Einige Dienste möglicherweise nicht gestartet oder nicht ordnungsgemäß auf einem Computer mit Windows SBS ist nach der Installation von DNS-Server-Sicherheitsupdate 953230 (MS08-037)

Problembeschreibung

Viele Netzwerkprobleme auftreten, nachdem Sie das Domain Name System (DNS) des Sicherheitsupdates 953230 (MS08-037) auf einem Computer installieren, auf dem Windows Small Business Server (SBS) ausgeführt wird, und den Computer neu starten.

Beispielsweise können die folgenden Probleme auftreten.

Problem 1

(Internet Authentication Service, IAS) nicht gestartet, und ein Fehlerereignis, die der folgenden ähnelt im Systemereignisprotokoll protokolliert:
Typ: Fehler
Quelle: Dienstkontroll-Manager
Kategorie: keine
Ereignis-ID: 7023
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: nicht vorhanden
Computer: Servername
Beschreibung: Der Internetauthentifizierungsdienst mit folgendem Fehler beendet: nur eine jede Socketadresse (Protokoll, Netzwerkadresse oder Anschluss) normalerweise darf verwendet werden.

Problem 2

Microsoft Exchange Server immer aktuell (AUTD) Benachrichtigungen für ActiveSync fehlschlagen und Fehlerereignisse wie die folgenden im Anwendungsereignisprotokoll protokolliert:

Typ: Fehler
Quelle: Server ActiveSync
Kategorie: keine
Ereignis-ID: 3015
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: nicht vorhanden
Computer: Servername
Beschreibung: IP-basiertes AUTD konnte nicht initialisiert werden, da die Verarbeitung der Nachrichten nicht eingerichtet werden kann. Fehlercode [0 x 80004005]. Stellen Sie sicher, dass keine andere Anwendung derzeit UDP gebunden sind port [2883], oder geben Sie eine andere Portnummer.
Typ: Fehler
Quelle: Server ActiveSync
Kategorie: keine
Ereignis-ID: 3024
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: nicht vorhanden
Computer: Servername
Beschreibung: IP-basiertes AUTD konnte nicht initialisiert werden. Fehlercode: [0 x 80004005].

Problem 3

Der IPSec-Dienst wird nicht gestartet, und Fehlerereignisse wie die folgenden im Ereignisprotokoll Systems protokolliert:

Typ: Fehler
Quelle: Dienstkontroll-Manager
Kategorie: keine
Ereignis-ID: 7023
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: nicht vorhanden
Computer: Servername
Beschreibung: Der IPSec-Dienst mit dem folgenden Fehler beendet: nur eine jede Socketadresse (Protokoll, Netzwerkadresse oder Anschluss) normalerweise darf verwendet werden.
Typ: Fehler
Quelle: IPSec
Kategorie: keine
Ereignis-ID: 4292
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: nicht vorhanden
Computer: Servername
Beschreibung: Der IPSec-Treiber hat gesperrten Modus gewechselt. IPSec verwirft alle ein- und ausgehenden TCP/IP-Netzwerkverkehr, der laut Startzeit IPSec-Richtlinienausnahmen nicht zugelassen ist. Benutzeraktion: Um vollständige Wiederherstellung unsichere TCP/IP-Konnektivität, deaktivieren Sie die IPSec-Dienste und starten Sie den Computer neu. Ausführliche Informationen zur Problembehandlung überprüfen Sie Ereignisse im Sicherheitsereignisprotokoll.

Ursache

Dieses Problem tritt auf, weil der DNS-Serverdienst den UDP-Port abhört, die von einem anderen Dienst erforderlich ist. Dieses Problem tritt auf, wenn der Registrierungseintrag vorhanden ist. Dieser Registrierungseintrag befindet sich im folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Dieser Registrierungseintrag wird standardmäßig von folgenden Programmen mit folgenden Werten installiert:

ProgrammStandardwert für den Registrierungseintrag
Microsoft Exchange Server 200360000
Microsoft Internet Security and Acceleration (ISA) Server65535
Windows Small Business Server 200360000
Windows Small Business Server 2003 mit Exchange Server 2003 oder mit ISA Server65535

Problemlösung

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Fügen Sie zum Beheben dieses Problems den Port, der der Dienst den Registrierungswert "ReservedPorts" erforderlich ist. Dadurch wird verhindert, dass den DNS-Serverdienst auf diesem Port. Die folgenden Ports sind Konflikte bekannt:
AnschlüsseProgramm, das die Ports verwendet.
1645-1646IAS
1701-1701L2TP
1718-1719H. 323-Gatekeeper (nur ISA 2000)
1745-1745ISA Server 2000 oder ISA Server 2004
1812-1813IAS
2883-2883AUTD
3500-3619ISA Server 2000
4500-4500IPSEC


Gehen Sie folgendermaßen vor, um den Registrierungswert "ReservedPorts" zu konfigurieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie und klicken Sie auf den folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Klicken Sie "ReservedPorts"und dann auf Ändern.
  4. Geben Sie den Bereich der Ports, die Sie behalten möchten.

    Hinweise
    • Den Portbereich muss im folgenden Format eingegeben werden:
      Xxxx-Yyyy
    • Ersetzen Sie die vorhandenen Werte nicht. Stattdessen fügen Sie weitere Werte.
    • Zum Angeben eines einzelnen Ports verwenden Sie denselben Wert für x und y. Um den Port 4000 anzugeben, beispielsweise 4000-4000.
    • Wenn Sie die fortlaufenden Ports getrennt angeben und ein Port reserviert und nicht verwendet wird, der nächste Port ordnungsgemäß reserviert und der Port verwendet.
    • ISA Server-Einstellungen gelten nur auf Small Business Server 2000 oder Windows Small Business Server 2003 Premium Edition.
  5. Klicken Sie auf OK.



    Hinweis Wenn Sie die folgende Fehlermeldung erhalten, klicken Sie auf OK
    Warnung:
    Daten des Typs REG_MULTI_SZ enthalten keine leeren Zeichenfolgen.
    Registrierungseditor wird die leere Zeichenfolge entfernt.
  6. Registrierungseditor beenden, und starten Sie den Computer neu.
Hinweise
  • Nach dem vornehmen dieser Änderung wirksam wird, müssen Sie den Computer neu.
  • Wenn Sie alle Fremdanbieter-Anwendung auf dem Server, die mit einer statischen UDP-Ports, die höher als Port 1024 erfordern verwenden, sollten Sie auch die Liste der reservierten Ports hinzufügen.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Klicken Sie für Weitere Informationen auf den folgenden Artikeln der Microsoft Knowledge Base:
953230 MS08-037: Sicherheitsrisiken in DNS können spoofing ermöglichen
812873 Reservieren Bereichs temporärer Ports auf einem Computer, auf dem Windows Server 2003 oder Windows 2000 Server ausgeführt wird
Eigenschaften

Artikelnummer: 956189 – Letzte Überarbeitung: 14.01.2017 – Revision: 2

Feedback