Le query DNS inviate in modalità Pass-through alla NAT di ISA Server 2006 non utilizzano le porte di origine casuali

Sintomi

Si utilizza Microsoft Internet Security and Acceleration (ISA) Server 2006 come gateway NAT (Network Address Translation) e un client interno invia query DNS (Domain Name System) tramite ISA Server 2006. Tuttavia, al termine dell'installazione dell'aggiornamento della sicurezza 953230 (MS08-037) nel client, le query DNS inviate in modalità Pass-through alla NAT di ISA Server 2006 non utilizzano le porte di origine casuali.

Cause

Questo problema si verifica perché i firewall basati sulla NAT potrebbero cambiare la porta di origine utilizzata da un client interno.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

956190 Le query DNS inviate attraverso un firewall non utilizzano le porte di origine casuali dopo l'installazione dell'aggiornamento della sicurezza 953230 (MS08-037)

Risoluzione

Per risolvere il problema, attenersi alla seguente procedura:
  1. Applicare l'aggiornamento per ISA Server 2006 disponibile nell'Area download Microsoft: Nota Una volta installato l'aggiornamento, ISA Server assegna un set di porte UDP casuali, quindi seleziona una porta da questo set per l'utilizzo in nuove sessioni UDP in uscita.
  2. Riavviare il computer che esegue ISA Server.

Workaround

Per risolvere questo problema, utilizzare i metodi descritti nell'articolo della Knowledge Base riportato di seguito:

956190 Le query DNS inviate attraverso un firewall non utilizzano le porte di origine casuali dopo l'installazione dell'aggiornamento della sicurezza 953230 (MS08-037)

Status

Microsoft ha confermato che questo problema si verifica con i prodotti Microsoft elencati nella sezione "Le informazioni in questo articolo si applicano a".

Informazioni

Modifica delle dimensioni del pool di socket

Una volta installato l'aggiornamento, è possibile modificare il Registro di sistema per configurare le dimensioni del pool di socket che ISA Server crea all'avvio.

Correzione automatica

Per aumentare automaticamente le dimensioni del pool di socket, fare clic sul collegamento Correggi problema. Quindi, fare clic su Esegui nella finestra di dialogo Download file e attenersi alla procedura guidata.


Nota Questa procedura guidata potrebbe essere disponibile esclusivamente in inglese. Tuttavia, la correzione automatica funziona anche per le versioni di Windows in altre lingue.

Nota Se il computer in uso non è il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità di memoria flash o su un CD, in modo da poter eseguire la correzione sul computer che presenta il problema.


Correzione manuale

Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Esecuzione del backup e del ripristino del Registro di sistema in Windows
Per aumentare le dimensioni del pool di socket autonomamente, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e fare clic con il pulsante destro del mouse sulla chiave del Registro di sistema seguente:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Scegliere Nuovo, quindi Valore DWORD.
  4. Digitare ReservedPortThreshold.
  5. Fare doppio clic su ReservedPortThreshold, quindi digitare un numero nella casella Dati valore per impostare le dimensioni del pool di socket.
  6. Riavviare il computer che esegue ISA Server.
Nota Il valore degli intervalli della voce ReservedPortThreshold va da 1 a 1250. Questo valore definisce metà del numero di porte che verranno allocate all'avvio come richiesto durante l'operazione. Se la voce non esiste, ISA Server presuppone che il valore sia 50. Se si modifica questo valore in uno minore di 1250, viene aumentata la prevedibilità dell'utilizzo della porta di origine all'interno del pool; pertanto questa procedura non è consigliata.

Per impostare questa voce del Registro di sistema su un valore consigliato, al prompt dei comandi, eseguire il seguente comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Disabilitazione di questo aggiornamento

In caso di problemi al termine dell'installazione dell'aggiornamento, è possibile disabilitarlo.

Correzione automatica

Per disabilitare automaticamente l'aggiornamento, fare clic sul collegamento Correggi problema . Quindi, fare clic su Esegui nella finestra di dialogo Download file e attenersi alla procedura guidata.


Nota Questa procedura guidata potrebbe essere disponibile esclusivamente in inglese. Tuttavia, la correzione automatica funziona anche per le versioni di Windows in altre lingue.

Nota Se il computer in uso non è il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità di memoria flash o su un CD, in modo da poter eseguire la correzione sul computer che presenta il problema.


Correzione manuale

Per disabilitare l'aggiornamento manualmente, attenersi alla seguente procedura:
  1. Salvare il seguente script come KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    ' This code is Copyright (c) 2008 Microsoft Corporation.
    '
    ' All rights reserved.
    '
    ' THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF
    ' ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO
    ' THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A
    ' PARTICULAR PURPOSE.
    '
    ' IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE
    ' LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY
    ' DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,
    ' WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS
    ' ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE
    ' OF THIS CODE OR INFORMATION.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0

    Sub SetValue()

    ' Create the root object.
    Dim root ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    'Declare the other objects needed.
    Dim array ' An FPCArray object
    Dim VendorSets ' An FPCVendorParametersSets collection
    Dim VendorSet ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
    Err.Clear

    ' Add the item
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
    WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError

    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

    End Sub

    Sub CheckError()

    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If

    End Sub

    SetValue
  2. Fare clic sul pulsante Avvia, scegliere Esegui, digitare cmd, quindi scegliere OK.
  3. Al prompt dei comandi, digitare il seguente comando e premere INVIO:
    cscript KB956570.vbs
  4. Riavviare il computer che esegue ISA Server.

Riferimenti

Per ulteriori informazioni relative a questo problema, visitare il seguente sito Web Microsoft:Per ulteriori informazioni sull'aggiornamento MS08-037, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

953230 MS08-037: Possibili rischi di spoofing a causa di una vulnerabilità di DNS

Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Proprietà

ID articolo: 956570 - Ultima revisione: 12 ott 2010 - Revisione: 1

Feedback