Después de instalar la actualización de seguridad del servicio Servidor DNS 953230 (MS08-037) tiene problemas con los servicios de red que dependen de UDP


Síntomas


Después de instalar la actualización de seguridad del servicio Servidor DNS (Sistema de nombres de dominio) 953230 (MS08-037) y reiniciar el equipo puede tener problemas con los servicios de red que dependen de UDP. Tras instalar la actualización de seguridad 953230, es posible que algún servicio que dependa de un puerto UDP no se inicie en un equipo con Windows 2000, Windows Server 2003 y Windows Server 2008. Este problema aparece si el servicio se ha asignado al servicio Servidor DNS después de la instalación de la actualización de seguridad 953230.

Causa


Este problema se produce porque el servicio no puede obtener el puerto que necesita para funcionar correctamente. Este problema se produce porque se han realizado cambios en la asociación de puertos en el servicio DNS después de haber instalado la actualización de seguridad 953230.

De forma predeterminada, tras las instalación de la actualización de seguridad 953230, el servicio Servidor DNS asigna aleatoriamente 2.500 al intervalo de puertos efímeros. Este comportamiento es nuevo y lo introduce actualización. Si el servicio en conflicto utiliza uno de estos puertos asignados aleatoriamente, se puede producir un conflicto.

La probabilidad de que se produzcan conflictos en los servicios aumenta en los servidores con varias funciones que ofrecen funciones adicionales, entre las que se incluye la funcionalidad DNS. Como estos puertos se asignan aleatoriamente, los errores pueden ser intermitentes.

Por ejemplo, este conflicto puede producirse en el servicio Servicios IPsec de Windows. El servicio Servicios IPsec utiliza el puerto UDP 4500. En los servidores DNS que también proporcionan servicios IPsec, los conflictos del puerto pueden impedir que el servicio IPsec se inicie.

Solución


Para solucionar este problema, reserve el puerto UDP del intervalo de puertos efímeros para asegurarse de que el servicio que depende del puerto se puede iniciar.

Para obtener más información acerca de cómo reservar puertos efímeros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
812873 Cómo reservar un rango de puertos efímeros en un equipo con Windows Server 2003 o Windows 2000 Server (en inglés)
Para obtener más información acerca de los puertos UDP que pueden entrar en conflicto potencialmente, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832017 Introducción al servicio y requisitos del puerto de red para el sistema Windows Server
En el ejemplo del servicio IPsec que se ha mencionado anteriormente, se podrían agregar los puertos 4500–4500 con la clave del Registro ReservedPorts.

Más información


Causa detallada

A continuación encontrará una explicación más detallada de la causa de este problema.

Aleatorización del puerto de origen del servidor DNS y la implementación de SocketPool

La implementación de la actualización de seguridad del servidor DNS reserva un conjunto de puertos al aleatorizar las consultas. Esta decisión de diseño se realizó para afrontar las preocupaciones acerca del rendimiento de los servidores DNS que manejan y originan un gran número de consultas, en comparación con los clientes basados en Windows. El conjunto de puertos reservados por el servidor DNS se denominará de aquí en adelante "grupo de sockets".

El tamaño predeterminado del grupo de sockets en los servidores basados en Windows es de 2.500 sockets. Este tamaño se puede configurar mediante la modificación de la entrada del Registro SocketPoolSize de la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize
Nota Para que los cambios en la entrada del Registro SocketPoolSize surtan efecto se debe reinicia el servicio DNS.

Windows 2000 y Windows Server 2003
  • La asignación de puertos efímeros y la entrada del Registro MaxUserPort
    Los puertos que se asignan como parte del grupo de sockets se extraen del conjunto de puertos efímeros disponibles en el servidor. La pila TCP/IP asigna efímeramente puertos efímeros durante "los enlaces de carácter comodín" en los que no se especifica el puerto de origen original deseado.

    En los servidores basados en Windows, la entrada del Registro MaxUserPort define el intervalo de puertos efímeros y el número de puerto más alto que se puede asignar para puertos efímeros. La entrada MaxUserPort está en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
    Para obtener más información acerca de la entrada del Registro MaxUserPort, visite la siguiente página Web de Microsoft:
  • Intervalo de puertos efímeros efectivos cuando el valor de la entrada del Registro MaxUserPort se define de forma explícita.
    En Windows Server 2003 o Windows 2000 Server, el valor de la entrada del puerto de usuario máximo define el rango de puertos efímeros. El intervalo va desde 1024 ala valor que define la entrada del Registro MaxUserPort.

    Tras instalar la actualización de seguridad 953230 en Windows Server 2003 y en las plataformas de nivel inferior se cumplen las siguientes condiciones:

    • Si el valor de la entrada del Registro MaxUserPort está establecido, los puertos se asignan de forma aleatoria desde el intervalo [1.024, MaxUserPort].
    • Si el valor de la entrada del Registro MaxUserPort no está establecido, los puertos se asignan de forma aleatoria desde el intervalo [49.152, 65.535].
Windows Server 2008
  • La asignación de puertos efímeros y la entrada del Registro MaxUserPort
    En Windows Server 2008 o Windows Vista, el valor de la entrada del registro del puerto de usuario máximo indica el número de puertos efímeros. El intervalo comienza desde [puerto de inicio, intervalo de inicio + MaxUserPort]. El puerto de inicio predeterminado es el 49152.
  • Intervalo de puertos efímeros vigente
    La asignación de puertos efímeros se produce en el intervalo de puertos [49.152-65.535] antes de la instalación de la actualización de seguridad 953230 en Windows Server 2008. Este comportamiento de la asignación de puertos no cambia después de instalar la actualización de seguridad 953230.
    Para obtener más información acerca de esta actualización de seguridad y de los problemas conocidos en determinadas versiones de este software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    929851 El intervalo predeterminado de puertos dinámicos para TCP/IP ha cambiado en Windows Vista y en Windows Server 2008

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".