U ondervindt problemen met netwerkservices die gebruikmaken van UDP nadat u beveiligingsupdate 953230 (MS08-037) hebt geïnstalleerd

Symptomen

Nadat u beveiligingsupdate 953230 (MS08-037) voor de DNS Server-service (DNS: Domain Name System) hebt geïnstalleerd en vervolgens de computer hebt opgestart, ondervindt u mogelijk problemen met netwerkservices die gebruikmaken van UDP. Nadat u beveiligingsupdate 953230 hebt geïnstalleerd, kan het voorkomen dat een service die gebruikmaakt van een UDP-poort, niet kan starten op een computer waarop Windows 2000, Windows Server 2003 of Windows Server 2008 wordt uitgevoerd. Dit probleem doet zich voor als de service is toegewezen aan de DNS Server-service nadat beveiligingsupdate 953230 werd geïnstalleerd.

Oorzaak

Dit probleem doet zich voor omdat de service geen toegang kan verkrijgen tot de benodigde poort. Dit probleem ontstaat doordat er wijzigingen zijn aangebracht in de toewijzing van poorten in de DNS-service nadat beveiligingsupdate 953230 werd geïnstalleerd.

Nadat beveiligingsupdate 953230 is geïnstalleerd, wijst de DNS Server-service standaard 2500 poorten op willekeurige wijze toe in het tijdelijke poortbereik. Dit is nieuwe functionaliteit die door deze update wordt geïntroduceerd. Het is mogelijk dat zich een conflict voordoet als een van deze willekeurig toegewezen poorten een poort betreft die door een andere service wordt gebruikt.

Er is een grotere kans op serviceconflicten op servers die meerdere rollen vervullen, waaronder DNS-functionaliteit. Omdat deze poorten op willekeurige wijze worden toegewezen, kan dit probleem zich af en toe voordoen.

Dit conflict kan bijvoorbeeld optreden in de Windows IPsec Services-service. De IPsec Services-service maakt gebruik van UDP-poort 4500. Op DNS-servers die ook IPsec-services bieden, is het mogelijk dat een poortconflict de IPsec-service belet te starten.

Workaround

U kunt dit probleem omzeilen door de UDP-poort te reserveren uit het tijdelijke poortbereik, zodat de service die van deze poort gebruik moet maken, kan starten.

Klik voor meer informatie over het reserveren van tijdelijke poorten op het volgende artikelnummer in de Microsoft Knowledge Base:
812873 Een tijdelijk poortbereik reserveren op een computer waarop Windows Server 2003 of Windows 2000 Server wordt uitgevoerd (Het Engels)
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over UDP-netwerkpoorten die mogelijk in conflict kunnen komen:
832017 Overzicht van service en vereisten voor netwerkpoorten voor het Windows Server-systeem (Het Engels)
In het eerder genoemde voorbeeld met de IPsec-service kunt u bijvoorbeeld de poorten 4500–4500 toevoegen met behulp van de registersleutel ReservedPorts.

Meer informatie

Oorzaak in detail

Hieronder volgt een gedetailleerde beschrijving van de oorzaak van dit probleem.

Het kiezen van willekeurige bronpoorten op DNS-servers en de implementatie van SocketPool

Als gevolg van de implementatie van de beveiligingsupdate voor de DNS-server wordt een aantal poorten gereserveerd tijdens het uitvoeren van willekeurige query's. Deze functionaliteit is doorgevoerd om de prestaties te verbeteren van DNS-servers die veel meer query's moeten verwerken en verzenden in vergelijking met Windows-clients. De groep poorten die door de DNS Server is gereserveerd, wordt hierna de 'socketgroep' (Socket Pool) genoemd.

De standaardomvang van de socketgroep op Windows-servers is 2500 sockets. Deze omvang kunt u configureren door de registervermelding SocketPoolSize te wijzigen in de volgende subsleutel in het register:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize
Opmerking: de wijzigingen in de registervermelding SocketPoolSize worden pas van kracht als u de DNS-service opnieuw start.

Windows 2000 en Windows Server 2003
 • Tijdelijke poorttoewijzing en de registervermelding MaxUserPort
  Poorten die worden toegewezen als deel van de socketgroep worden onttrokken aan de groep met beschikbare tijdelijke poorten op de server. Tijdelijke poorten worden tijdelijk door de TCP/IP-stack toegewezen tijdens bindingen met gebruik van jokertekens, waarbij de gewenste bronpoort niet wordt opgegeven.

  Op Windows-servers wordt met de registervermelding MaxUserPort het tijdelijke poortbereik gedefinieerd alsmede het hoogste poortnummer dat kan worden toegewezen voor tijdelijke poorten. De registervermelding MaxUserPort bevindt zich in de volgende subsleutel in het register:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
  Op de volgende Microsoft-webpagina vindt u meer informatie over de registervermelding MaxUserPort:
 • Effectief tijdelijk poortbereik wanneer de waarde voor de registervermelding MaxUserPort expliciet wordt ingesteld
  In Windows Server 2003 of in Windows 2000 Server wordt met de waarde van de registervermelding MaxUserPort het tijdelijke poortbereik gedefinieerd. Het bereik loopt van 1024 tot de waarde die wordt gedefinieerd in de registervermelding MaxUserPort.

  Nadat u beveiligingsupdate 953230 hebt geïnstalleerd op Windows Server 2003 en lagere platforms, gelden de volgende voorwaarden:

  • Als de waarde van de registervermelding MaxUserPort is ingesteld, worden de poorten uit het bereik [1024, MaxUserPort] willekeurig toegewezen.
  • Als de waarde van de registervermelding MaxUserPort niet is ingesteld, worden de poorten uit het bereik [49152, 65535] willekeurig toegewezen.
Windows Server 2008
 • Tijdelijke poorttoewijzing en de registervermelding MaxUserPort
  In Windows Server 2008 en Windows Vista wordt met de waarde van de registervermelding MaxUserPort het aantal tijdelijke poorten aangeduid. Het bereik loopt van [beginpoort, beginbereik + MaxUserPort]. De standaardbeginpoort is poort 49152.
 • Effectief tijdelijk poortbereik
  Voordat u beveiligingsupdate 953230 installeert op Windows Server 2008, vindt tijdelijke poorttoewijzing plaats in het [49152-65535] poortbereik. Dit poorttoewijzingsgedrag verandert niet nadat u beveiligingsupdate 953230 hebt geïnstalleerd.
  Klik voor meer informatie over deze beveiligingsupdate en over bekende problemen met specifieke versies van deze software op het volgende artikelnummer in de Microsoft Knowledge Base:

  929851 Het standaardbereik van dynamische poorten voor TCP/IP is in Windows Vista en Windows Server 2008 gewijzigd (Het Engels)

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Eigenschappen

Artikel-id: 956188 - Laatst bijgewerkt: 31 jul. 2008 - Revisie: 1

Feedback