Você está offline; aguardando reconexão

Consultas de DNS transmitidas pela NAT do ISA Server 2006 não usam portas aleatórias de origem

Sintomas
Você usa o Microsoft Internet Security and Acceleration (ISA) Server 2006 como um gateway de conversão de endereços de rede (NAT) e um cliente envia pesquisas de Sistema de Nomes de Domínio (DNS) pelo ISA Server 2006. No entanto, depois de instalar a atualização de segurança 953230 (MS08-037) no cliente, as pesquisas de DNS transmitidas pela NAT do ISA Server 2006 não usam portas de origem aleatórias.
Causa
Esse problema ocorre porque os firewalls baseados em NAT podem alterar a porta de origem que está sendo usada por um cliente interno. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
956190 As consultas DNS enviadas por um firewall não usam portas de origem aleatórias depois que você instala a atualização de segurança 953230 (MS08-037)
Resolução
Para resolver esse problema, execute as seguintes etapas:
  1. Aplique a atualização do ISA Server 2006 que está disponível no Centro de Download da Microsoft: Observação Depois de instalar essa atualização, o ISA Server alocará um conjunto de portas UDP aleatórias e depois selecionará uma porta desse conjunto a ser usada em novas sessões de UDP de saída.
  2. Reinicie o computador que está executando o ISA Server.
Como Contornar
Para contornar esse problema, use os métodos mencionados no neste artigo da Base de Dados de Conhecimento:
956190 As consultas DNS enviadas por um firewall não usam portas de origem aleatórias depois que você instala a atualização de segurança 953230 (MS08-037)
Situação
A Microsoft confirmou que esse é um problema nos produtos Microsoft que estão listados na seção "Aplica-se a".
Mais Informações

Como modificar o tamanho do pool de soquete

Depois de instalar a atualização, você pode modificar o Registro para configurar o tamanho do pool de soquete criado pelo ISA Server na inicialização.

Corrigir para mim

Para aumentar o tamanho do pool de soquete automaticamente, clique no link Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Download de Arquivo e execute as etapas do assistente.


Observação Esse assistente pode estar apenas em inglês, mas a correção automática também funciona para versões do Windows em outros idiomas.

Observação Se você não estiver no computador com o problema, você poderá salvar a correção automática em uma unidade flash ou em um CD para que seja possível executá-la no computador com o problema.


Desejo corrigir sozinho

Importante Esta seção, este método ou esta tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Sendo assim, siga as etapas cuidadosamente. Por precaução, faça um backup do Registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o Registro no Windows
Para aumentar o tamanho do pool de soquete sozinho, execute as seguintes etapas:
  1. Clique em Iniciar, clique em Executar, digite regedit e clique em OK.
  2. Localize e clique com o botão direito do mouse na seguinte chave do Registro:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Aponte para Novo e clique em Valor DWORD
  4. Digite ReservedPortThreshold.
  5. Clique duas vezes em ReservedPortThreshold e digite um número na caixa Dados do valor para definir o tamanho do pool de soquete.
  6. Reinicie o computador que está executando o ISA Server.
Observação O valor da entrada ReservedPortThreshold é de 1 a 1250. Esse valor define 1/2 do número de portas que serão alocadas na inicialização e conforme exigidas durante a operação. Se essa entrada não existir, o ISA Server irá considerar que o valor é 50. A alteração desse valor para menos de 1250 aumenta a possibilidade de uso da porta de origem no pool e isso não é recomendado.

Para definir a entrada do Registro para um valor recomendado, em um prompt de comando, execute o seguinte comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Como desabilitar esta atualização

Se tiver problemas depois de instalar a atualização, ela poderá ser desabilitada.

Corrigir para mim

Para desabilitar a atualização automaticamente, clique no link Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Download de Arquivo e execute as etapas do assistente.


Observação Esse assistente pode estar apenas em inglês, mas a correção automática também funciona para versões do Windows em outros idiomas.

Observação Se você não estiver no computador com o problema, você poderá salvar a correção automática em uma unidade flash ou em um CD para que seja possível executá-la no computador com o problema.


Desejo corrigir sozinho

Para desabilitar a atualização sozinho, execute as seguintes etapas‎:
  1. Salve o script a seguir como KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-''    Esse é um código Copyright (c) 2008 Microsoft Corporation.  ''    Todos os direitos reservados.''    ESTE CÓDIGO E AS INFORMAÇÕES SÃO FORNECIDOS "NO ESTADO EM QUE SE ENCONTRAM" SEM GARANTIAS DE'    QUALQUER TIPO, EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÃO,'    GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E/OU ADEQUAÇÃO A UMA'    FINALIDADE ESPECÍFICA.''    DE MODO ALGUM A MICROSOFT E/OU SEUS RESPECTIVOS FORNECEDORES'    RESPONDERÃO POR QUAISQUER DANOS ESPECIAIS, INDIRETOS OU CONSEQÜENTES OU POR QUAISQUER'    DANOS DE ALGUMA FORMA RESULTANTES DE PERDA DE USO, DADOS OU LUCROS,'    SEJA EM UMA AÇÃO DE CONTRATO, NEGLIGÊNCIA OU OUTRA AÇÃO RELATIVA'    A PERDAS E DANOS, QUE ADVENHA DE OU ESTEJA EM CONEXÃO COM O USO OU O DESEMPENHO'    DESTE CÓDIGO OU DESSAS INFORMAÇÕES.''-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "BindRandomizationCount"Const SE_VPS_VALUE = 0Sub SetValue()    ' Crie o objeto raiz.    Dim root  ' O objeto raiz FPCLib.FPC    Set root = CreateObject("FPC.Root")    'Declare os outros objetos necessários.    Dim array       ' Um objeto FPCArray    Dim VendorSets  ' Um grupo de FPCVendorParametersSets    Dim VendorSet   ' Um objeto FPCVendorParametersSet    ' Obtenha referências ao objeto da matriz    ' e a coleção de regras da rede.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Adicionar o item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "Novo VendorSet adicionado... " & VendorSet.Name    Else        WScript.Echo "VendorSet existente encontrado... valor- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Concluído " & SE_VPS_NAME & ", salvo"            End If        End If    Else        WScript.Echo "Concluído " & SE_VPS_NAME & ", sem alterações"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "Ocorreu um erro: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  2. Clique em Iniciar, em Executar, digite cmd e clique em OK.
  3. No prompt do comando, digite o seguinte comando e pressione ENTER:
    cscript KB956570.vbs
  4. Reinicie o computador que está executando o ISA Server.
Referências
Para obter mais informações sobre esse problema, visite o seguinte site da Microsoft:Para obter informações adicionais sobre a atualização MS08-037, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
953230 MS08-037: Vulnerabilidades no DNS podem permitir falsificação
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão usada para descrever as atualizações de software da Microsoft
Propriedades

ID do Artigo: 956570 - Última Revisão: 10/11/2010 09:30:00 - Revisão: 2.0

Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition

  • kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
Comentários