Momentan sunteți offline, așteptați să vă reconectați la internet

Interogările DNS care trec prin ISA Server 2006 NAT nu utilizează porturi sursă aleatorii

SIMPTOME
Utilizați Microsoft Internet Security and Acceleration (ISA) Server 2006 drept gateway de translatare a adresei de rețea (NAT), iar un client intern trimite interogări Domain Name System (DNS) în ISA Server 2006. Însă după ce instalați actualizarea de securitate 953230 (MS08-037) în client, interogările DNS trecute prin ISA Server 2006 NAT nu utilizează porturi sursă aleatorii.
CAUZĂ
Această problemă apare deoarece paravanele de protecție bazate pe NAT pot modifica portul sursă utilizat de un client intern. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
956190 Interogările DNS trimise printr-un paravan de protecție nu utilizează porturi aleatorii după ce instalați actualizarea de securitate 953230 (MS08-037)
REZOLUŢIE
Pentru a rezolva această problemă, urmați acești pași:
  1. Aplicați actualizarea ISA Server 2006 disponibilă la Centrul de descărcare Microsoft: Notă După ce instalați această actualizare, ISA Server alocă un set de porturi UDP aleatorii, apoi selectează un port din acest set pentru a-l utiliza în noile sesiuni UDP de ieșire.
  2. Reporniți computerul care execută ISA Server.
REMEDIERE
Pentru a rezolva această problemă, utilizați metodele menționate în următorul articol din Baza de cunoștințe Microsoft:
956190 Interogările DNS trimise printr-un paravan de protecție nu utilizează porturi aleatorii după ce instalați actualizarea de securitate 953230 (MS08-037)
STARE
Microsoft a confirmat că aceasta este o problemă în produsele Microsoft enumerate în secțiunea „Se aplică la”.
INFORMAŢII SUPLIMENTARE

Cum se modifică dimensiunea grupului de socluri

După ce instalați actualizarea, aveți posibilitatea să modificați registry pentru a configura dimensiunea grupului de socluri construit de ISA Server la pornire.

Remediere automată

Pentru a mări automat dimensiunea grupului de socluri, faceți clic pe linkul Remediere problemă. Apoi, faceți clic pe Executare în caseta de dialog Descărcare fișier și urmați pașii din expert.


Notă Este posibil ca acest expert să fie disponibil doar în limba engleză; însă remedierea automată funcționează și pentru versiunile Windows în alte limbi.

Notă Dacă nu vă aflați la computerul care manifestă problema, aveți posibilitatea să salvați remedierea automată pe o unitate flash sau pe un CD, astfel încât să o executați pe computerul care manifestă problema.


Remediere personală

Important Această secțiune, metodă sau activitate conține pașii care vă indică modalitățile de modificare a registry. Însă, dacă modificați registry incorect, pot apărea probleme serioase. De aceea, asigurați-vă că urmați acești pași cu atenție. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a registry. Apoi, registry se poate restabili dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restabilirea registry, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
322756 Cum se face copierea de rezervă și restabilirea registry în Windows
Pentru a mări personal dimensiunea grupului de socluri, urmați acești pași:
  1. Faceți clic pe Start, pe Executare, tastați regedit, apoi faceți clic pe OK.
  2. Identificați următoarea cheie de registry și faceți clic cu butonul din dreapta pe ea:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Indicați spre New, apoi faceți clic pe DWORD Value.
  4. Tastați ReservedPortThreshold.
  5. Faceți dublu clic pe ReservedPortThreshold, apoi tastați un număr în caseta Value data pentru a seta dimensiunea grupului de socluri.
  6. Reporniți computerul care execută ISA Server.
Notă Valoarea intrării ReservedPortThreshold variază de la 1 la 1250. Această valoare definește 1/2 din numărul de porturi care vor fi alocate la pornire și după cum este necesar în timpul operațiunii. Dacă această intrare nu există, ISA Server presupune că valoarea este 50. Modificarea acestei valori cu una mai mică de 1250 mărește previzibilitatea utilizării portului sursă în cadrul grupului, iar acest lucru nu este recomandat.

Pentru a seta această intrare registry la o valoare recomandată, într-o linie de comandă executați comanda următoare:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Dezactivarea acestei actualizări

Dacă întâmpinați probleme după ce instalați această actualizare, aveți posibilitatea să o dezactivați.

Remediere personală

Pentru a dezactiva automat această actualizare, faceți clic pe linkul Remediere problemă. Apoi, faceți clic pe Executare în caseta de dialog Descărcare fișier și urmați pașii din expert.


Notă Este posibil ca acest expert să fie disponibil doar în limba engleză; însă remedierea automată funcționează și pentru versiunile Windows în alte limbi.

Notă Dacă nu vă aflați la computerul care manifestă problema, aveți posibilitatea să salvați remedierea automată pe o unitate flash sau pe un CD, astfel încât să o executați pe computerul care manifestă problema.


Remediere personală

Pentru a dezactiva actualizarea personal, urmați acești pași:
  1. Salvați scriptul următor ca KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-''    Acest cod este Copyright (c) 2008 Microsoft Corporation.  ''    Toate drepturile rezervate.''    ACEST COD ȘI ACESTE INFORMAȚII SUNT FURNIZATE „CA ATARE” ȘI FĂRĂ NICIO GARANȚIE'    EXPLICITĂ SAU IMPLICITĂ, INCLUSIV, DAR FĂRĂ LIMITARE LA'    GARANȚIILE IMPLICITE DE VANDABILITATE ȘI/SAU POTRIVIRE LA UN	ANUMIT SCOP.'	MICROSOFT ȘI/SAU FURNIZORII SĂI	NU SUNT RĂSPUNZĂTORI ÎN NICIO PRIVINȚĂ PENTRU NICI UN FEL DE DAUNE SPECIALE, INDIRECTE SAU CONSECUTIVE'    SAU PENTRU ORICE ALTE PAGUBE REZULTATE DIN PIERDERI DE UTILIZARE, DE DATE SAU DE PROFITURI,'    FIE PRINTR-O ACȚIUNE A UNUI CONTRACT, DIN NEGLIJENȚĂ SAU PRIN ALTĂ ACȚIUNE'	ÎN PRETENȚII, REZULTATE DIN SAU LEGATE DE UTILIZAREA SAU PERFORMANȚELE'    ACESTUI COD SAU ACESTOR INFORMAȚII.''-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "BindRandomizationCount"Const SE_VPS_VALUE = 0Sub SetValue()    ' Creează obiectul rădăcină.    Dim root  ' Obiectul rădăcină FPCLib.FPC    Set root = CreateObject("FPC.Root")    'Declară celelalte obiecte necesare.    Dim array       ' Un obiect FPCArray    Dim VendorSets  ' O colecție FPCVendorParametersSets    Dim VendorSet   ' Un obiect FPCVendorParametersSet    ' Referințe la obiectul șir    ' și la colecția de reguli de rețea.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Adaugă elementul        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "Nou VendorSet adăugat... " & VendorSet.Name    Else        WScript.Echo "VendorSet existent găsit... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Terminat cu " & SE_VPS_NAME & ", salvat!"            End If        End If    Else        WScript.Echo "Terminat cu " & SE_VPS_NAME & ", nicio modificare!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "Eroare: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  2. Faceți clic pe Start, apoi pe Executare, tastați cmd, apoi faceți clic pe OK.
  3. În linia de comandă, tastați comanda următoare, apoi apăsați ENTER:
    cscript KB956570.vbs
  4. Reporniți computerul care execută ISA Server.
REFERINŢE
Pentru mai multe informații despre această problemă, vizitați următorul site Web Microsoft: Pentru mai multe informații despre actualizarea MS08-037, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
953230 MS08-037: Vulnerabilitățile din DNS ar putea permite falsificarea
Pentru mai multe informații despre terminologia actualizărilor de software, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
824684 Descrierea terminologiei standard utilizate în descrierea actualizărilor de software Microsoft
Proprietăți

ID articol: 956570 - Ultima examinare: 10/11/2011 21:44:00 - Revizie: 2.0

Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition

  • kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
Feedback