Artigo: 956570 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Utiliza o Microsoft Internet Security and Acceleration (ISA) Server 2006 como um gateway de tradução de endereços de rede (NAT) e um cliente interno envia consultas de DNS (Domain Name System) através do ISA Server 2006. No entanto, depois de instalar a actualização de segurança 953230 (MS08-037) no cliente, as consultas de DNS que são transmitidas através do ISA Server 2006 NAT não utilizam portas de origem aleatórias.

Causa

Este problema ocorre porque as firewalls baseadas em NAT podem alterar a porta de origem que é utilizada por um cliente interno. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)

Resolução

Para resolver este problema, siga estes passos:
  1. Aplique a actualização do ISA Server 2006 que está disponível a partir do Centro de Transferências da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC
    Nota: depois de instalar esta actualização, o ISA Server atribui um conjunto de portas UDP aleatórias e, em seguida, o ISA Server selecciona uma porta deste conjunto para utilizar em novas sessões UDP de saída.
  2. Reinicie o computador que está a utilizar o ISA Server.

Como contornar

Para contornar este problema, utilize os métodos referidos no seguinte artigo da Base de Dados de Conhecimento:
956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)

Ponto Da Situação

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Como modificar o tamanho do conjunto de sockets

Depois de instalar a actualização, pode modificar o registo para configurar o tamanho do conjunto de sockets que o ISA Server cria no arranque.

Corrigir por mim

Para aumentar o tamanho do conjunto de sockets automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.

Corrigir este problema
Correcção de problemas da Microsoft 50480

Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo da forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar uma cópia de segurança e restaurar o registo no Windows
Para aumentar você mesmo o tamanho do conjunto sockets, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  2. Localize e clique com o botão direito do rato na seguinte chave de registo:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Aponte para Novo e clique em Valor DWORD.
  4. Escreva ReservedPortThreshold.
  5. Faça duplo clique em ReservedPortThreshold e, em seguida, escreva um número na caixa Dados de valor para definir o tamanho do conjunto de sockets.
  6. Reinicie o computador que está a utilizar o ISA Server.
Nota: o valor da entrada ReservedPortThreshold varia entre 1 e 1250. Este valor define metade do número de portas que será atribuído no arranque e conforme necessário durante a operação. Se esta entrada não existir, o ISA Server assume o valor de 50. Ao alterar este valor para um número inferior a 1250, aumenta a previsibilidade de utilização da porta de origem dentro do conjunto, não sendo recomendado.

Para definir esta entrada de registo para um valor recomendado, numa linha de comandos, execute o seguinte comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Como desactivar esta actualização

Se tiver problemas depois de instalar esta actualização, pode desactivar a actualização.

Corrigir por mim

Para desactivar esta actualização automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.

Corrigir este problema
Correcção de problemas da Microsoft 50481

Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Para desactivar esta actualização sozinho, siga estes passos:
  1. Guarde o seguinte script como KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    '    O presente código está protegido pelas leis de Copyright (c) 2008 da Microsoft Corporation.  
    '
    '    Todos os direitos reservados.
    '
    '    O PRESENTE CÓDIGO E INFORMAÇÃO É FORNECIDO "TAL COMO ESTÁ" SEM QUALQUER TIPO DE
    '    GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO, SEM LIMITAÇÃO,
    '    AS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E/OU ADEQUAÇÃO A UM
    '    DETERMINADO FIM.
    '
    '    EM CASO ALGUM A MICROSOFT E/OU OS SEUS FORNECEDORES SERÃO
    '    RESPONSÁVEIS POR QUAISQUER PREJUÍZOS ESPECIAIS, INDIRECTOS OU CONSEQUENCIAIS OU
    '    QUAISQUER OUTROS RESULTANTES DA INCAPACIDADE DE UTILIZAÇÃO, PERDA DE DADOS OU LUCROS,
    '    SEJA POR ACÇÃO CONTRATUAL, NEGLIGÊNCIA OU OUTRA ACÇÃO LESIVA,
    '    DECORRENTE DE OU RELACIONADA COM A UTILIZAÇÃO OU O DESEMPENHO
    '    DO PRESENTE CÓDIGO OU INFORMAÇÃO.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0
    
    Sub SetValue()
    
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  2. Clique em Iniciar, clique em Executar, escreva cmd e clique em OK.
  3. Na linha de comandos, introduza o seguinte comando e prima ENTER:
    cscript KB956570.vbs
  4. Reinicie o computador que está a utilizar o ISA Server.

Referências

Para obter mais informações sobre este problema, visite o seguinte Web site da Microsoft:
Blogue da Equipa do Produto Forefront TMG (ISA Server): comportamento do ISA & TMG NAT e MS08-037
Para mais informações sobre a actualização MS08-037, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
953230 MS08-037: Vulnerabilidades no DNS podem permitir fraude
Para obter mais informações sobre a terminologia de actualizações de software, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever as actualizações de software da Microsoft

Propriedades

Artigo: 956570 - Última revisão: 14 de outubro de 2010 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Palavras-chave: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com