DNS заявки, които преминават през ISA Server 2006 NAT, не използват случайни портове източник

СИМПТОМИ

Използвате Microsoft Internet Security and Acceleration (ISA) Server 2006 като шлюз за преобразуване на мрежови адреси (NAT) и вътрешен клиент изпраща заявки на домейновата именна система (DNS) в ISA Server 2006. След като инсталирате актуализация на защитата 953230 (MS08-037) на клиента, DNS заявките, преминаващи през ISA Server 2006 NAT, не използват случайни портове източник.

ПРИЧИНА

Този проблем възниква, тъй като базираните на NAT защитни стени могат да променят порта източник, който се използва от вътрешен клиент.
За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:

956190 DNS заявките, които се изпращат през защитна стена, не използват случайни портове източник, след като инсталирате актуализация на защитата 953230 (MS08-037)

РАЗРЕШЕНИЕ

За да решите този проблем, изпълнете следните стъпки:
 1. Приложете актуализацията за ISA Server 2006, която се предлага в центъра на Microsoft за изтегляния: Забележка След като инсталирате тази актуализация, ISA Server заделя набор от случайни UDP портове и след това ISA Server избира порт от този набор, за да го използва в новите изходящи UDP сесии.
 2. Рестартирайте компютъра, на който се изпълнява ISA Server.

ЗАОБИКАЛЯНЕ

За да заобиколите този проблем, използвайте методите, упоменати в следната статия от БЗ:

956190 DNS заявките, които се изпращат през защитна стена, не използват случайни портове източник, след като инсталирате актуализация на защитата 953230 (MS08-037)

СТАТУС

Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Как се променя размерът на набора сокети

След като инсталирате актуализацията, можете да промените системния регистър, за да конфигурирате размера на набора сокети, които ISA Server изгражда при стартиране.

Решете моя проблем

За автоматично увеличаване на размера на набора сокети щракнете върху връзката Решаване на проблема. След това щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника.


Забележка Този съветник може да е само на английски език, но автоматичната корекция работи и за други езикови версии на Windows.

Забележка Ако не сте на проблемния компютър, можете да запишете тази автоматична корекция на флаш устройство или компактдиск, за да можете да я изпълните на проблемния компютър.


Нека реша проблема сам

Важно Този раздел, метод или задание съдържа информация за модифициране на системния регистър. Имайте предвид, че при неправилна промяна на системния регистър е възможно да възникнат сериозни проблеми. Затова спазвайте внимателно тези стъпки. За допълнителна защита направете резервно копие на системния регистър, преди да го промените. В случай на възникване на проблем чрез това копие ще можете да възстановите системния регистър. За допълнителна информация как да направите резервно копие на системния регистър или да го възстановите щракнете върху следния номер на статия от базата знания на Microsoft, за да я прегледате:
322756 Създаване на резервно копие и възстановяване на системния регистър в Windows
За да увеличите сами размера на набора сокети, изпълнете следните стъпки:
 1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit, след което щракнете върху OK.
 2. Намерете и щракнете с десния бутон върху следния ключ в системния регистър:
  HKLM\System\CurrentControlSet\Services\Fweng\Parameters
 3. Посочете New (Създай) и след това щракнете върху DWORD Value (DWORD стойност).
 4. Въведете ReservedPortThreshold.
 5. Щракнете двукратно върху ReservedPortThreshold, след което въведете число в полето Value data (Данни за стойността), за да зададете размера на набора сокети.
 6. Рестартирайте компютъра, на който се изпълнява ISA Server.
Забележка Стойността на записа ReservedPortThreshold е в диапазона от 1 до 1250. Тази стойност определя 1/2 от броя на портовете, които ще бъдат заделени при стартиране, според изискванията по време на работа. Ако този запис не съществува, ISA Server приема, че стойността е 50. Промяната на тази стойност на число, по-малко от 1250, увеличава възможността за предугаждане на използването на портовете източник в рамките на набора и не се препоръчва.

За да зададете препоръчвана стойност за записа в системния регистър, в командна среда изпълнете следната команда:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Как се забранява тази актуализация

Ако възникнат проблеми, след като сте инсталирали актуализацията, можете да я забраните.

Решете моя проблем

За автоматично забраняване на тази актуализация щракнете върху връзката Решаване на проблема. След това щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника.


Забележка Този съветник може да е само на английски език, но автоматичната корекция работи и за други езикови версии на Windows.

Забележка Ако не сте на проблемния компютър, можете да запишете тази автоматична корекция на флаш устройство или компактдиск, за да можете да я изпълните на проблемния компютър.


Нека реша проблема сам

За да забраните сами тази актуализация, следвайте тези стъпки:
 1. Запишете следващия скрипт като KB956570.vbs.
  '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  '
  ' Този код е (c) 2008 Microsoft Corporation.
  '
  ' Всички права запазени.
  '
  ' ТОЗИ КОД И ИНФОРМАЦИЯ СЕ ПРЕДОСТАВЯ КАКТО Е, БЕЗ НИКАКВИ ГАРАНЦИИ,
  ' ПРЕКИ ИЛИ КОСВЕНИ, ВКЛЮЧИТЕЛНО, НО БЕЗ ОГРАНИЧЕНИЕ ДО
  ' ПОДРАЗБИРАЩИТЕ СЕ ГАРАНЦИИ ЗА ПРОДАВАЕМОСТ И/ИЛИ ГОДНОСТ ЗА
  ' ОПРЕДЕЛЕНО ПРЕДНАЗНАЧЕНИЕ.
  '
  ' ПРИ НИКАКВИ ОБСТОЯТЕЛСТВА MICROSOFT И/ИЛИ СЪОТВЕТНИТЕ НЕГОВИ ДОСТАВЧИЦИ НЕ НОСЯТ
  ' ОТГОВОРНОСТ ЗА СПЕЦИАЛНИ, НЕПРЕКИ ИЛИ ПРИЧИННО ОБУСЛОВЕНИ ЩЕТИ ИЛИ
  ' ЩЕТИ, ВЪЗНИКНАЛИ В РЕЗУЛТАТ НА ЗАГУБА НА ВЪЗМОЖНОСТ ЗА ИЗПОЛЗВАНЕ, ДАННИ ИЛИ ПЕЧАЛБИ,
  ' НЕЗАВИСИМО ДАЛИ ПО СИЛАТА НА ДОГОВОР, ПОРАДИ НЕБРЕЖНОСТ ИЛИ ДРУГИ ДЕЙСТВИЯ В НАРУШЕНИЕ НА ЗАКОНА,
  ' ВЪЗНИКНАЛИ ОТ ИЛИ ВЪВ ВРЪЗКА С ИЗПОЛЗВАНЕТО ИЛИ РАБОТАТА
  ' НА ТОЗИ КОД ИЛИ ИНФОРМАЦИЯ.
  '
  '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
  Const SE_VPS_NAME = "BindRandomizationCount"
  Const SE_VPS_VALUE = 0

  Sub SetValue()

  ' Създаване на главния обект.
  Dim root ' Главният обект FPCLib.FPC
  Set root = CreateObject("FPC.Root")

  'Деклариране на другите необходими обекти.
  Dim array ' Обект FPCArray
  Dim VendorSets ' Колекция FPCVendorParametersSets
  Dim VendorSet ' Обект FPCVendorParametersSet

  ' Получаване на препратки към обекта масив
  ' и колекцията с мрежови правила.
  Set array = root.GetContainingArray
  Set VendorSets = array.VendorParametersSets

  On Error Resume Next
  Set VendorSet = VendorSets.Item( SE_VPS_GUID )

  If Err.Number <> 0 Then
  Err.Clear

  ' Добавяне на елемент
  Set VendorSet = VendorSets.Add( SE_VPS_GUID )
  CheckError
  WScript.Echo "New VendorSet added... " & VendorSet.Name

  Else
  WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
  End If

  if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

  Err.Clear
  VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

  If Err.Number <> 0 Then
  CheckError
  Else
  VendorSets.Save false, true
  CheckError

  If Err.Number = 0 Then
  WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
  End If
  End If
  Else
  WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
  End If

  End Sub

  Sub CheckError()

  If Err.Number <> 0 Then
  WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
  Err.Clear
  End If

  End Sub

  SetValue
 2. Щракнете върху Старт, щракнете върху Изпълнение, въведете cmd и след това щракнете върху OK.
 3. В командния прозорец въведете следната команда и натиснете ENTER:
  cscript KB956570.vbs
 4. Рестартирайте компютъра, на който се изпълнява ISA Server.

БИБЛИОГРАФИЯ

За повече информация относно този проблем посетете следния сайт на Microsoft:За допълнителна информация относно актуализацията MS08-037 щракнете върху следния номер на статия от базата знания на Microsoft:

953230 MS08-037: Уязвимостта в DNS може да позволи некоректност

За повече информация относно терминологията за софтуерна актуализация щракнете върху следния номер на статия в базата знания на Microsoft:
824684 Описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft
Свойства

ИД на статията: 956570 – Последен преглед: 11.10.2011 г. – Редакция: 1

Обратна връзка