA Server terméket futtató kiszolgálót.

Kerülő megoldás

A probléma megkerüléséhez végezze el a Tudásbázis alábbi cikkében ismertetett módszereket:
956190 A 953230. számú biztonsági frissítés (MS08-037) telepítését követően a tűzfalon keresztül küldött DNS-lekérdezések nem használják a véletlenszerűen hozzárendelt forrásportokat

Állapot

A Microsoft megerősítette, hogy a cikkben tárgyalt jelenség az érintett termékek hibájára vezethető vissza.

További információ

A szoftvercsatorna-készlet méretének megváltoztatása

A frissítés telepítése után a beállításjegyzék módosításával beállítható, hogy az ISA Server milyen méretű szoftvercsatorna-készletet hozzon létre rendszerindításkor.

Automatikus javítás

A szoftvercsatorna-készlet méretének automatikus növeléséhez kattintson A probléma javítása hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse a varázsló lépéseit.

A probléma javítása
Microsoft Fix it 50480

Megjegyzés: Előfordulhat, hogy a varázsló csak angol nyelven jelenik meg, az automatikus javítás azonban a Windows más nyelvi változatain is használható.

Megjegyzés: Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD-re, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.


Kézi javítás

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben
A szoftvercsatorna-készlet méretének manuális növeléséhez kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, és kattintson az OK gombra.
  2. Keresse meg a beállításjegyzék alábbi kulcsát, és kattintson rá a jobb gombbal:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be a ReservedPortThreshold értéket.
  5. Kattintson duplán a ReservedPortThreshold értékre, és az Érték mezőbe írja be a szoftvercsatorna-készlet kívánt méretét meghatározó számot.
  6. Indítsa újra az ISA Server terméket futtató kiszolgálót.
Megjegyzés: A ReservedPortThreshold bejegyzés értéke 1 és 1250 közé eshet. Ez az érték határozza meg a rendszerindításkor kiosztott portok számának felét, valamint azt, hogy mely portokra van szükség működés közben. Ha ez a bejegyzés nem létezik, az ISA Server azt feltételezi, hogy az érték 50. Amennyiben 1250-nél alacsonyabbra állítja ezt az értéket, nagyobb valószínűséggel becsülhető meg a forrásportok készleten belüli használata, ezért ez nem javasolt módszer.

Ha egy ajánlott értékre szeretné beállítani a beállításjegyzék e bejegyzését, nyissa meg a parancssort, és futtassa az alábbi parancsot:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

A frissítés letiltása

Ha a frissítés telepítése után problémákat tapasztal, letilthatja a frissítést.

Automatikus javítás

A frissítés automatikus letiltásához kattintson A probléma javítása hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse a varázsló lépéseit.

A probléma javítása
Microsoft Fix it 50481

Megjegyzés: Előfordulhat, hogy a varázsló csak angol nyelven jelenik meg, az automatikus javítás azonban a Windows más nyelvi változatain is használható.

Megjegyzés: Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD-re, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.


Kézi javítás

Ha saját maga szeretné letiltani a frissítést, végezze el a következő lépéseket:
  1. Mentse az alábbi parancsfájlt KB956570.vbs fájlnévvel.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    '    A kód szerzői jogvédelem alatt áll. Copyright (c) 2008 Microsoft Corporation.  
    '
    '    Minden jog fenntartva.
    '
    '    A MICROSOFT A KÓDOT ÉS AZ ITT OLVASHATÓ INFORMÁCIÓKAT JELEN FORMÁJUKBAN TESZI KÖZZÉ, BÁRMIFÉLE GARANCIAVÁLLALÁS NÉLKÜL.
    '    SEM KÖZVETLEN, SEM KÖZVETETT GARANCIÁT NEM VÁLLAL,
    '    BELEÉRTVE A FORGALOMBA HOZHATÓSÁGOT ÉS
    '    AZ ADOTT CÉLRA VALÓ MEGFELELŐSÉGET IS.
    '
    '    A MICROSOFT ÉS/VAGY ÉRINTETT SZÁLLÍTÓI SEMMILYEN ESETBEN SEM TEHETŐK FELELŐSSÉ
    '    A KÓD ÉS AZ ITT LEÍRT INFORMÁCIÓK
    '    HASZNÁLATÁBÓL VAGY VÉGREHAJTÁSÁBÓL,
    '    ILLETVE AZZAL KAPCSOLATBAN KELETKEZŐ BÁRMIFÉLE SPECIÁLIS, KÖZVETETT VAGY KÖVETKEZMÉNYES KÁRÉRT,
    '    AMELY HASZNÁLATKIESÉSBŐL, ADATVESZTÉSBŐL VAGY ELMARADT PROFITBÓL SZÁRMAZIK,
    '    AKÁR SZERZŐDÉS TELJESÍTÉSE, HANYAGSÁG VAGY EGYÉB VÉTKES TEVÉKENYSÉG EREDMÉNYEZTE.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0
    
    Sub SetValue()
    
        ' A gyökérobjektum létrehozása.
        Dim root  ' Az FPCLib.FPC gyökérobjektum
        Set root = CreateObject("FPC.Root")
    
        'A további szükséges objektumok meghatározása.
        Dim array       ' Egy FPCArray objektum
        Dim VendorSets  ' Egy FPCVendorParametersSets gyűjtemény
        Dim VendorSet   ' Egy FPCVendorParametersSet objektum
    
        ' Hivatkozások beszerzése a tömbobjektumhoz
        ' és a hálózati szabályok gyűjteményéhez.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Az elem hozzáadása
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "Új VendorSet objektum hozzáadva... " & VendorSet.Name
    
        Else
            WScript.Echo "A rendszer meglévő VendorSet objektumot talált... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "& SE_VPS_NAME & kész, a mentés megtörtént."
                End If
            End If
        Else
            WScript.Echo "& SE_VPS_NAME &" kész, nem történt módosítás."
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "Hiba történt: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  2. Kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a következő parancsot, és nyomja meg az ENTER billentyűt:
    cscript KB956570.vbs
  4. Indítsa újra az ISA Server terméket futtató kiszolgálót.

Hivatkozások

A Microsoft alábbi (angol nyelvű) webhelyén további információt talál a problémáról:
Forefront TMG (ISA Server) Product Team Blog: ISA & TMG NAT behavior And MS08-037
Az MS08-037 jelű frissítésről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
953230 MS08-037: A DNS biztonsági rései imitálásos támadást tehetnek lehetővé
A szoftverfrissítési terminológiáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
824684 A Microsoft szoftverfrissítéseinek leírásához használt szabványos terminológia bemutatása

Tulajdonságok

Cikk azonosítója: 956570 - Utolsó ellenőrzés: 2011. október 11. - Verziószám: 2.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Kulcsszavak: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com