當擱置中的 DNS 名稱解析要求數目超過系統定義的最大值時,此規則會產生警示
TMG Server 拒絕要求 TMG Server 傳送 DNS 名稱解析要求的新連線,因為擱置的 DNS 名稱解析要求的數量除以可用執行緒總數,超出系統定義的最大值。
可能是針對隨機 IP 位址進行洪水攻擊或蠕蟲擴散。 若有原則規則限制您存取以網域名稱指定的一或多個目的地,則需要對每一個連線要求反向 DNS 尋查。 此外,可能有大量的合法連線要求需要 TMG Server 傳送 DNS 名稱解析要求,或 TMG Server 電腦的容量可能不適合網路設定。
請執行下列步驟。
檢查 TMG Server 記錄來找出產生過量連線要求的用戶端。 您應該懷疑這些用戶端可能產生洪水攻擊或嘗試散播蠕蟲。 請特別尋找與需要名稱解析的規則相符的記錄項目 (與不需要名稱解析的規則相符的連線,與擱置的 DNS 名稱解析要求上的限制無關)。
清除所有受感染的用戶端電腦。
請檢閱原則規則,減少原則強制執行 DNS 名稱解析的必要。
如需 TMG Server 洪水攻擊之回復性的詳細資訊,請參閱產品文件
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(21279)$</EventsPattern>
<EventType>1</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>