Verkkoyhteys asiakastietokoneiden ja palvelinten välillä saattaa katketa tietoturvapäivityksen MS05-019 tai Windows Server 2003 Service Pack 1:n asentamisen jälkeen

Artikkelin tunnus: 898060 - Näytä tuotteet, joita tämä artikkeli koskee.
Ilmoitus
Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus
(http://support.microsoft.com/ph/1131/fi)
.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Oire

Verkkoyhteys asiakastietokoneiden ja palvelinten välillä ei välttämättä toimi. Tämä ongelma ilmenee sen jälkeen, kun tietoturvapäivitys MS05-019 tai Microsoft Windows Server 2003 Service Pack 1 (SP1) on asennettu. Vähintään yksi seuraavista ongelmista saattaa ilmetä:
  • Yhteyden muodostaminen päätepalvelimiin tai jaettuihin tiedostoresursseihin ei onnistu.
  • Toimialueen ohjauskoneiden replikointi suuralueverkon linkkien välillä ei onnistu.
  • Microsoft Exchange -palvelimet eivät pysty muodostamaan yhteyttä toimialueiden ohjauskoneisiin.
  • Microsoft Internet Information Services (IIS) -palvelimeen tehdyt pyynnöt saatetaan aikakatkaista tai ne muuttuvat erittäin hitaiksi.
Nämä ongelmat ilmenevät todennäköisesti suuralue- ja lähiverkkoskenaarioissa. Nämä skenaariot esiintyvät yleensä silloin, kun verkossa käytetään reitittimiä ja linkkitason protokollia, joilla on eri paketin enimmäiskoot (MTU). Tässä skenaariossa lähettävä isäntä saattaa saada useita ICMP (Internet Control Message Protocol) Destination Unreachable -sanomia, joilla on kohteen MTU-päivityksiä. Nämä ongelmat ilmenevät todennäköisimmin, kun seuraavat ehdot toteutuvat:
  • Monet lähteen ja kohteen välillä olevat reitittimet lähettävät lähdeisäntään MTU-päivityksiä PathMTUDiscovery-prosessin aikana. Yksi mahdollisista syistä tähän saattaa olla se, että lähde- ja kohdeisännät sijaitsevat suuralueverkon eri segmenteissä. Lisäksi nämä segmentit on yhdistetty tunnelilla, jonka MTU on pieni.
  • Käytössä on verkon kuormituksen tasaus, dynaaminen reititys tai molemmat. Tässä skenaariossa on useita mahdollisia reittejä kohteeseen, jonka MTU on eri kuin lähettävällä aliverkolla ja jotka ovat keskenään erilaisia. Tämän vuoksi IP-pakettien reitin muuttaminen saattaa ajan kuluessa aiheuttaa useita kohdeosoitteen MTU-päivityksiä.
Huomautus Nämä ongelmat voivat ilmetä myös muissa samankaltaisissa skenaarioissa. Näiden skenaarioiden vianmääritys voidaan yleensä tehdä tutkimalla verkkotietoliikennettä joko lähdeisännässä tai jossakin lähteen ja kohteen välillä olevassa verkkoreitittimessä. Jos kohteelle lähetetään useita ICMP Destination Unreachable -sanomia, lähdeisäntä, jossa on asennettuna tietoturvapäivitys MS05-019 tai Windows Server 2003 SP1, sisältää todennäköisesti tämän ongelman.
Palaa alkuun | Anna palautetta

Syy

Tämä ongelma ilmenee, koska koodi lisää tietokoneen isäntäreittien määrää virheellisesti muokatessaan isäntäreitin MTU-kokoa. Isäntäreittien enimmäismäärää ohjaa MaxIcmpHostRoutes-rekisteriarvo. Isäntäreittien oletusarvon mukainen määrä on 10 000. Koska määrää lisätään virheellisesti, isäntäreittien määrä saavuttaa lopulta enimmäismäärän. Kun enimmäismäärä saavutetaan, ICMP-paketit ohitetaan.

Huomautus Tämän artikkelin alkuperäisessä versiossa isäntäreittien oletusarvon mukaiseksi määrän kerrottiin virheellisesti 1 000. Määrän muuttaminen 10 000:ksi tässä on korjaus annettuihin tietoihin, ei koodin muutos.
Palaa alkuun | Anna palautetta

Ratkaisu

Tietoturvapäivityksen tiedot

Voit ratkaista tämän ongelman asentamalla tietoturvapäivityksen 913446 (tietoturvatiedote MS06-007). Lisätietoja tietoturvapäivityksen 913446 hankkimisesta ja asentamisesta on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/technet/security/bulletin/MS06-007.mspx
(http://www.microsoft.com/technet/security/bulletin/MS06-007.mspx)
Huomautus Tietoturvapäivitys 913446 (tietoturvatiedote MS06-007) ohittaa tämän korjauksen (898060). Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
913446
(http://support.microsoft.com/kb/913446/ )
MS06-007: TCP/IP-heikkous saattaa mahdollistaa palvelunestohyökkäyksen
Myös tietoturvapäivitys 913446 ohittaa tietoturvapäivityksen 893066 (tietoturvatiedote MS05-019). Saat lisätietoja tietoturvapäivityksestä 893066 napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
893066
(http://support.microsoft.com/kb/893066/ )
MS05-019: TCP/IP-heikkoudet saattavat sallia koodin etäsuorittamisen ja palvelunestohyökkäyksen
Huomautus Tietoturvapäivitys 893066 on päivitetty korjaamaan tämä ongelma Windows Server 2003:n alkuperäisessä julkaisuversiossa. Jos asennat tietoturvapäivityksen 913446, sinun ei tarvitse asentaa korjaustiedostoa 898060 tai tietoturvapäivitystä 893066. Tietoturvapäivitys 893066 ei koske Windows Server 2003 Service Pack 1:tä.

Hotfix-korjauksen tiedot

Huomautus Nämä hotfix-korjauksen tiedot koskevat vain Windows Server 2003 Service Pack 1:n x86-, Itanium- ja x64-versioita sekä Windows XP Professionalin x64-versioita.

Tuettu hotfix-korjaus on nyt saatavana Microsoft Download Centeristä.
Microsoft Windows Server 2003 Service Pack 1, x86-versiot
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=en)
Microsoft Windows Server 2003 Service Pack 1, Itanium-versiot
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en)
Microsoft Windows Server 2003, x64-versiot
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en)
Microsoft Windows XP, x64-versiot
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en)


Tämä korjaustiedosto korjaa verkkoyhteyksiin liittyvän ongelman, joka on kuvattu tässä Microsoft Knowledge Base -tietokannan artikkelissa. Microsoft suosittelee, että asennat korjaustiedoston järjestelmiin, joissa tämä tietty ongelma ilmenee. Tämä korjaustiedosto kannattaa asentaa myös, jotta tämänkaltaisia verkkoyhteysongelmia voidaan estää jatkossa.

Windows Server 2003 Service Pack 1:n (SP1) päivitetty korjaustiedosto sisältää muutoksen, joka korjaa vain Internet Security Systems (ISS) -tuotteita käytettäessä ilmenevän ongelman.

Tiedostojen tiedot

Tämän korjaustiedoston englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
Microsoft Windows Server 2003 Service Pack 1, x86-versiot
   Päiväys   Aika       Versio      Koko     Tiedostonimi    Ympäristö  Kansio
   --------------------------------------------------------------------------
   26.5.2005  01:06  5.2.3790.2453   333,312     Tcpip.sys  x86       SP1GDR
   26.5.2005  01:10  5.2.3790.2453   333,312     Tcpip.sys  x86       SP1QFE
Microsoft Windows Server 2003 Service Pack 1, Itanium-versiot
   Päiväys   Aika       Versio      Koko     Tiedostonimi    Ympäristö  Kansio
   --------------------------------------------------------------------------
   26.5.2005  02:17  5.2.3790.2453   1,116,160  Tcpip.sys  IA-64     SP1GDR
   26.5.2005  02:17  5.2.3790.2453   1,116,160  Tcpip.sys  IA-64     SP1QFE
Microsoft Windows Server 2003, x64-versiot
   Päiväys   Aika       Versio      Koko     Tiedostonimi    Ympäristö  Kansio
   --------------------------------------------------------------------------
   26.5.2005  02:32  5.2.3790.2453   702,976     Tcpip.sys  x64       SP1GDR
   26.5.2005  02:32  5.2.3790.2453   702,976     Tcpip.sys  x64       SP1QFE
Microsoft Windows XP, x64-versiot
   Päiväys   Aika       Versio      Koko     Tiedostonimi    Ympäristö  Kansio
   --------------------------------------------------------------------------
   26.5.2005  02:32  5.2.3790.2453   702,976     Tcpip.sys  x64       SP1GDR
   26.5.2005  02:32  5.2.3790.2453   702,976     Tcpip.sys  x64       SP1QFE
Huomautus Microsoft Windows Server 2003:n x64-versioiden ja Microsoft Windows XP:n x64-versioiden tiedostojen tiedot ovat samat.
Palaa alkuun | Anna palautetta

Workaround

Voit kiertää tämän ongelman määrittämällä oletusarvon mukaisen MTU-koon suurimmaksi kooksi, jonka reitittimet voivat käsitellä. Tämän ongelman kiertämisen vaatima todellinen MTU-arvo määrittyy verkon kokoonpanon mukaan. MTU-arvon 576 pitäisi kuitenkin auttaa ongelman vaikutuksen vähentämisessä, koska Internet-reititinten pitäisi pystyä käsittelemään tällaiset paketit ilman pilkkomista. Sinun on käynnistettävä tietokone uudelleen, jotta tämä rekisterin muutos tulee voimaan. Saat lisätietoja MTU-rekisteriasetusten muuttamisesta napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
120642
(http://support.microsoft.com/kb/120642/ )
Windows 2000:n ja Windows NT:n TCP/IP- ja NBT-määritysparametrit (tämä artikkeli saattaa olla englanninkielinen)
314053
(http://support.microsoft.com/kb/314053/ )
Windows XP:n TCP/IP- ja NBT-määritysparametrit
Tärkeää Verkon kokoonpanosta ja tavallisista käytettävistä verkkosovelluksista riippuen pienen MTU-oletusarvon määrittäminen saattaa heikentää verkon suorituskykyä.
Palaa alkuun | Anna palautetta

Enemmän tietoa

MTU-parametri ohittaa verkkoliittymän oletusarvon mukaisen MTU:n (paketin enimmäiskoon). MTU on verkossa lähetettävän paketin enimmäiskoko tavuina. Tämä koko sisältää lähetysotsikon. IP-datagrammi voi koostua useasta paketista. Jos arvo on verkon oletusarvoa suurempi, lähetys käyttää verkon oletusarvon mukaista MTU:ta. Jos MTU-arvo on pienempi kuin 68, lähetys käyttää arvoa 68.

Avain: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\sovittimen tunnus
Arvon tyyppi: REG_DWORD - Numero
Kelvollinen alue: 68 - verkon suurimman siirtoyksikön koko
Oletus: 0xFFFFFFFF

HuomautusSovittimen tunnus on se verkkosovitin, johon TCP/IP on sidottu.Voit selvittää sovittimen tunnuksen ja verkkoyhteyden suhteen tarkastelemalla rekisteriavainta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\sovittimen tunnus\Connection. Näiden avainten Nimi-arvo antaa verkkoyhteydelle kutsumanimen, jota käytetään Verkkoyhteydet-kansiossa. Näiden avainten arvot ovat sovitinkohtaiset. Järjestelmässä ei välttämättä ole parametreja, joissa on DHCP:n määrittämä arvo ja staattisesti määritetty arvo. Niiden olemassaolo riippuu siitä, onko tietokone tai sovitin DHCP:n määrittämä ja onko määritetty staattisia ohitusarvoja.

Seuraavat verkon jäljitystiedot kuvaavat ongelman.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (Katso kehys 009) Kehys 011: Huomaa, että Next Hop MTU on pienempi ja että reititin pyytää lähettäjää pilkkomaan paketin 10.ICMP: Destination Unreachable: 10.102.45.12  (Katso kehys 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ohittaa ICMP-paketin 11 ja lähettää saman paketin 10 ilman pilkkomista 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (Katso kehys 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (Katso kehys 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (Katso kehys 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Kehykset 14, 16 ja 18 ovat uudelleenlähetyksiä, ja yhteys johtaa katkaisemiseen kehyksessä 25.
Palaa alkuun | Anna palautetta
Tässä artikkelissa käsitellyt kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Microsoft ei anna näiden tuotteiden suorituskykyä tai luotettavuutta koskevaa takuuta.
Palaa alkuun | Anna palautetta

Suositukset

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
900926
(http://support.microsoft.com/kb/900926/ )
Suositellut TCP/IP-asetukset suuralueverkon linkeille, joiden siirtoyksikön enimmäiskoko (MTU) on pienempi kuin 576
Palaa alkuun | Anna palautetta

Ominaisuudet

Artikkelin tunnus: 898060 - Viimeisin tarkistus: 9. lokakuuta 2011 - Versio: 16.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows Server 2003 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional x64 Edition
Hakusanat: 
kbresolve atdownload kbwinserv2003sp2fix kbqfe kbsecurity kbprb KB898060
Palaa alkuun | Anna palautetta

Anna palautetta

 
Palaa alkuunPalaa alkuun