Kohtaat ongelmia UDP-protokollaa käyttävissä verkkopalveluissa, kun asennat DNS-palvelinpalvelun suojauspäivityksen 953230 (MS08-037)

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Oire
UDP-riippuvaisissa verkkopalveluissa voi esiintyä ongelmia, kun asennat DNS (Domain Name System) -palvelin-palvelun suojauspäivityksen 953230 (MS08-037) ja käynnistät tietokoneen uudelleen. Kun suojauspäivitys 953230 on asennettu, UDP-portin käytöstä riippuva palvelu ei ehkä käynnisty tietokoneessa, jossa on Windows 2000, Windows Server 2003 tai Windows Server 2008. Tämä ongelma tapahtuu, jos palvelu varataan DNS-palvelinpalvelulle, kun suojauspäivitys 953230 on asennettu.
Syy
Tämä ongelma johtuu siitä, ettei palvelu voi hankkia porttia, jota se tarvitsee oikeaa toimintaa varten. Tämä ongelma johtuu DNS-palvelun portinvaraukseen tehdystä muutoksesta, kun suojauspäivitys 953230 on asennettu.

Kun suojauspäivitys 953230 on asennettu DNS-palvelin-palvelu varaa 2 500 satunnaista porttia tilapäisestä porttialueesta. Tämä on uusi tämän päivityksen mukana tuoma toiminto. Tämä voi aiheuttaa ristiriidan, jos jokin satunnaisesti varatuista porteista on ristiriidassa olevan palvelun käytössä.

Palveluristiriidat ovat todennäköisempiä usean roolin palvelimissa, joissa on lisärooleja, kuten DNS-toiminnot. Koska portit varataan satunnaisesti, nämä viat voivat olla ajoittaisia.

Tämä ristiriita voi esimerkiksi tapahtua Windows IPsec-palvelut -palvelussa. IPsec-palvelut-palvelu käyttää UDP-porttia 4500. Niissä DNS-palvelimissa, jotka tarjoavat samalla IPsec-palveluita, porttiristiriidat voivat estää IPsec-palvelun käynnistymisen.
Workaround
Korjaa ongelma varaamalla UDP-portti tilapäisten porttien alueelta varmistamaan, että porttia tarvitseva palvelu voi käynnistyä.Lisätietoja tilapäisten porttien varaamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
812873 Tilapäisten porttien alueen varaaminen tietokoneessa, jossa on Windows Server 2003 tai Windows 2000 Server (tämä artikkeli saattaa olla englanninkielinen)
Saat lisätietoja ristiriidan mahdollisesti aiheuttavista UDP-porteista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
832017Windows Server -järjestelmän palvelun kuvaus ja verkkoporttivaatimukset (tämä artikkeli saattaa olla englanninkielinen)
Voit aiemmassa IPsec-palvelun esimerkissä lisätä portit 4500–4500 ReservedPorts-rekisteriavaimella.
Enemmän tietoa

Tarkempi syy

Seuraavassa on kuvattu tämän ongelman aiheuttaja yksityiskohtaisemmin.

DNS-palvelimen lähdeportin satunnaistaminen ja SocketPool-toteutus

DNS-palvelimen suojauspäivityksen toteutus varaa porttisarjan kyselyitä satunnaistettaessa. Suunnittelussa päätettiin korjata suorituskykyongelmia niissä DNS-palvelimissa, jotka käsittelevät ja lähettävät huomattavasti enemmän kyselyitä kuin Windows-asiakkaat. DNS-palvelimen varaamien porttien joukkoa kutsutaan "vastakevarannoksi".

Vastakevarannon oletusarvoinen koko Windows-palvelimissa on 2 500 vastaketta. Koko on määritettävissä muokkaamalla SocketPoolSize-rekisterimerkintää rekisterin seuraavassa aliavaimessa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize
Huomautus DNS-palvelu on käynnistettävä uudelleen, jotta SocketPoolSize-rekisterimerkintään tehdyt muutokset astuisivat voimaan.
Windows 2000 ja Windows Server 2003
 • Tilapäisten porttien varaaminen ja MaxUserPort-rekisterimerkintä
  Vastakevarantoon varatut portit otetaan palvelimen saatavilla olevista tilapäisistä porteista. TCP/IP-pino varaa tilapäiset portit tilapäisesti "satunnaisidonnan" aikana, jolloin haluttua lähdeporttia ei ole määritetty.

  Windows-palvelimissa MaxUserPort-rekisterimerkintä määrittää tilapäisten porttien alueen ja suurimman portin numeron, joka voidaan varata tilapäisiin portteihin. MaxUserPort-rekisterimerkintä on seuraavassa rekisterin aliavaimessa:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
  Lisätietoja MaxUserPort-rekisterimerkinnästä on seuraavalla Microsoftin Web-sivulla:
 • Todellinen tilapäinen porttialue, kun MaxUserPort-rekisterimerkintä on määritetty eksplisiittisesti.
  Windows Server 2003:ssa tai Windows 2000 Serverissä MaxUserPort-rekisterimerkinnän arvo määrittää tilapäisten porttien alueen. Alue on 1024–arvo, joka on määritetty MaxUserPort-rekisterimerkinnällä.

  Kun asennat suojauspäivityksen 953230 Windows Server 2003:een tai sitä aikaisempiin ympäristöihin, seuraavat ehdot täyttyvät:
  • Jos MaxUserPort-rekisterimerkinnän arvo on asetettu, portit varataan satunnaisesti alueelta [1024, MaxUserPort].
  • Jos MaxUserPort-rekisterimerkinnän arvoa ei ole asetettu, portit varataan satunnaisesti alueelta [49152, 65535].
Windows Server 2008
 • Tilapäisten porttien varaaminen ja MaxUserPort-rekisterimerkintä
  Windows Server 2008:ssa tai Windows Vistassa MaxUserPort-rekisterimerkinnän arvo osoittaa tilapäisten porttien määrän. Alue on [alkuportti, alkualue + MaxUserPort]. Oletusarvoinen alkuportti on 49152.
 • Todellinen tilapäisten porttien alue
  Tilapäisen portin varaaminen tapahtuu porttialueella [49152-65535], ennen kuin asennat päivityksen 953230 Windows Server 2008:aan. Tämä portin varaustapa ei muutu, kun asennat suojauspäivityksen 953230.Saat lisätietoja tästä suojauspäivityksestä ja tämän ohjelmiston tiettyjen versioiden tunnetuista ongelmista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
  929851 Oletusarvoinen dynaaminen TCP/IP:n porttialue on muuttunut Windows Vistassa ja Windows Server 2008:ssa (tämä artikkeli saattaa olla englanninkielinen)
Tila
Microsoft on vahvistanut, että tämä ongelma esiintyy artikkelin alussa luetelluissa Microsoftin tuotteissa.
Ominaisuudet

Artikkelin tunnus: 956188 – Viimeisin tarkistus: 08/01/2008 12:14:44 – Versio: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

 • kbexpertiseinter kbtshoot KB956188
Palaute