Interogările DNS care trec prin ISA Server 2006 NAT nu utilizează porturi sursă aleatorii

S I M P T O M E

Utilizați Microsoft Internet Security and Acceleration (ISA) Server 2006 drept gateway de translatare a adresei de rețea (NAT), iar un client intern trimite interogări Domain Name System (DNS) în ISA Server 2006. Însă după ce instalați actualizarea de securitate 953230 (MS08-037) în client, interogările DNS trecute prin ISA Server 2006 NAT nu utilizează porturi sursă aleatorii.

C A U ZĂ

Această problemă apare deoarece paravanele de protecție bazate pe NAT pot modifica portul sursă utilizat de un client intern.
Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:

956190 Interogările DNS trimise printr-un paravan de protecție nu utilizează porturi aleatorii după ce instalați actualizarea de securitate 953230 (MS08-037)

R E Z O L UŢ I E

Pentru a rezolva această problemă, urmați acești pași:
 1. Aplicați actualizarea ISA Server 2006 disponibilă la Centrul de descărcare Microsoft: Notă După ce instalați această actualizare, ISA Server alocă un set de porturi UDP aleatorii, apoi selectează un port din acest set pentru a-l utiliza în noile sesiuni UDP de ieșire.
 2. Reporniți computerul care execută ISA Server.

R E M E D I E R E

Pentru a rezolva această problemă, utilizați metodele menționate în următorul articol din Baza de cunoștințe Microsoft:

956190 Interogările DNS trimise printr-un paravan de protecție nu utilizează porturi aleatorii după ce instalați actualizarea de securitate 953230 (MS08-037)

S T A R E

Microsoft a confirmat că aceasta este o problemă în produsele Microsoft enumerate în secțiunea „Se aplică la”.

I N F O R M AŢ I I S U P L I M E N T A R E

Cum se modifică dimensiunea grupului de socluri

După ce instalați actualizarea, aveți posibilitatea să modificați registry pentru a configura dimensiunea grupului de socluri construit de ISA Server la pornire.

Remediere automată

Pentru a mări automat dimensiunea grupului de socluri, faceți clic pe linkul Remediere problemă. Apoi, faceți clic pe Executare în caseta de dialog Descărcare fișier și urmați pașii din expert.


Notă Este posibil ca acest expert să fie disponibil doar în limba engleză; însă remedierea automată funcționează și pentru versiunile Windows în alte limbi.

Notă Dacă nu vă aflați la computerul care manifestă problema, aveți posibilitatea să salvați remedierea automată pe o unitate flash sau pe un CD, astfel încât să o executați pe computerul care manifestă problema.


Remediere personală

Important Această secțiune, metodă sau activitate conține pașii care vă indică modalitățile de modificare a registry. Însă, dacă modificați registry incorect, pot apărea probleme serioase. De aceea, asigurați-vă că urmați acești pași cu atenție. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a registry. Apoi, registry se poate restabili dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restabilirea registry, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
322756 Cum se face copierea de rezervă și restabilirea registry în Windows
Pentru a mări personal dimensiunea grupului de socluri, urmați acești pași:
 1. Faceți clic pe Start, pe Executare, tastați regedit, apoi faceți clic pe OK.
 2. Identificați următoarea cheie de registry și faceți clic cu butonul din dreapta pe ea:
  HKLM\System\CurrentControlSet\Services\Fweng\Parameters
 3. Indicați spre New, apoi faceți clic pe DWORD Value.
 4. Tastați ReservedPortThreshold.
 5. Faceți dublu clic pe ReservedPortThreshold, apoi tastați un număr în caseta Value data pentru a seta dimensiunea grupului de socluri.
 6. Reporniți computerul care execută ISA Server.
Notă Valoarea intrării ReservedPortThreshold variază de la 1 la 1250. Această valoare definește 1/2 din numărul de porturi care vor fi alocate la pornire și după cum este necesar în timpul operațiunii. Dacă această intrare nu există, ISA Server presupune că valoarea este 50. Modificarea acestei valori cu una mai mică de 1250 mărește previzibilitatea utilizării portului sursă în cadrul grupului, iar acest lucru nu este recomandat.

Pentru a seta această intrare registry la o valoare recomandată, într-o linie de comandă executați comanda următoare:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Dezactivarea acestei actualizări

Dacă întâmpinați probleme după ce instalați această actualizare, aveți posibilitatea să o dezactivați.

Remediere personală

Pentru a dezactiva automat această actualizare, faceți clic pe linkul Remediere problemă. Apoi, faceți clic pe Executare în caseta de dialog Descărcare fișier și urmați pașii din expert.


Notă Este posibil ca acest expert să fie disponibil doar în limba engleză; însă remedierea automată funcționează și pentru versiunile Windows în alte limbi.

Notă Dacă nu vă aflați la computerul care manifestă problema, aveți posibilitatea să salvați remedierea automată pe o unitate flash sau pe un CD, astfel încât să o executați pe computerul care manifestă problema.


Remediere personală

Pentru a dezactiva actualizarea personal, urmați acești pași:
 1. Salvați scriptul următor ca KB956570.vbs.
  '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  '
  ' Acest cod este Copyright (c) 2008 Microsoft Corporation.
  '
  ' Toate drepturile rezervate.
  '
  ' ACEST COD ȘI ACESTE INFORMAȚII SUNT FURNIZATE „CA ATARE” ȘI FĂRĂ NICIO GARANȚIE
  ' EXPLICITĂ SAU IMPLICITĂ, INCLUSIV, DAR FĂRĂ LIMITARE LA
  ' GARANȚIILE IMPLICITE DE VANDABILITATE ȘI/SAU POTRIVIRE LA UN
  ANUMIT SCOP.
  '
  MICROSOFT ȘI/SAU FURNIZORII SĂI
  NU SUNT RĂSPUNZĂTORI ÎN NICIO PRIVINȚĂ PENTRU NICI UN FEL DE DAUNE SPECIALE, INDIRECTE SAU CONSECUTIVE
  ' SAU PENTRU ORICE ALTE PAGUBE REZULTATE DIN PIERDERI DE UTILIZARE, DE DATE SAU DE PROFITURI,
  ' FIE PRINTR-O ACȚIUNE A UNUI CONTRACT, DIN NEGLIJENȚĂ SAU PRIN ALTĂ ACȚIUNE
  'ÎN PRETENȚII, REZULTATE DIN SAU LEGATE DE UTILIZAREA SAU PERFORMANȚELE
  ' ACESTUI COD SAU ACESTOR INFORMAȚII.
  '
  '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
  Const SE_VPS_NAME = "BindRandomizationCount"
  Const SE_VPS_VALUE = 0

  Sub SetValue()

  ' Creează obiectul rădăcină.
  Dim root ' Obiectul rădăcină FPCLib.FPC
  Set root = CreateObject("FPC.Root")

  'Declară celelalte obiecte necesare.
  Dim array ' Un obiect FPCArray
  Dim VendorSets ' O colecție FPCVendorParametersSets
  Dim VendorSet ' Un obiect FPCVendorParametersSet

  ' Referințe la obiectul șir
  ' și la colecția de reguli de rețea.
  Set array = root.GetContainingArray
  Set VendorSets = array.VendorParametersSets

  On Error Resume Next
  Set VendorSet = VendorSets.Item( SE_VPS_GUID )

  If Err.Number <> 0 Then
  Err.Clear

  ' Adaugă elementul
  Set VendorSet = VendorSets.Add( SE_VPS_GUID )
  CheckError
  WScript.Echo "Nou VendorSet adăugat... " & VendorSet.Name

  Else
  WScript.Echo "VendorSet existent găsit... value- " & VendorSet.Value(SE_VPS_NAME)
  End If

  if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

  Err.Clear
  VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

  If Err.Number <> 0 Then
  CheckError
  Else
  VendorSets.Save false, true
  CheckError

  If Err.Number = 0 Then
  WScript.Echo "Terminat cu " & SE_VPS_NAME & ", salvat!"
  End If
  End If
  Else
  WScript.Echo "Terminat cu " & SE_VPS_NAME & ", nicio modificare!"
  End If

  End Sub

  Sub CheckError()

  If Err.Number <> 0 Then
  WScript.Echo "Eroare: 0x" & Hex(Err.Number) & " " & Err.Description
  Err.Clear
  End If

  End Sub

  SetValue
 2. Faceți clic pe Start, apoi pe Executare, tastați cmd, apoi faceți clic pe OK.
 3. În linia de comandă, tastați comanda următoare, apoi apăsați ENTER:
  cscript KB956570.vbs
 4. Reporniți computerul care execută ISA Server.

R E F E R I NŢ E

Pentru mai multe informații despre această problemă, vizitați următorul site Web Microsoft: Pentru mai multe informații despre actualizarea MS08-037, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:

953230 MS08-037: Vulnerabilitățile din DNS ar putea permite falsificarea

Pentru mai multe informații despre terminologia actualizărilor de software, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
824684 Descrierea terminologiei standard utilizate în descrierea actualizărilor de software Microsoft
Proprietăți

ID articol: 956570 - Ultima examinare: 11 oct. 2011 - Revizie: 1

Feedback