如果挂起的 DNS 名称解析请求数超过了系统定义的最大值,此规则将生成警报
TMG 服务器拒绝了需要 TMG 服务器发送 DNS 名称解析请求的新连接,原因是相对于可用线程总数,挂起的 DNS 名称解析请求数超过了系统定义的最大值。
发生了对随机 IP 地址的淹没攻击或蠕虫传播。 如果有策略规则限制对一个或多个由域名指定的目标进行访问,则每个连接请求均要求使用反向 DNS 查找。 此外,需要 TMG 服务器发送 DNS 名称解析请求的连接请求可能出现了合法激增,或者 TMG 服务器计算机的容量可能不适合于该网络配置。
请执行下列步骤。
检查 TMG 服务器日志以找到生成过多连接请求的客户端。 可怀疑是这些客户端引起淹没攻击或尝试传播蠕虫。 特别查找与需要名称解析的规则相匹配的日志条目(如果连接与不需要名称解析的规则相匹配,则与对挂起的 DNS 名称解析请求的限制无关。)
清理所有受到感染的客户端计算机。
检查策略规则以降低策略强制实施的 DNS 名称解析要求。
有关 TMG 服务器淹没复原的详细信息,请参阅产品文档
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(21279)$</EventsPattern>
<EventType>1</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>