FIX: ICMP 流量未被封鎖在啟動期間,與 ISA Server

文章翻譯 文章翻譯
文章編號: 833009 - 檢視此文章適用的產品。

重要本文包含修改登錄的相關資訊。 修改登錄之前請確定它備份起來,並請確定您瞭解如何在發生問題時還原登錄。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

徵狀

正在執行網際網路安全性與加速伺服器 (ISA) 2000年的電腦啟動時, ISA 並不會封鎖外部的網際網路控制訊息通訊協定 (ICMP) 流量即使 ISA 原則不允許該流量。比方說您或許能夠 PING ISA Server 短時間期間內之後啟動電腦。如果下列為 true,您可以修正這個問題:
  • 在整合的模式或防火牆模式安裝 ISA 伺服器。
  • 封包篩選,是 ISA Server 為基礎的電腦上啟用。(如果在快取模式安裝 ISA Server,或未啟用封包篩選您不執行使用封包篩選 ; 因此,您不要指望封鎖 ICMP 流量)。

    附註如需有關如何設定的說明封包篩選,請參閱 < 其他相關資訊 > 一節。
沒有發生這個問題,如果在啟動期間已完成,啟動 ISA Server 服務,並 ISA 原則不允許 ICMP 流量。

發生的原因

如果 TCP/IP 堆疊是操作在載入 ISA Server 封包篩選器驅動程式之前,且正在執行,可能會發生問題。在這種情況下小時間間隔會發生於未封鎖流量。

解決方案

Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

ISA Server Service Pack 1

重新啟動需求

安裝此 Hotfix 後,您必須新增登錄機碼 < 其他相關資訊 > 一節中所述。安裝這個機碼之後您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
   Date        Time     Version      Size    File name
   --------------------------------------------------
   02-Feb-2004 21:38:14 3.0.1200.301 41,584  Mspfltex.sys
   02-Feb-2004 21:39:28 3.0.1200.301 518,928 Stpsrvex.dll
				

狀況說明

Microsoft 已確認這是在 Microsoft 中的問題本文 < 適用於 > 一節中所列的產品。

其他相關資訊

此 Hotfix 會變更載入順序 ISA Server 的封包篩選器驅動程式和作業系統的封包篩選器驅動程式。ISA Server 封包篩選器驅動程式會稍早在啟動程序中載入。在您安裝並啟用此 Hotfix 之後,ISA Server 會封鎖所有網路介面卡上的任何傳入或傳出 ICMP 資料傳輸,直到 ISA Server 控制服務啟動時,並篩選可以套用至靜態篩選及規則根據。

如何啟用此 Hotfix

安裝此 Hotfix 之後,請依照下列步驟啟用它。
警告如果您未正確使用登錄編輯程式可能會導致嚴重的問題,可能必須重新安裝作業系統。Microsoft 不保證您可以解決因不當使用 「 登錄編輯器 」 的問題。使用 「 登錄編輯程式 」,請自行負擔相關的風險。
  1. 按一下 [開始],然後按一下 [執行]。
  2. 在 [開啟] 方塊中輸入 regedit,再按 [確定]
  3. 在登錄中找出下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MspFltEx\Parameters\Options
  4. 用滑鼠右鍵按一下 [選項],指向 [新增],然後再按一下 [DWORD 值
  5. 鍵入 EnableLockDown,並按下 ENTER。
  6. 按一下 [EnableLockDown,然後以滑鼠右鍵按一下 [修改]
  7. 在 [數值資料] 方塊中,鍵入 [1]。
  8. 重新啟動電腦。
如果要還原成原始的行為並無法封鎖 ICMP 資料傳輸在啟動時刪除 EnableLockDown 登錄機碼,或將它設定為 0。驅動程式的已變更的載入順序將會保留。如果您想要還原成原始的載入順序的驅動程式,您必須移除 Hotfix。

當不必須安裝此 Hotfix

Microsoft 不建議您安裝此 Hotfix,不使用外部網路介面卡到 ISA Server 在下列情況中可用時:
  • 只有一個網路介面卡是電腦上已安裝的 ISA Server 為基礎,無論 (整合的防火牆或快取) 的作業模式。在這種情況下 Hotfix 安裝程式將會停止。
  • 使用本機位址表格 (LAT) 之外沒有外部的 IP 位址。亦即外部介面卡已停用或無法使用。
  • 外部的網際網路連線是使用 PPP 或直接撥號的撥號介面卡。ISA Server 使用撥號連線時,Microsoft 並不支援這個 Hotfix 安裝。
  • ISA Server 是以僅快取模式安裝。在這種情況下,所有網路介面被都視為內部。

如果您安裝並啟用有沒有外部網路介面卡的電腦上此 Hotfix 會的發生

如果您在沒有外部網路介面卡的電腦上安裝此 Hotfix 可能會發生下列問題:
  • 遠端系統管理員將無法連線到電腦。
  • ISA 管理介面將會顯示為無法使用 [ISA 服務。電腦節點狀態中會出現紅色交叉。請參閱本文中的 [如何瀏覽 ISA Server 服務 」。
  • 即使已完成啟動後 ISA 伺服器不會回應 ICMP PING 要求。
如果 ISA Server 控制服務當機,或停用外部介面安裝 Hotfix 之後,也會發生這些問題。時不使用外部網路介面卡驅動程式會保存原始的 「 封鎖所有 ICMP"原則,並在發生錯誤。

附註

如果您在快取只模式安裝 ISA 伺服器將不會發生這些問題。

當您必須先移除 Hotfix

在下列情況下,您必須移除 Hotfix:
  • 之前您變更 ISA 操作模式從整合式的模式 (防火牆和快取) 或防火牆模式至快取模式。
  • 變更網路設定的 ISA 之前讓外部網路介面已不存在的伺服器。
  • 之前您可以使用 Rmisa.exe 檔案移除 ISA Server。(這個檔案是 ISA Server CD 上)。

如何移除 Hotfix


如果想回到驅動程式載入順序和流量封鎖行為存在於您安裝這個 Hotfix 之前,請依照下列步驟執行移除 Hotfix:
  1. 按一下 [開始],然後再按一下 [控制台]
  2. 按一下 [新增或移除程式],然後再按一下 [Microsoft ISA Server 更新
  3. 在 [變更] 清單按一下 ISA Hotfix 301
  4. 按一下 [移除,並重新啟動電腦。

如何啟用封包篩選在 ISA Server

若要啟用封包篩選,請依照下列步驟執行:
  1. 開啟 ISA Server Microsoft 管理主控台 (MMC)。
  2. 找出 存取原則,並用滑鼠右鍵按一下 IP 封包篩選器
  3. 按一下 [內容],然後再按一下以選取 [啟用封包篩選] 核取方塊。
  4. 按一下 [確定]

如何瀏覽 ISA Server 服務

若要瀏覽 ISA Server 服務,請依照下列步驟執行:
  1. 開啟 ISA Server MMC。
  2. 瀏覽 監視] 樹狀目錄,然後按一下 [服務]。
  3. 請檢查在右窗格中服務的狀態。

屬性

文章編號: 833009 - 上次校閱: 2007年6月14日 - 版次: 1.11
這篇文章中的資訊適用於:
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
關鍵字:?
kbmt kbautohotfix kbqfe kbhotfixserver kbisaserv2000presp2fix kbfix kbbug KB833009 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:833009
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com