Aanmelden

Select the product you need help with

Netwerkverbinding tussen clients en servers kan niet tot stand worden gebracht na installatie van beveiligingsupdate MS05-019 of Windows Server 2003 Service Pack 1

Artikel ID: 898060 - Bekijk de producten waarop dit artikel van toepassing is.

Netwerkverbinding tussen clients en servers komt niet tot stand. Deze fout treedt op na de installatie van de beveiligingsupdate MS05-019 of van Microsoft Windows Server 2003 Service Pack 1 (SP1). De volgende symptomen kunnen optreden:

Verbinding met terminalservers of toegang tot bestandsshares is niet mogelijk.
Replicatie van domeincontroller via WAN-verbindingen mislukt.
Microsoft Exchange-servers kunnen geen verbinding maken met domeincontrollers.
Er treedt een time-out op voor verzoeken aan een server met Microsoft Internet Information Services (IIS), of de server wordt erg traag.

Deze symptomen treden eerder op in WAN- en LAN-scenario's. Deze scenario's zijn doorgaans aan de orde wanneer routers en protocollen voor gegevenskoppeling met verschillende MTU's (Maximum Transmission Units) in het netwerk worden gebruikt. In dit scenario kan de verzendende host verschillende voor ICMP-bestemming (Internet Control Message Protocol) niet bereikbare berichten ontvangen die MTU-updates als bestemming hebben. Deze symptomen treden meestal op in de volgende gevallen:

Tijdens het PathMTUDiscovery-proces worden door verschillende routers op de route naar de bestemming MTU-updates naar de bronhost verzonden. Een oorzaak kan zijn dat de bronhost en de bestemmingshost zich in verschillende WAN-segmenten bevinden, waarbij deze segmenten bovendien via een tunnel worden verbonden met een kleine MTU.
Network Load Balancing, dynamic routing, of beide wordt gebruikt. In dit scenario zijn er verschillende mogelijke routes naar een bestemming met MTU's die verschillen van de MTU van het verzendende subnet en die verschillen van elkaar. Het wijzigen van de route van IP-pakketten in de loop van de tijd kan daarom verschillende MTU-updates voor het bestemmingsadres produceren.

Opmerking Er kunnen nog andere scenario's zijn waarin deze symptomen optreden. Deze scenario's kunnen doorgaans worden gediagnosticeerd door het netwerkverkeer aan de zijde van de bronhost of aan de zijde van een van de tussenliggende netwerkrouters te bekijken. Als er in de loop van de tijd meerdere voor een ICMP-bestemming onbereikbare berichten voor een bepaalde bestemming worden verzonden, treedt dit probleem waarschijnlijk op bij de bronhost waarop beveiligingsupdate MS05-019 of Windows Server 2003 SP1 is ge�nstalleerd.

Naar boven | Geef ons feedback

Oorzaak

Dit probleem treedt op omdat de code het aantal hostroutes op de computer niet juist verhoogt wanneer de code de MTU-grootte van een hostroute wijzigt. Het maximum aantal hostroutes wordt bepaald door de registerwaarde in MaxIcmpHostRoutes. Het standaardaantal hostroutes is 10.000. Door de onjuiste verhoging bereikt het aantal hostroutes op den duur de maximumwaarde. Als de maximumwaarde is bereikt, worden de ICMP-pakketten genegeerd.

Opmerking In de oorspronkelijke versie van dit artikel werd ten onrechte vermeld dat het standaard aantal hostroutes 1000 is. De wijziging in 10.000 is een verbetering in het artikel, maar heeft geen codewijziging tot gevolg.

Naar boven | Geef ons feedback

Oplossing

Beveiligingsupdate-informatie

U kunt dit probleem verhelpen door het installeren van beveiligingsupdate 913446 (beveiligingsbulletin MS06-007) Voor meer informatie over het verkrijgen en installeren van beveiligingsupdate 913446 gaat u naar de volgende Microsoft-website:

http://www.microsoft.com/netherlands/technet/security/bulletin/MS06-007.mspx

(http://www.microsoft.com/netherlands/technet/security/bulletin/MS06-007.mspx)

Opmerking Beveiligingsupdate 913446 (beveiligingsbulletin MS06-007) vervangt deze hotfix (898060). Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

913446

(http://support.microsoft.com/kb/913446/ )

MS06-007: Beveiligingsprobleem in TCP/IP kan denial-of-service tot gevolg hebben

Beveiligingsupdate 913446 vervangt ook beveiligingsupdate 893066 (beveiligingsbulletin MS05-019). Voor meer informatie over beveiligingsupdate 893066 klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

893066

(http://support.microsoft.com/kb/893066/ )

MS05-019: Beveiligingsproblemen in TCP/IP kunnen de uitvoering van externe code en denial-of-service tot gevolg hebben

Opmerking Beveiligingsupdate 893066 is bijgewerkt zodat dit probleem wordt verholpen voor de oorspronkelijke versie van Windows Server 2003. Als u beveiligingsupdate 913446 implementeert, hoeft u hotfix 898060 of beveiligingsupdate 893066 niet te implementeren. Beveiligingsupdate 893066 is niet van toepassing op Windows Server 2003 met Service Pack 1.

Informatie over hotfixes

Opmerking Deze informatie over hotfixes is uitsluitend van toepassing op x86-versies, Itanium-versies en x64-versies van Windows Server 2003 met Service Pack 1 en x64-versies van Windows XP Professional.

U kunt nu een ondersteunde hotfix downloaden vanuit het Microsoft Downloadcentrum.

Microsoft Windows Server 2003, x86-versies met Service Pack 1

http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=a0245532-0ace-4b85-85bf-758e936173df

(http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=a0245532-0ace-4b85-85bf-758e936173df)

Microsoft Windows Server 2003, Itanium-versies met Service Pack 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en)

Microsoft Windows Server 2003, x64-versies

http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en)

Microsoft Windows XP, x64-versies

http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en)

De hotfix bevat een correctie voor het netwerkverbindingsprobleem dat wordt beschreven in dit Microsoft Knowledge Base-artikel. We adviseren u de hotfix toe te passen op systemen waarop dit specifieke probleem optreedt. Het is tevens raadzaam om deze hotfix te installeren ter voorkoming van netwerkverbindingsproblemen zoals het hier beschreven netwerkverbindingsprobleem.

De bijgewerkte hotfix voor Windows Server 2003 Service Pack 1 (SP1) bevat een wijziging waarmee een probleem wordt opgelost dat uitsluitend bij het uitvoeren van ISS-producten (Internet Security Systems) optreedt.

Informatie over bestanden

De Engelse versie van deze hotfix heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere bestandskenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.

Microsoft Windows Server 2003, x86-versies met Service Pack 1

   Datum        Tijd   Versie          Grootte     Bestandsnaam Platform  Map
   --------------------------------------------------------------------------
   26 mei 2005  01:06  5.2.3790.2453   333.312     Tcpip.sys    x86       SP1GDR
   26 mei 2005  01.10  5.2.3790.2453   333.312     Tcpip.sys  x86       SP1QFE

Microsoft Windows Server 2003, Itanium-versies met Service Pack 1

   Datum        Tijd   Versie          Grootte    Bestandsnaam Platform  Map
   --------------------------------------------------------------------------
   26 mei 2005  02:17  5.2.3790.2453   1.116.160  Tcpip.sys    IA-64     SP1GDR
   26 mei-2005  02.17  5.2.3790.2453   1.116.160  Tcpip.sys  IA-64     SP1QFE

Microsoft Windows Server 2003, x64-versies

   Datum        Tijd   Versie          Grootte    Bestandsnaam Platform  Map
   --------------------------------------------------------------------------
   26 mei 2005  02.32:00  5.2.3790.2453   702.976     Tcpip.sys    x64       SP1GDR
   26 mei 2005  02.32  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1QFE

Microsoft Windows XP, x64-versies

   Datum        Tijd   Versie          Grootte    Bestandsnaam Platform  Map
   --------------------------------------------------------------------------
   26 mei 2005  02.32:00  5.2.3790.2453   702.976     Tcpip.sys    x64       SP1GDR
   26 mei 2005  02.32  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1QFE

Opmerking De bestandsinformatie is hetzelfde voor x64-versies van Microsoft Windows Server 2003 en voor x64-versies van Microsoft Windows XP.

Naar boven | Geef ons feedback

Workaround

U kunt dit probleem omzeilen door de MTU-standaardgrootte in te stellen op de hoogste waarde die routers kunnen verwerken. Welke MTU-waarde daadwerkelijk vereist is om dit probleem te omzeilen, is afhankelijk van de netwerkconfiguratie. De MTU-waarde 576 zou echter het effect van het probleem moeten verminderen, omdat routers op internet dergelijke pakketten zonder fragmentering moeten kunnen hanteren. U moet de computer opnieuw opstarten om deze registerwijziging door te voeren. Voor meer informatie over het wijzigen van MTU-registerinstellingen klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

120642

(http://support.microsoft.com/kb/120642/ )

TCP/IP- en NetBT-configuratieparameters voor Windows 2000 of Windows NT

314053

(http://support.microsoft.com/kb/314053/ )

TCP/IP- en NBT-configuratieparameters voor Windows XP (Het Engels)

Belangrijk Afhankelijk van de netwerkconfiguratie en de netwerktoepassingen die doorgaans worden gebruikt, kan het instellen van een lage MTU-standaardwaarde de netwerkprestaties verminderen.

Naar boven | Geef ons feedback

Meer informatie

De MTU-parameter heeft prioriteit boven de MTU-standaardwaarde (Maximum Transmission Unit) voor een netwerkinterface. De MTU is de maximumpakketgrootte in bytes die wordt overgebracht via het onderliggende netwerk. In de grootte is de transportheader opgenomen. Een IP-datagram kan meerdere pakketten omvatten. Wanneer waarden worden gebruikt die groter zijn dan de standaardwaarde voor het onderliggende netwerk, wordt bij het transport de MTU-standaardwaarde van het netwerk gebruikt. Bij waarden die kleiner zijn dan 68, wordt bij het transport een MTU van 68 gebruikt.

Sleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID voor adapter
Waardetype: REG_DWORD (getal)
Waardebereik: 68 tot de MTU van het onderliggende netwerk
Standaardinstelling: 0xFFFFFFFF

Opmerking ID voor Adapter is de netwerkadapter waaraan TCP/IP is gebonden. Raadpleeg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ID voor adapter\Connection om de relatie vast te stellen tussen een adapter-id en een netwerkverbinding. De waarde Name in deze sleutels bevat de beschrijvende naam voor een netwerkverbinding die wordt gebruikt in de map Netwerkverbindingen. Waarden onder deze sleutels zijn specifiek voor elke adapter. Parameters met een door DHCP geconfigureerde waarde en een statisch geconfigureerde waarde, kunnen al dan niet aanwezig zijn. De aanwezigheid van deze waarden is afhankelijk van het feit of de computer of adapter door DHCP is geconfigureerd en of statische waarden zijn opgegeven die de DHCP-waarden overschrijven.

De volgende netwerktracering illustreert het probleem.

001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: Notice the Next Hop MTU being smaller,and router requesting the sender to fragment the packet 10.ICMP: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignores the ICMP packet 11, and resends the same packet 10 without fragmentation 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25.

Naar boven | Geef ons feedback

De niet-Microsoft-producten die in dit artikel worden vermeld, worden vervaardigd door fabrikanten die geheel onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Naar boven | Geef ons feedback