Dla kwerend DNS przekazywanych za pośrednictwem translatora adresów sieciowych programu ISA Server 2006 nie są stosowane losowe porty źródłowe

Symptomy
W środowisku z programem Microsoft Internet Security and Acceleration (ISA) Server 2006 używanym jako brama translatora adresów sieciowych (NAT) klient wewnętrzny wysyła kwerendy DNS (Domain Name System) za pośrednictwem programu ISA Server 2006. Jednak po zainstalowaniu w kliencie aktualizacji zabezpieczeń 953230 (MS08-037) dla kwerend DNS przekazywanych za pośrednictwem translatora adresów sieciowych programu ISA Server 2006 nie są stosowane losowe porty źródłowe.
Przyczyna
Przyczyną tego problemu jest to, że zapory bazujące na translacji adresów sieciowych mogą zmieniać port źródłowy używany przez klienta wewnętrznego. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
956190 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych
Rozwiązanie
Aby rozwiązać ten problem, wykonaj następujące czynności:
  1. Zastosuj aktualizację programu ISA Server 2006 dostępną w Centrum pobierania Microsoft: Uwaga Po zainstalowaniu tej aktualizacji program ISA Server przydziela zestaw losowych portów UDP, a następnie wybiera port z tego zestawu do zastosowania w nowych wychodzących sesjach UDP.
  2. Uruchom ponownie komputer, na którym działa program ISA Server.
Obejście problemu
W celu obejścia tego problemu należy zastosować metody wymienione w następującym artykule z bazy wiedzy:
956190 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.
Więcej informacji

Jak zmodyfikować rozmiar puli gniazd

Po zainstalowaniu aktualizacji można zmodyfikować rejestr w celu skonfigurowania rozmiaru puli gniazd konstruowanej przez program ISA Server podczas uruchamiania.

Automatyczne rozwiązywanie problemu

Aby automatycznie zwiększyć rozmiar puli gniazd, należy kliknąć łącze Rozwiąż ten problem. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora.


Uwaga Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.

Uwaga Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.


Samodzielne rozwiązywanie problemu

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby samodzielnie zwiększyć rozmiar puli gniazd, wykonaj następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg regedit, a następnie kliknij przycisk OK.
  2. Odszukaj i kliknij prawym przyciskiem myszy następujący klucz rejestru:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz ciąg ReservedPortThreshold.
  5. Kliknij dwukrotnie pozycję ReservedPortThreshold, a następnie wpisz liczbę w polu Dane wartości w celu ustawienia rozmiaru puli gniazd.
  6. Uruchom ponownie komputer, na którym działa program ISA Server.
Uwaga Wartość wpisu ReservedPortThreshold może być z zakresu od 1 do 1250. Ta wartość określa połowę liczby portów, które zostaną przydzielone podczas uruchamiania i zgodnie z wymaganiami w trakcie działania. W przypadku braku tego wpisu program ISA Server przyjmuje wartość 50. Zmiana tej wartości na mniejszą niż 1250 zwiększa przewidywalność zastosowania portów źródłowych w puli i nie jest zalecana.

Aby ustawić dla tego wpisu rejestru wartość zalecaną, w wierszu polecenia należy uruchomić następujące polecenie:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Jak wyłączyć tę aktualizację

Jeśli po zainstalowaniu tej aktualizacji wystąpią problemy, można ją wyłączyć.

Automatyczne rozwiązywanie problemu

Aby automatycznie wyłączyć tę aktualizację, należy kliknąć łącze Rozwiąż ten problem. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora.


Uwaga Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.

Uwaga Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.


Samodzielne rozwiązywanie problemu

Aby samodzielnie wyłączyć tę aktualizację, wykonaj następujące czynności:
  1. Zapisz poniższy skrypt jako plik KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-''    Ten kod jest chroniony prawami autorskimi: Copyright (c) 2008 Microsoft Corporation.  ''    Wszelkie prawa zastrzeżone.''    TEN KOD I TE INFORMACJE SĄ UDOSTĘPNIANE „TAKIE, JAKIE SĄ” BEZ JAKICHKOLWIEK'    GWARANCJI, WYRAŹNYCH I DOROZUMIANYCH, W TYM RÓWNIEŻ'    DOROZUMIANYCH GWARANCJI PRZYDATNOŚCI HANDLOWEJ I DO'    KONKRETNYCH CELÓW.''    FIRMA MICROSOFT ANI JEJ DOSTAWCY NIE SĄ W ŻADNYM PRZYPADKU ODPOWIEDZIALNI'    ZA ŻADNE SZKODY SPECJALNE, POŚREDNIE LUB WYNIKOWE, ZA JAKIEKOLWIEK'    SZKODY WYNIKAJĄCE Z NIEMOŻNOŚCI UŻYCIA, UTRATY DANYCH BĄDŹ UTRATY ZYSKÓW,'    NIEZALEŻNIE OD TEGO, CZY WYNIKŁY Z UMOWY, ZANIEDBANIA BĄDŹ INNEGO DZIAŁANIA'    NIEDOZWOLONEGO, WYNIKŁE BEZPOŚREDNIO LUB POŚREDNIO Z UŻYCIA LUB DZIAŁANIA'    TEGO KODU BĄDŹ INFORMACJI.''-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "BindRandomizationCount"Const SE_VPS_VALUE = 0Sub SetValue()    ' Należy utworzyć obiekt główny.    Dim root  ' Obiekt główny FPCLib.FPC    Set root = CreateObject("FPC.Root")    ' Należy zadeklarować inne wymagane obiekty.    Dim array       ' Obiekt FPCArray    Dim VendorSets  ' Kolekcja FPCVendorParametersSets    Dim VendorSet   ' Obiekt FPCVendorParametersSet    ' Należy uzyskać odwołania do obiektu tablicy    ' i zbioru reguł sieciowych.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Należy dodać element.        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "Dodano nowy element VendorSet... " & VendorSet.Name    Else        WScript.Echo "Znaleziono istniejący element VendorSet ... wartość- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Koniec pracy z " & SE_VPS_NAME & ", zapisano!"            End If        End If    Else        WScript.Echo "Koniec pracy z " & SE_VPS_NAME & ", bez zmian!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "Wystąpił błąd: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg cmd, a następnie kliknij przycisk OK.
  3. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
    cscript KB956570.vbs
  4. Uruchom ponownie komputer, na którym działa program ISA Server.
Materiały referencyjne
Aby uzyskać więcej informacji o tym problemie, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji dotyczących aktualizacji MS08-037, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
953230 MS08-037: Luki w zabezpieczeniach usługi DNS umożliwiają fałszowanie zawartości
Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Propriedades

ID do Artigo: 956570 - Última Revisão: 10/11/2011 21:43:00 - Revisão: 2.0

Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition

  • kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
Comentários