ISA Server 2006 NAT:n kautta välitetyt DNS-kyselyt eivät käytä satunnaisia lähtöportteja

Oire

Käytät Internet Security and Acceleration (ISA) Server 2006:ta verkko-osoitteen muuntamisen (NAT) yhdyskäytävänä, ja sisäinen asiakas lähettää DNS (Domain Name System) -kyselyt ISA Server 2006:n läpi. Sen jälkeen, kun olet asentanut tietoturvapäivityksen 953230 (MS08-037) asiakkaaseen, ISA Server 2006 NAT:n kautta välitetyt DNS-kyselyt eivät kuitenkaan käytä satunnaisia lähtöportteja

Syy

Tämä ongelma ilmenee, koska NAT-pohjaiset palomuurit saattavat muuttaa sisäisen asiakkaan käyttämää lähdeporttia.
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

956190 Palomuurin läpi lähetetyt DNS-kyselyt eivät välttämättä käytä satunnaisia lähdeportteja tietoturvapäivityksen 953230 (MS08-037) asentamisen jälkeen

Ratkaisu

Voit korjata tämän ongelman seuraavasti:
  1. Asenna Microsoft Download Centeristä saatavilla oleva ISA Server 2006:n päivitys. Huomautus Kun olet asentanut tämän päivityksen, ISA Server varaa joukon satunnaisia UDP-portteja, minkä jälkeen ISA Server valitsee tästä joukosta portin käytettäväksi uusissa lähtevissä UDP-istunnoissa.
  2. Käynnistä ISA Serveriä suorittava tietokone uudelleen.

Workaround

Voit kiertää tämän ongelman käyttämällä seuraavassa Knowledge Base -tietokannan artikkelissa mainittuja tapoja:

956190 Palomuurin läpi lähetetyt DNS-kyselyt eivät välttämättä käytä satunnaisia lähdeportteja tietoturvapäivityksen 953230 (MS08-037) asentamisen jälkeen

Tila

Microsoft on vahvistanut, että tämä ongelma esiintyy artikkelin alussa luetelluissa Microsoftin tuotteissa.

Enemmän tietoa

Vastakevarannon koon muuttaminen

Kun olet asentanut päivityksen, voit rekisteriä muokkaamalla määrittää ISA Serverin käynnistyksen yhteydessä muodostaman vastakevarannon koon.

Korjaa ongelma puolestani

Jos haluat ottaa suurentaa vastakevarannon kokoa automaattisesti, napsauta Korjaa tämä ongelma -linkkiä. Valitse sitten Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata tämän ohjatun toiminnon ohjeita.


Huomautus Tämä ohjattu toiminto saattaa olla saatavana vain englanninkielisenä. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.

Huomautus Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa tämän automaattisen korjauksen muistitikkuun tai CD-levylle, jotta voit suorittaa sen tietokoneessa, jossa ongelma ilmenee.


Haluan korjata ongelman itse

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
Voit suurentaa vastakevarannon kokoa itse seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisteriavain ja napsauta sitä hiiren kakkospainikkeella:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Valitse Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita ReservedPortThreshold.
  5. Kaksoisnapsauta ReservedPortThreshold-arvoa ja aseta sitten vastakevarannon koko kirjoittamalla luku Arvon data -ruutuun.
  6. Käynnistä ISA Serveriä suorittava tietokone uudelleen.
Huomautus ReservedPortThreshold-merkinnän arvo on 1–1250. Tämä arvo määrittää käynnistyksen yhteydessä ja toiminnan aikana tarvittaessa varattujen porttien määrän puoliksi. Jos tätä merkintää ei ole, ISA Server olettaa, että arvo on 50. Tämän arvon muuttaminen pienemmäksi kuin 1 250 lisää lähdeportin varannossa käytön ennustettavuutta, eikä sitä suositella.

Voit asettaa tämän rekisterimerkinnän suositelluksi arvoksi, suorita seuraava komento komentokehotteessa:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Tämän päivityksen poistaminen käytöstä

Jos kohtaat ongelmia tämän päivityksen asentamisen jälkeen, voit poistaa tämän päivityksen käytöstä.

Korjaa ongelma puolestani

Jos haluat, että tämä päivitys poistetaan käytöstä automaattisesti, napsauta Korjaa tämä ongelma -linkkiä. Valitse sitten Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata tämän ohjatun toiminnon ohjeita.


Huomautus Tämä ohjattu toiminto saattaa olla saatavana vain englanninkielisenä. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.

Huomautus Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa tämän automaattisen korjauksen muistitikkuun tai CD-levylle, jotta voit suorittaa sen tietokoneessa, jossa ongelma ilmenee.


Haluan korjata ongelman itse

Jos haluat poistaa tämän päivityksen käytöstä itse, toimi seuraavasti:
  1. Tallenna seuraava komentosarja nimellä KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    ' Tämän koodin Copyright (c) 2008 Microsoft Corporation.
    '
    ' Kaikki oikeudet pidätetään.
    '
    ' TÄMÄ KOODI JA NÄMÄ TIEDOT ANNETAAN KÄYTTÖÖN SELLAISENAAN ILMAN
    ' MINKÄÄNLAISTA NIMENOMAISESTI ILMAISTUA TAI OLETETTUA TAKUUTA, MUKAAN LUKIEN
    ' OLETETTUA TAKUUTA TUOTTEEN SOVELTUVUUDESTA KAUPANKÄYNNIN KOHTEEKSI TAI
    ' SOPIVUUDESTA JOHONKIN TIETTYYN TARKOITUKSEEN.
    '
    ' MICROSOFT JA/TAI SEN TOIMITTAJAT EIVÄT MISSÄÄN TAPAUKSESSA OLE VASTUUSSA
    ' MISTÄÄN ERITYISISTÄ, EPÄSUORISTA TAI VÄLILLISISTÄ VAHINGOISTA TAI MISTÄÄN
    ' VAHINGOISTA, JOTKA OVAT SEURAUSTA KÄYTÖN, TIETOJEN TAI TUOTTOJEN MENETYKSESTÄ,
    ' OLIPA SYYNÄ SOPIMUSVELVOITE, LAIMINLYÖNTI TAI MUUT RIKKOMUKSET,
    ' JA JOTKA AIHEUTUVAT TÄMÄN KOODIN TAI NÄIDEN TIETOJEN KÄYTÖSTÄ TAI
    ' TOIMINNASTA TAI NIIDEN YHTEYDESSÄ.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0

    Sub SetValue()

    ' Luo pääobjekti.
    Dim root ' FPCLib.FPC-pääobjekti
    Set root = CreateObject("FPC.Root")

    'Määritä muut tarvittavat objektit.
    Dim array ' FPCArray-objekti
    Dim VendorSets ' FPCVendorParametersSets-kokoelma
    Dim VendorSet ' FPCVendorParametersSet-objekti

    ' Hanki viittaukset matriisiobjektiin
    ' ja verkkosäätökokoelmaan.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
    Err.Clear

    ' Lisää kohde
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
    WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError

    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

    End Sub

    Sub CheckError()

    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If

    End Sub

    SetValue
  2. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita tekstikenttään cmd ja valitse sitten OK.
  3. Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:
    cscript KB956570.vbs
  4. Käynnistä ISA Serveriä suorittava tietokone uudelleen.

Suositukset

Lisätietoja tästä ongelmasta on seuraavassa Microsoftin WWW-.sivustossa:Lisätietoja päivityksestä MS08-037 saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

953230 MS08-037: DNS-heikkoudet saattavat sallia tunnistetietojen väärentämisen

Saat lisätietoja ohjelmistopäivitysten yhteydessä käytettävistä termeistä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
824684 Microsoftin ohjelmistopäivitystiedoissa käytettävien vakiotermien kuvaus
Ominaisuudet

Artikkelin tunnus: 956570 – Viimeisin tarkistus: 11.10.2011 – Versio: 1

Palaute