Po instalaci aktualizace zabezpečení služby Server DNS 953230 (MS08-037) dochází k problémům se síťovými službami závislými na protokolu UDP

Příznaky

Po instalaci aktualizace zabezpečení 953230 (MS08-037) služby Server DNS a následném restartování počítače může docházet k problémům se síťovými službami závislými na protokolu UDP. Po instalaci aktualizace zabezpečení 953230 se v počítačích se systémem Windows 2000, Windows Server 2003 a Windows Server 2008 nemusí spustit služba závislá na portu UDP. K tomuto problému dochází v případě, že byla služba přidělena službě Server DNS po instalaci aktualizace zabezpečení 953230.

Příčina

K tomuto problému dochází proto, že služba nemůže získat port, který potřebuje ke správné funkci. Příčinou tohoto problému je změna v přidělování portů ve službě DNS po instalaci aktualizace zabezpečení 953230.

Po instalaci aktualizace zabezpečení 953230 si služba Server DNS ve výchozím nastavení náhodně přidělí 2 500 portů v rozsahu dočasných portů. Jedná se o nové chování zavedené touto aktualizací. Ke konfliktu může dojít v případě, že je některý z těchto náhodně přidělených portů používán konfliktní službou.

Konflikty služeb jsou pravděpodobnější u serverů s více rolemi, které kromě funkce DNS poskytují také další role. Protože jsou tyto porty přidělovány náhodně, může k těmto selháním docházet pouze občas.

K tomuto konfliktu může docházet například ve službě Windows IPsec Services. Služba IPsec Services používá port UDP 4500. Na serverech DNS, které poskytují také služby IPsec, mohou konflikty portů zabránit spuštění služby IPsec.

Jak potíže obejít

Chcete-li tomuto problému předejít, rezervujte příslušný port UDP z rozsahu dočasných portů. Zajistíte tak, že službu závislou na daném portu bude možné spustit.

Další informace o rezervaci dočasných portů naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
812873 Rezervování rozsahu dočasných portů v počítači se systémem Windows Server 2003 nebo Windows 2000 Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o síťových portech UDP, u kterých potenciálně může dojít ke konfliktu, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
832017 Přehled služeb a požadavků na síťové porty pro systém Windows Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
V případě dříve zmíněného příkladu služby IPsec byste mohli přidat porty 4500–4500 pomocí klíče registru ReservedPorts.

Další informace

Podrobná příčina

Následuje podrobnější vysvětlení příčiny tohoto problému.

Náhodné přidělení zdrojových portů serveru DNS a implementace fondu soketů

Implementace aktualizace zabezpečení serveru DNS rezervuje sadu portů v rámci procesu náhodného řazení dotazů. O zavedení této změny bylo rozhodnuto s cílem předejít problémům s výkonem serverů DNS, které zpracovávají i vytvářejí výrazně větší počet dotazů než klientské počítače se systémem Windows. Sada portů rezervovaných službou Server DNS je dále označována jako „fond soketů“.

Výchozí velikost fondu soketů je 2500 soketů u serverů se systémem Windows. Tuto velikost lze nakonfigurovat úpravou položky registru SocketPoolSize v následujícím podklíči v registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize
Poznámka: Změny v položce registru SocketPoolSize se projeví až po restartování služby DNS.

Windows 2000 a Windows Server 2003
 • Přidělení dočasných portů a položka registru MaxUserPort
  Porty přidělené jako součást fondu soketů jsou vzaty ze sady dostupných dočasných portů na serveru. Dočasné porty jsou dočasně přidělovány sadou protokolů TCP/IP pro vazby, u kterých není určen požadovaný zdrojový port.

  Na serverech se systémem Windows definuje položka registru MaxUserPort rozsah dočasných portů a nejvyšší číslo portu, které lze přidělit dočasným portům. Položka registru MaxUserPort se nachází v následujícím podklíči registru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
  Další informace o položce registru MaxUserPort naleznete na následujícím webu společnosti Microsoft:
 • Efektivní rozsah dočasných portů při explicitním zadání hodnoty položky registru MaxUserPort
  V systémech Windows Server 2003 a Windows 2000 Server definuje hodnota položky registru MaxUserPort rozsah dočasných portů. Jedná se o rozsah od 1024 do hodnoty definované položkou registru MaxUserPort.

  Po instalaci aktualizace zabezpečení 953230 v systému Windows Server 2003 a platformách nižší úrovně platí následující podmínky:

  • Pokud je nastavena hodnota položky registru MaxUserPort, jsou náhodně přidělovány porty z rozsahu [1024, MaxUserPort].
  • Pokud není nastavena hodnota položky registru MaxUserPort, jsou náhodně přidělovány porty z rozsahu [49152, 65535].
Windows Server 2008
 • Přidělení dočasných portů a položka registru MaxUserPort
  V systémech Windows Server 2008 a Windows Vista určuje hodnota položky registru MaxUserPort počet dočasných portů. Je použit rozsah [počáteční port, počátek rozsahu + MaxUserPort]. Výchozí nastavení počátečního portu je 49152.
 • Efektivní rozsah dočasných portů
  Před instalací aktualizace zabezpečení 953230 jsou v systému Windows Server 2008 přidělovány dočasné porty v rozsahu [49152 – 65535]. Toto chování při přidělování portů se po instalaci aktualizace zabezpečení 953230 nezmění.
  Další informace o této aktualizaci zabezpečení a jakýchkoli známých problémech s konkrétními verzemi tohoto softwaru naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

  929851 V systémech Windows Vista a Windows Server 2008 byl změněn výchozí rozsah dynamických portů protokolu TCP/IP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.
Vlastnosti

ID článku: 956188 - Poslední kontrola: 31. 7. 2008 - Revize: 1

Váš názor