Запити DNS, що передаються через ISA Server 2006 NAT, не використовують випадкові порти-джерела

Номер статті: 956570 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ОЗНАКИ

Як шлюз перетворення мережних адрес (NAT) використовується Microsoft Internet Security and Acceleration (ISA) Server 2006, через який внутрішній клієнт доменної системи іменування (DNS) надсилає запити. Однак після інсталяції на клієнті оновлення безпеки 953230 (MS08-037) запити DNS, що передаються через ISA Server 2006 NAT, не використовують випадкові порти-джерела.
На початок | Надіслати відгук

ПРИЧИНА

Ця проблема виникає через те, що брандмауери на основі NAT можуть змінювати порт-джерело, який використовується внутрішнім клієнтом. Для отримання додаткових відомостей клацніть цей номер статті, щоб переглянути її в базі знань Майкрософт:
956190
(http://support.microsoft.com/kb/956190/ )
DNS-запити, що передаються через брандмауер, не використовують випадкові порти-джерела після інсталяції оновлення безпеки 953230 (MS08-037)
На початок | Надіслати відгук

РОЗВ'ЯЗАНН

Щоб вирішити цю проблему, виконайте наведені нижче дії.
  1. Інсталюйте для ISA Server 2006 оновлення, доступне в Центрі завантажень Microsoft за цією адресою:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC
    (http://www.microsoft.com/downloads/details.aspx?FamilyId=E96A6E20-0C04-4C7D-9F3E-207B02AE29CC)
    Примітка. Після інсталяції цього оновлення сервер ISA Server виділяє набір випадкових UDP-портів, після чого вибирає з цього набору порт, який використовуватиметься в нових вихідних сеансах UDP.
  2. Перезавантажте комп’ютер із сервером ISA Server.
На початок | Надіслати відгук

ОБХІДНИЙ ШЛЯХ

Щоб вирішити цю проблему, скористайтеся способами, описаними в цій статті бази знань:
956190
(http://support.microsoft.com/kb/956190/ )
DNS-запити, що передаються через брандмауер, не використовують випадкові порти-джерела після інсталяції оновлення безпеки 953230 (MS08-037)
На початок | Надіслати відгук

СТАН

Корпорація Майкрософт підтвердила наявність цієї помилки у своїх продуктах, перелік яких наведено в розділі "Застосовується до".
На початок | Надіслати відгук

ДОДАТКОВІ ВІДОМОСТІ

Змінення розміру пулу сокетів

Після інсталяції оновлення в реєстрі можна вказати розмір пулу сокетів, що створюється сервером ISA Server під час запуску.

Виправити автоматично

Щоб збільшити розмір пулу сокетів автоматично, клацніть посилання Вирішити проблему. Після цього клацніть Виконати в діалоговому вікні Завантаження файлу й дотримуйтесь інструкцій майстра.

Вирішити проблему
Microsoft Fix it 50480

Примітка. Цей майстер може бути доступний лише англійською мовою, проте функцію автоматичного виправлення можна застосовувати також до інших мовних версій Windows.

Примітка. Якщо ви працюєте не за тим комп’ютером, на якому виявлено неполадку, засіб автоматичного виправлення можна зберегти на флеш-пам’ять або компакт-диск, а потім запустити на потрібному комп’ютері.


Виправити вручну

Увага! У цьому розділі, способі або завданні описуються кроки із внесення змін до реєстру. Неправильне внесення змін до реєстру може призвести до виникнення серйозних проблем. Виконувати описані тут кроки слід особливо обережно. Перед внесенням змін обов’язково створіть резервну копію реєстру. Якщо виникне проблема, реєстр можна відновити до попереднього стану. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Майкрософт:
322756
(http://support.microsoft.com/kb/322756/ )
Створення резервної копії та відновлення реєстру у Windows
Щоб збільшити розмір пулу сокетів самостійно, виконайте наведені нижче дії.
  1. Натисніть кнопку Пуск, виберіть пункт Виконати, введіть regedit і клацніть OK.
  2. Знайдіть і клацніть правою кнопкою такий розділ реєстру:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Виберіть пункт Створити, а потім – Значення "4 байти".
  4. Введіть ReservedPortThreshold.
  5. Двічі клацніть ReservedPortThreshold і введіть у полі Значення число, щоб установити розмір пулу сокетів.
  6. Перезавантажте комп’ютер із сервером ISA Server.
Примітка. Значення запису ReservedPortThreshold може бути від 1 до 1250. Воно визначає половину від кількості портів, які будуть виділені під час запуску та використовуватимуться для виконання операції. Якщо цей запис відсутній, сервер ISA Server припускає, що він має значення 50. Змінення цього значення на таке, що не перевищує 1250, робить використання портів-джерел у пулі більш передбачуваним, тому не рекомендується.

Щоб присвоїти цьому запису реєстру рекомендоване значення, відкрийте командний рядок і виконайте таку команду:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Відключення оновлення

Якщо проблеми почали виникати після інсталяції оновлення, його можна відключити.

Виправити автоматично

Щоб відключити оновлення автоматично, клацніть посилання Вирішити проблему. Після цього клацніть Виконати в діалоговому вікні Завантаження файлу й дотримуйтесь інструкцій майстра.

Вирішити проблему
Microsoft Fix it 50481

Примітка. Цей майстер може бути доступний лише англійською мовою, проте функцію автоматичного виправлення можна застосовувати також до інших мовних версій Windows.

Примітка. Якщо ви працюєте не за тим комп’ютером, на якому виявлено неполадку, засіб автоматичного виправлення можна зберегти на флеш-пам’ять або компакт-диск, а потім запустити на потрібному комп’ютері.


Виправити вручну

Щоб відключити це оновлення самостійно, виконайте наведені нижче дії.
  1. Збережіть наведений нижче сценарій як файл KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
'
'    This code is Copyright (c) 2008 Microsoft Corporation.  
'
'    All rights reserved.
'
'    THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF
'    ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO
'    THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A
'    PARTICULAR PURPOSE.
'
'    IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE
'    LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY
'    DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,
'    WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS
'    ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE
'    OF THIS CODE OR INFORMATION.
'
'-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "BindRandomizationCount"
Const SE_VPS_VALUE = 0

Sub SetValue()

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    'Declare the other objects needed.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
        Err.Clear

        ' Add the item
        Set VendorSet = VendorSets.Add( SE_VPS_GUID )
        CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

        Err.Clear
        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError

            If Err.Number = 0 Then
                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
            End If
        End If
    Else
        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

End Sub

Sub CheckError()

    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If

End Sub

SetValue
  2. Натисніть кнопку Пуск, виберіть команду Виконати, введіть cmd та клацніть OK.
  3. У командному рядку введіть таку команду й натисніть клавішу ENTER:
    cscript KB956570.vbs
  4. Перезавантажте комп’ютер із сервером ISA Server.
На початок | Надіслати відгук

ПОСИЛАННЯ

Щоб отримати додаткові відомості про цю проблему, відвідайте такий веб-сайт Майкрософт:
Блог команди розробки Forefront TMG (ISA Server): поведінка ISA і TMG NAT ТА MS08-037
(http://blogs.technet.com/isablog/archive/2008/08/28/isa-tmg-nat-behavior-and-ms08-037.aspx)
Для отримання додаткових відомостей про оновлення MS08-037 клацніть цей номер статті, щоб переглянути її в базі знань Майкрософт:
953230
(http://support.microsoft.com/kb/953230/ )
MS08-037: уразливості DNS можуть призвести до спуфінгу
Для отримання додаткових відомостей про термінологію, яка використовується для опису оновлення програмного забезпечення, клацніть цей номер статті, щоб переглянути її в базі знань Майкрософт:
824684
(http://support.microsoft.com/kb/824684/ )
Стандартна термінологія, яка використовується для опису оновлень програмного забезпечення Майкрософт
На початок | Надіслати відгук

Властивості

Номер статті: 956570 - Востаннє переглянуто: 11 жовтня 2011 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Ключові слова: 
kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок