Turvavärskenduse MS05-019 või Windows Server 2003 hoolduspaketi Service Pack 1 installimine võib põhjustada klientide ja serverite vahelise võrguühenduse nurjumise

Artiklite tõlked Artiklite tõlked
Artikli ID: 898060 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

SÜMPTOMID

Klientide ja serverite vaheline võrguühendus võib nurjuda. See tõrge ilmneb pärast turvavärskenduse MS05-019 või Microsoft Windows Server 2003 hoolduspaketi Service Pack 1 (SP1) installimist. Ilmneda võib üks või mitu järgmist tunnust.
  • Ühenduse loomine terminaliserveritega või ühisfailidele juurdepääsu loomine nurjub.
  • WAN-linkide domeenikontrollerite kopeerimine nurjub.
  • Microsoft Exchange'i serverid ei saa ühendust domeenikontrolleritega.
  • IIS-teenusega (Microsoft Internet Information Services) töötavasse serverisse tehtavad päringud aeguvad või muutuvad väga aeglaseks.
Need tunnused ilmnevad tõenäolisemalt WAN- ja LAN-võrkudega seostuvate juhtumite puhul. Sellised juhtumid esinevad tavaliselt seal, kus võrgus kasutatakse erinevate MTU-dega (Maximum Transmission Units) marsruutereid ja lüliprotokolle. Selliste juhtumite puhul saab saatev host vastu võtta protokolli ICMP (Internet Control Message Protocol) sihtkohta mittejõudvaid teateid, mille sihtüksuseks on MTU-värskendused. Need tunnused ilmnevad kõige tõenäolisemalt juhul, kui täidetud on järgmised tingimused.
  1. Protsessi PathMTUDiscovery jooksul saadavad erinevad sihtkoha marsruudil olevad marsruuterid lähtehostile MTU-värskendusi. Selle üks võimalikke põhjusi võib olla, et lähte- ja sihthostid asuvad erinevates WAN-segmentides. Need segmendid on tunneli kaudu ühendatud väikese MTU-ga.
  2. Kasutatakse võrgukoormuse tasakaalustamist (Network load balancing), dünaamilist marsruutimist või mõlemat. Selliste juhtumite puhul on üksteisest ja saatva alamvõrgu MTU-st erinevate MTU-dega sihtkohta mitu võimalikku marsruuti. Seetõttu võib IP-pakettide marsruudi muutmine luua aja jooksul sihtaadressi jaoks mitmesuguseid MTU-värskendusi.
Märkus. Võib esineda ka muid samade tunnustega sarnaseid juhtumeid. Neid juhtumeid saab tavaliselt diagnoosida lähtehostipoolse või vahevõrguruuterit läbiva võrguliikluse uurimise teel. Kirjeldatud probleem võib tõenäoliselt ilmneda lähtehosti puhul, kuhu on installitud turvavärskendus MS05-019 või Windows Server 2003 SP1, kui mõnda sihtkohta saadetakse aja jooksul mitu ICMP sihtkohta mittejõudvat teadet.

PÕHJUS

See probleem ilmneb seetõttu, et kood inkremendib mõne hostmarsruudi MTU-mahu muutmisel valesti arvuti hostmarsruutide arvu. Hostmarsruutide suurimat lubatud arvu reguleerib atribuudi MaxIcmpHostRoutes registriväärtus. Hostmarsruutide vaikearv on 10 000. Vale inkrementimise tõttu tõuseb hostmarsruutide arv lõpuks suurima lubatud väärtuseni. After the maximum value is reached, the ICMP packets are ignored.

Märkus. Käesoleva artikli algversioonis nimetati hostmarsruutide vaikearvuks ekslikult 1000. Selle arvu muutmine arvuks 10 000 on lihtsalt parandus, mitte koodimuutus.

ERALDUSVÕIME

Turvavärskenduse teave

Märkus. Turvavärskendus 913446 (turvabülletään MS06-007) alistab selle värskenduse (898060).
Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
913446 TCP/IP haavatavus võib lubada teenuse keelamise (selle artikli sisu võib olla ingliskeelne)

Turvavärskendus 913446 alistab ka turvavärskenduse 893066 (turvabülletääni MS05-019). Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
893066 MS05-019: TCP/IP haavatavused võivad lubada kaugkoodi käivitamise ja teenuse keelamise (selle artikli sisu võib olla ingliskeelne)

Kliendid, kes kasutavad turvavärskendust 913446, ei pea kasutama turvavärskendust 898060 ega 893066. Selle probleemi parandamiseks on värskendatud turvavärskendust 893066. Lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://www.microsoft.com/technet/security/bulletin/ms05-019.mspx
Märkus. See turvavärskendus pole kohaldatav Windows Server 2003 hoolduspaketile Service Pack 1.

Käigultparanduse teave

Märkus. See käigultparanduse teave on kohaldatav ainult Windows Server 2003 hoolduspaketi Service Pack 1 x86-, Itaniumi- ja x65-põhistele versioonidele, ning Windows XP Professionali x64-põhistele versioonidele.

Microsofti allalaadimiskeskuses on allalaadimiseks saadaval toetatav käigultparandus.
Microsoft Windows Server 2003, x86-põhistele hoolduspaketiga Service Pack 1 versioonidele
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Microsoft Windows Server 2003, Itaniumi-põhistele hoolduspaketiga Service Pack 1 versioonidele
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en
Microsoft Windows Server 2003, x64-põhistele versioonidele
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en
Microsoft Windows XP, x64-põhistele versioonidele
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en

See käigultparandus parandab käesolevas Microsofti teabebaasi (Knowledge Base) artiklis kirjeldatava võrguühenduvuse probleemi. Soovitame kohaldada seda käigultparandust süsteemides, kus ilmneb see konkreetne probleem. Võite selle käigultparanduse installida, kui soovite tulevikus sarnaseid ühenduvusprobleeme ennetada.

Windows Server 2003 hoolduspaketi Service Pack 1 (SP1) värskendatud käigultparandus sisaldab muutust, mis lahendab ainult ISS-i (Internet Security Systems) toodete kasutamisel ilmneva probleemi.

Failiteave

Selle käigultparanduse ingliskeelne versioon sisaldab järgmises tabelis loetletud failiatribuute (või uuemaid). Nende failide kuupäevad ja kellaajad on esitatud UTC-aja järgi. Failiteabe kuvamisel teisendatakse need kohalikuks ajaks. UTC ja kohaliku aja erinevuste väljaselgitamiseks klõpsake juhtpaneeli tööriista Date and Time (Kuupäev ja kellaaeg) vahekaarti Time Zone (Ajavöönd).
Microsoft Windows Server 2003, x86-põhised hoolduspaketiga Service Pack 1 versioonid
   Kuupäev Kellaaeg Versioon      Maht        Faili nimi   Platvorm  Kaust
   --------------------------------------------------------------------------
   26. mai 2005  01:06  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1GDR
   26. mai 2005  01:10  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1QFE
Microsoft Windows Server 2003, Itaniumi-põhised hoolduspaketiga Service Pack 1 versioonid
   Kuupäev Kellaaeg Versioon      Maht       Faili nimi   Platvorm  Kaust
   --------------------------------------------------------------------------
   26. mai 2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1GDR
   26. mai 2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1QFE
Microsoft Windows Server 2003, x64-põhised versioonid
   Kuupäev Kellaaeg Versioon      Maht        Faili nimi   Platvorm  Kaust
   --------------------------------------------------------------------------
   26. mai 2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1GDR
   26. mai 2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1QFE
Microsoft Windows XP, x64-põhised versioonid
   Kuupäev Kellaaeg Versioon      Maht        Faili nimi   Platvorm  Kaust
   --------------------------------------------------------------------------
   26. mai 2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1GDR
   26. mai 2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1QFE

Märkus. Microsoft Windows Server 2003 x64-põhiste versioonide ja Microsoft Windows XP x64-põhiste versioonide failiteave on sama.

VASTUKAAL

Selle probleemi mõju leevendamiseks seadke MTU vaikemahuks suurim maht, mida marsruuterid saavad töödelda. Selle probleemi mõju leevendamiseks vajalik tegelik MTU-väärtus oleneb võrgu konfiguratsioonist. MTU-väärtus 576 peaks siiski aitama probleemi mõju vähendada, kuna Interneti marsruuterid peaksid suutma selliseid pakette killustamata käsitseda. Selle registrimuutuse jõustumiseks peate arvuti taaskäivitama. MTU registrisätete muutmise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:
120642 Windows 2000 või Windows NT TCP/IP ja NBT konfiguratsiooniparameetrid (selle artikli sisu võib olla ingliskeelne)
314053 Windows XP TCP/IP ja NBT konfiguratsiooniparameetrid (selle artikli sisu võib olla ingliskeelne)
NB! Olenevalt võrgu konfiguratsioonist ja tavaliselt kasutatavatest võrgurakendustest võib madala MTU vaikeväärtuse seadmine põhjustada võrgujõudluse vähenemise.

LISATEAVE

MTU parameeter alistab võrguliidese vaike-MTU. MTU on suurim paketimaht baitides, mida on võimalik vastava võrgu kaudu edastada. Maht hõlmab ka transpordipäist. IP-andmediagramm võib ühendada mitu paketti. Vastava võrgu vaikeväärtusest suuremate väärtuste korral kasutatakse transportimisel võrgu vaike-MTU-d. Väärtusest 68 väiksemate väärtuste korral kasutatakse transportimisel MTU-d 68.

Võti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\adapteri ID
Väärtuse tüüp: REG_DWORD Number
Kehtiv vahemik: 68 (vastava võrgu MTU)
Vaikeväärtus: 0xFFFFFFFF

Märkus. Adapteri ID on võrguadapter, millega TCP/IP on seotud. Adapteri ID ja võrguühenduse vahelise seose määratlemiseks kuvage HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\adapteri ID\Connection. Nende võtmete Name-väärtus on kaustas Network Connections (Võrguühendused) võrguühendust tähistav nimi. Nende võtmete väärtused on iga adapteri puhul erinevad. Parameetrid, millel on DHCP-konfigureeritud väärtus ja staatiliselt konfigureeritud väärtus, võivad olemas olla, kuid ei pruugi. Nende olemasolu sõltub sellest, kas arvuti või adapter on DHCP-konfigureeritud ning kas staatilise alistamise väärtused on määratud.

Seda probleemi illustreerib järgmine võrgujälitus.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: (Pange tähele, et järgmise hüppe (Next Hop) MTU on väiksem ja marsruuter nõuab saatjalt paketi 10.ICMP killustamist): Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: (1083 TRMSRV ignoreerib ICMP-paketti 11 ja saadab sama paketi 10 uuesti ilma killustuseta) 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 (Paneelid 14, 16, 18 on korduvad saadetised ja ühendus viib paneeli 25 puhul lõpetamiseni.)
Käesolevas artiklis käsitletavaid teiste tootjate programme toodavad ettevõtted, mis pole Microsoftiga seotud. Microsoft ei anna nende toodete jõudlusele ega töökindlusele mingit kaudset ega muud garantiid.

Atribuudid

Artikli ID: 898060 - Viimati läbi vaadatud: 24. august 2007 - Redaktsioon: 13.4
KEHTIB JÄRGMISE LÕIGU KOHTA:
  • Microsoft Windows Server 2003 Service Pack 1, kasutamisel koos:
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 hoolduspakett SP 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 hoolduspakett SP 3
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 hoolduspakett SP 3
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows XP Professional x64 Edition
Märksõnad: 
atdownload kbqfe kbhotfixserver kbsecurity kbprb KB898060

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com