Połączenia sieciowe między klientami i serwerami mogą przestać działać po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 dla systemu Windows Server 2003

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 898060 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

Łączność sieciowa między klientami i serwerami może przestać działać. Ten błąd występuje po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 (SP1) dla systemu Microsoft Windows Server 2003. Może wystąpić jeden lub kilka z następujących symptomów:
  • Brak możliwości połączenia się z serwerami terminali lub dostępu do udziału plików.
  • Niepowodzenie replikacji kontrolera domeny przez łącza WAN.
  • Brak możliwości połączenia się z kontrolerami domeny przez serwery programu Microsoft Exchange.
  • W przypadku żądań kierowanych do serwera z internetowymi usługami informacyjnymi (IIS) firmy Microsoft może upływać limit czasu lub mogą one być bardzo powolne.
Prawdopodobieństwo wystąpienia tych symptomów jest większe w scenariuszach WAN i LAN. Scenariusze te występują zazwyczaj wtedy, gdy w sieci wykorzystywane są routery i protokoły poziomu łącza danych o różnych jednostkach MTU (Maximum Transmission Unit). W tym scenariuszu host wysyłający może otrzymać kilka komunikatów protokołu ICMP (Internet Control Message Protocol) o nieosiągalnym miejscu docelowym, które mają aktualizację jednostki MTU dla miejsca docelowego. Prawdopodobieństwo wystąpienia tych symptomów jest większe, gdy spełnione są następujące warunki:
  • W trakcie procesu PathMTUDiscovery różne routery na drodze do miejsca docelowego wysyłają aktualizacje jednostki MTU do hosta źródłowego. Może to być na przykład spowodowane tym, że host źródłowy i docelowy znajdują się w różnych segmentach sieci WAN. Ponadto segmenty te są połączone tunelem o małej jednostce MTU.
  • Wykorzystywane jest równoważenie obciążenia i/lub routing dynamiczny. W tym scenariuszu istnieją różne możliwe drogi do miejsca docelowego, których jednostka MTU jest inna niż wysyłającej podsieci i które różnią się między sobą. W związku z tym, jeśli z czasem zmienia się droga pakietów IP, mogą zostać wygenerowane różne aktualizacje jednostki MTU dla adresu docelowego.
Uwaga: Mogą istnieć również podobne scenariusze, w których te symptomy będą występować. Scenariusze te można zazwyczaj zdiagnozować, penetrując ruch sieciowy po stronie hosta źródłowego lub na jednym z pośredniczących routerów sieciowych. Jeśli przez pewien czas jest wysyłanych wiele komunikatów protokołu ICMP o nieosiągalnym miejscu docelowym dla tego samego miejsca docelowego, to na hoście źródłowym, na którym jest zainstalowana aktualizacja zabezpieczeń MS05-019 lub dodatek SP1 dla systemu Windows Server 2003, prawdopodobnie występuje ten problem.

Przyczyna

Ten problem występuje dlatego, że kod niepoprawnie zwiększa liczbę dróg do hosta na komputerze w momencie, gdy modyfikuje rozmiar MTU drogi do hosta. Maksymalna liczba dróg do hosta jest kontrolowana przez wartość rejestru w kluczu MaxIcmpHostRoutes. Liczba dróg do hosta wynosi domyślnie 10 000. Z powodu niepoprawnego zwiększania liczba dróg do hosta osiąga po pewnym czasie maksymalną wartość. Osiągnięcie maksymalnej wartości sprawia, że pakiety ICMP są ignorowane.

Uwaga: W pierwotnej wersji tego artykułu niepoprawnie podano domyślną liczbę dróg do hosta jako równą 1000. Zmiana na wartość 10 000 jest korektą i nie wynika ze zmiany w kodzie.

Rozwiązanie

Informacje dotyczące aktualizacji zabezpieczeń

Aby rozwiązać ten problem, należy zainstalować aktualizację zabezpieczeń 913446 (biuletyn zabezpieczeń MS06-007). Aby uzyskać więcej informacji o sposobie uzyskania i zainstalowania aktualizacji zabezpieczeń 913446, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/poland/technet/security/bulletin/MS06-007.mspx
Uwaga Aktualizacja zabezpieczeń 913446 (biuletyn zabezpieczeń MS06-007) zastępuje tę poprawkę (898060). Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
913446 MS06-007: Luka w protokole TCP/IP umożliwia atak ukierunkowany na odmowę usługi
Aktualizacja zabezpieczeń 913446 zastępuje również aktualizację zabezpieczeń 893066 (biuletyn o zabezpieczeniach MS05-019). Aby uzyskać więcej informacji na temat aktualizacji zabezpieczeń 893066, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
893066 MS05-019: Luki w protokole TCP/IP umożliwiają zdalne wykonywanie kodu i odmowę usługi
Uwaga: Aktualizacja zabezpieczeń 893066 została zaktualizowana celem rozwiązania tego problemu w oryginalnym wydaniu systemu Windows Server 2003. Po zainstalowaniu aktualizacji zabezpieczeń 913446 nie trzeba instalować poprawki 898060, ani aktualizacji zabezpieczeń 893066. Aktualizacja zabezpieczeń 893066 nie dotyczy systemu Windows Server 2003 z dodatkiem Service Pack 1.

Informacje dotyczące poprawki

Uwaga Te informacje dotyczące poprawki mają zastosowanie tylko do wersji systemu Windows Server 2003 z dodatkiem Service Pack 1 przeznaczonych dla komputerów z procesorami x86, Itanium oraz x64, a także do wersji systemu Windows XP Professional przeznaczonych dla komputerów z procesorami x64.

Obsługiwana poprawka jest dostępna do pobrania w Centrum pobierania firmy Microsoft.
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami x86)
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=pl
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=pl
Microsoft Windows Server 2003 (wersje dla komputerów z procesorami x64)
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=pl
Microsoft Windows XP (wersje dla komputerów z procesorami x64)
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=pl

Ta poprawka rozwiązuje problem z łącznością sieciową, który opisano w tym artykule z bazy wiedzy Microsoft Knowledge Base: Zaleca się zastosowanie tej poprawki w systemach, w których występuje ten problem. Można także zainstalować tę poprawkę, aby zapobiec występowaniu kolejnych — podobnych do tego problemu — problemów z łącznością.

Zaktualizowana poprawka dla systemu Windows Server 2003 z dodatkiem Service Pack 1 (SP1) zawiera zmianę dotyczącą problemu, który występuje tylko w przypadku korzystania z produktów Internet Security Systems (ISS).

Informacje o plikach

Wersja anglojęzyczna tej poprawki ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Różnicę między czasem UTC i czasem lokalnym można sprawdzić, korzystając z karty Strefa czasowa apletu Data i godzina w Panelu sterowania.
System Microsoft Windows Server 2003 z dodatkiem Service Pack 1 — wersje dla platform z procesorami x86
   Data         Godzina  Wersja        Rozmiar  Nazwa pliku  Platforma  Folder
   --------------------------------------------------------------------------
   26-maj-2005  01:06  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1GDR
   26-maj-2005  01:10  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1QFE
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami Itanium)
   Data         Godzina  Wersja        Rozmiar  Nazwa pliku  Platforma  Folder
   --------------------------------------------------------------------------
   26-maj-2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1GDR
   26-maj-2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1QFE
Microsoft Windows Server 2003 (wersje dla komputerów z procesorami x64)
   Data         Godzina  Wersja        Rozmiar  Nazwa pliku  Platforma  Folder
   --------------------------------------------------------------------------
   26-maj-2005  02:32   5.2.3790.2453  702 976  Tcpip.sys    x64        SP1GDR
   26-maj-2005  02:32   5.2.3790.2453  702 976  Tcpip.sys    x64        SP1QFE
Microsoft Windows XP (wersje dla komputerów z procesorami x64)
   Data         Godzina  Wersja        Rozmiar  Nazwa pliku  Platforma  Folder
   --------------------------------------------------------------------------
   26-maj-2005  02:32   5.2.3790.2453  702 976  Tcpip.sys    x64        SP1GDR
   26-maj-2005  02:32   5.2.3790.2453  702 976  Tcpip.sys    x64        SP1QFE
Uwaga Informacje o plikach są takie same w przypadku wersji systemu Microsoft Windows Server 2003 dla komputerów z procesorami x64 oraz wersji systemu Microsoft Windows XP dla komputerów z procesorami x64.

Obejście problemu

Aby obejść ten problem, ustaw domyślny rozmiar MTU zgodnie z maksymalnym rozmiarem, jaki mogą przetwarzać routery. Rzeczywista wartość MTU wymagana do obejścia tego problemu zależy od konfiguracji sieci. Wartość MTU równa 576 powinna ograniczyć skutki tego problemu, ponieważ routery w Internecie będą w stanie obsługiwać pakiety bez dzielenia ich na fragmenty. Aby ta zmiana w rejestrze została wprowadzona, należy ponownie uruchomić komputer. Aby uzyskać więcej informacji dotyczących zmieniania ustawień rejestru dla jednostki MTU, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
120642 Parametry konfiguracji TCP/IP i NBT dla systemu Windows
314053 Parametry konfiguracji TCP/IP i NBT dla systemu Windows XP
Ważne: W zależności od konfiguracji sieci i stosowanych zazwyczaj aplikacji do obsługi sieci ustawienie niższej domyślnej wartości MTU może spowodować zmniejszenie wydajności sieci.

Więcej informacji

Parametr MTU zastępuje domyślną jednostkę MTU (Maximum Transmission Unit) dla interfejsu sieciowego. Jednostka MTU jest maksymalnym rozmiarem pakietu (podanym w bajtach), którego transport jest przesyłany przez daną sieć. Rozmiar zawiera nagłówek transportu. Datagram IP może obejmować kilka pakietów. Podanie wartości większej niż domyślna dla danej sieci spowoduje wykorzystanie przez transport domyślnej wartości MTU sieci. Podanie wartości mniejszej niż 68 spowoduje wykorzystanie przez transport jednostki MTU równej 68.

Klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\identyfikator_karty
Typ wartości: REG_DWORD — liczba
Zakres prawidłowych wartości: 68 – maksymalna jednostka transmisji (MTU) podstawowej sieci
Wartość domyślna: 0xFFFFFFFF

Uwaga: Symbol zastępczy identyfikator_karty oznacza kartę sieciową, z którą jest powiązany protokół TCP/IP. Aby ustalić relację między identyfikatorem karty i połączeniem sieciowym, należy sprawdzić klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\identyfikator_karty\Connection. Nazwa wartości w tych kluczach to przyjazna nazwa połączenia sieciowego, która jest używana w folderze Połączenia sieciowe. Wartości w tych kluczach są zależne od karty. Parametry, które mają wartość skonfigurowaną przez protokół DHCP i statycznie skonfigurowaną wartość, mogą nie istnieć. Ich istnienie zależy od tego, czy komputer lub karta jest konfigurowana przez protokół DHCP i czy są określone statyczne wartości zastępowania.

Problem przedstawiono na przykładzie poniższych wyników śledzenia sieci.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: Zwróć uwagę na to, że parametr Next Hop MTU jest coraz mniejszy, a router żąda od nadawcy podzielenia na fragmenty pakietu 10. ICMP: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignoruje pakiet ICMP 11 i wysyła ponownie ten sam pakiet 10 bez dzielenia na fragmenty 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25.
Produkty omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
900926 Zalecane ustawienia protokołu TCP/IP dla łączy WAN z rozmiarem jednostki MTU mniejszym niż 576 bajtów

Właściwości

Numer ID artykułu: 898060 - Ostatnia weryfikacja: 12 sierpnia 2008 - Weryfikacja: 15.4
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003 Service Pack 1 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition SP1
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows XP Professional x64 Edition
Słowa kluczowe: 
kbresolve atdownload kbwinserv2003sp2fix kbqfe kbsecurity kbprb KB898060

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com