Klienter och servrar kan tappa kontakten efter installation av säkerhetsuppdateringen MS05-019 eller Windows Server 2003 Service Pack 1

Artikelöversättning Artikelöversättning
Artikel-id: 898060 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Symptom

Nätverksanslutningen mellan klienter och servrar kan upphöra att fungera. Felet uppträder efter att antingen säkerhetsuppdateringen MS05-019 eller Microsoft Windows Server 2003 Service Pack 1 (SP1) installeras. Ett eller flera av följande tecken på problemet kan uppträda:
  • Det går inte att ansluta till terminalservrar eller filresurser.
  • Domänkontrollanter kan inte replikeras via WAN-länkar (globala nätverk).
  • Microsoft Exchange-servrar kan inte ansluta till domänkontrollanter.
  • Begäranden som skickas till en server med Microsoft Internet Information Services (IIS) kan göra timeout eller behandlas mycket långsamt.
Det är mer sannolikt att problemen uppstår i lokala och globala nätverk. Bekymren uppstår vanligen när routrarna och protokoll på datalänknivå har olika MTU-värden (Maximum Transmission Unit) i olika delar av nätverket. I sådana fall kan datorn som skickar information få ta emot flera ICMP-meddelanden (Internet Control Message Protocol) om att målet inte går att nå. Meddelandena innehåller MTU-uppdateringar om målet. Sannolikheten för att symtomen uppträder är störst om följande villkor är uppfyllda:
  • Flera routrar på vägen till målet skickar MTU-uppdateringar till källdatorn under processen PathMTUDiscovery. En tänkbar anledning kan vara att käll- och måldatorerna befinner sig i olika segment i det globala nätverket. Dessa segmenten är dessutom sammankopplade via en tunnel med ett litet MTU-värde.
  • Nätverksbelastningen utjämnas och/eller dynamisk routning används. I det här fallet finns det flera vägar att nå måldatorn, och MTU-värdena skiljer sig från källdelnätets MTU och från varandra. Därför kan ett flertal MTU-uppdateringar framkallas om vägen som IP-paketen tar till målet ändras med tiden.
Obs! Det kan finnas andra, liknande scenarier där de här symtomen uppträder. Problem av den här typen brukar gå att upptäcka genom att avlyssna nätverkstrafiken antingen på källdatorn eller på någon av de mellanliggande routrarna. Om ett flertal ICMP-meddelanden om att en måldator inte går att nå mottas under en tid, är det förmodligen på datorn där säkerhetsuppdateringen MS05-019 eller Windows Server 2003 SP1 har installerats som problemet har uppstått.

Orsak

Det här problemet uppstår på grund av att koden felaktigt ökar antalet värdvägar på datorn, när den ändrar MTU-storleken för en värdväg. Det maximala antalet vägar till en värd styrs av registervärdet MaxIcmpHostRoutes. Standardantalet värdvägar är 10 000. Eftersom värdet ökas av misstag, blir antalet vägar till värden slutligen lika med det maximala värdet. ICMP-paket ignoreras när maxvärdet har uppnåtts.

Obs! I ursprungsversionen av denna artikel angavs standardantalet värdvägar felaktigt till 1 000. Ändringen till 10 000 är alltså en korrigering och inte en kodändring.

Lösning

Information om säkerhetsuppdateringen

Lös problemet genom att installera säkerhetsuppdatering 913446 (säkerhetsbulletinen MS06-007). Mer information om hur du hämtar och installerar säkerhetsuppdatering 913446 finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS06-007.mspx
Obs! Säkerhetsuppdatering 913446 (säkerhetsbulletinen MS06-007) ersätter den här snabbkorrigeringen (898060). Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
913446 MS06-007: Säkerhetsproblem i TCP/IP möjliggör DoS-attack
Säkerhetsuppdatering 913446 ersätter även säkerhetsuppdatering 893066 (säkerhetsbulletin MS05-019). Om du vill veta mer om säkerhetsuppdatering 893066 klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
893066 MS05-019: Säkerhetsproblem i TCP/IP möjliggör fjärrkörning av kod och DoS-angrepp
Obs! Säkerhetsuppdatering 893066 har uppdaterats för att det här problemet ska åtgärdas för den ursprungliga utgivna versionen av Windows Server 2003. Om du distribuerar säkerhetsuppdatering 913446 behöver du inte distribuera snabbkorrigering 898060 eller säkerhetsuppdatering 893066. Säkerhetsuppdatering 893066 kan inte installeras i Windows Server 2003 med Service Pack 1.

Information om snabbkorrigeringen

Obs! Denna information gäller endast x86-baserade versioner, Itanium-baserade versioner och x64-baserade versioner av Windows Server 2003 med Service Pack 1 och för x64-baserade versioner av Windows XP Professional.

Nu finns det en snabbkorrigering som stöds att hämta från Microsoft Download Center.
Microsoft Windows Server 2003, x86-baserade versioner med Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=sv&FamilyID=A0245532-0ACE-4B85-85BF-758E936173DF
Microsoft Windows Server 2003, Itanium-baserade versioner med Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en
Microsoft Windows Server 2003, x64-baserade versioner
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en
Microsoft Windows XP, x64-baserade versioner
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en

Snabbkorrigeringen korrigerar det problem med nätverksanslutning som beskrivs i denna Microsoft Knowledge Base-artikel. Vi rekommenderar att du installerar snabbkorrigeringen på alla datorer med detta problem. Du kan också installera snabbkorrigeringen för att förhindra att liknande anslutningsproblem uppstår i framtiden.

Den uppdaterade snabbkorrigeringen för Windows Server 2003 Service Pack 1 (SP1) innehåller en ändring som åtgärdar ett problem som endast uppstår i Internet Security Systems-produkter (ISS).

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
x86-baserade versioner av Microsoft Windows Server 2003 med Service Pack 1
   Datum         Tid  Version      Storlek        Filnamn    Plattform Mapp
   --------------------------------------------------------------------------
   26 maj 2005  01:06  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1GDR
   26-maj-2005  01:10  5.2.3790.2453   333 312     Tcpip.sys  x86       SP1QFE
Microsoft Windows Server 2003, Itanium-baserade versioner med Service Pack 1
   Datum         Tid  Version      Storlek        Filnamn    Plattform Mapp
   --------------------------------------------------------------------------
   26 maj 2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1GDR
   26-maj-2005  02:17  5.2.3790.2453   1 116 160  Tcpip.sys  IA-64     SP1QFE
Microsoft Windows Server 2003, x64-baserade versioner
   Datum         Tid   Version        Storlek     Filnamn     Plattform Mapp
   --------------------------------------------------------------------------
   26-maj-2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1GDR
   26-maj-2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1QFE
Microsoft Windows XP, x64-baserade versioner
   Datum         Tid   Version        Storlek     Filnamn     Plattform Mapp
   --------------------------------------------------------------------------
   26-maj-2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1GDR
   26-maj-2005  02:32  5.2.3790.2453   702 976     Tcpip.sys  x64       SP1QFE
Obs! Filinformationen är densamma för x64-versioner av Microsoft Windows Server 2003 och för x64-versioner av Microsoft Windows XP.

Workaround

Undvik problemet genom att ange MTU-standardvärdet till det högsta värde som routrarna klarar av. Vilket MTU-värde som krävs för att undvika problemet beror på nätverkets konfiguration. Dock bör värdet 576 minska effekterna av det, eftersom routrar på Internet bör kunna hantera sådana paket utan att de fragmenteras. Du måste starta om datorn för att registerändringen ska verkställas. Om du vill veta mer om hur du ändrar MTU-registerinställningarna klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
120642 TCP/IP- och NBT-konfigurationsparametrar för Windows 2000 och Windows NT (Länken kan leda till en webbplats som är helt eller delvis på engelska)
314053 TCP/IP- och NBT-konfigurationsparametrar för Windows XP
Viktigt! Ett lågt MTU-standardvärde kan ge sämre prestanda i nätverket, beroende på hur det är konfigurerat och vilka nätverksprogram som vanligtvis används.

Mer Information

MTU-parametern åsidosätter ett nätverkskorts MTU-värde (Maximum Transmission Unit). MTU är den maximala paketstorleken i byte som överförs via det underliggande nätverket. Här ingår transporthuvudet. Ett IP-datagram kan omfatta flera paket. Värden som överstiger standardvärdet för det underliggande nätverket medför att nätverkets standard-MTU används för transporten. Om värdet är lägre än 68 använder transportskiktet ändå MTU-värdet 68.

Nyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID för nätverkskort
Värdetyp: REG_DWORD Tal
Giltigt intervall: 68 till det underliggande nätverkets MTU
Standard: 0xFFFFFFFF

Obs! ID för nätverkskort är nätverkskortet som TCP/IP är bundet till. Du kan avgöra förhållandet mellan nätverkskortets ID och en nätverksanslutning genom att granska registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ID för nätverkskort\Connection. Värdet Name i de här nycklarna är namnet på nätverksanslutningen som visas i mappen Nätverksanslutningar. Värdena under dessa nycklar är specifika för respektive kort. Det är inte säkert att det finns parametrar med ett DHCP-konfigurerat värde och ett statiskt konfigurerat värde. Om de finns eller ej beror på om datorn eller kortet har konfigurerats för DHCP och om statiska åsidosättningsvärden har angetts.

Problemet visas i följande nätverksspårning.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (Se ram 009) I 011: Notice the Next Hop MTU being smaller,and router requesting the sender to fragment the packet 10.ICMP: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignores the ICMP packet 11, and resends the same packet 10 without fragmentation 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Dataramarna 14, 16 och 18 är omsända dataramar, och anslutningen avslutas med dataram 25.
De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.

Referenser

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
900926 Rekommenderade TCP/IP-inställningar för WAN-länkar med en MTU-storlek som är mindre än 576

Egenskaper

Artikel-id: 898060 - Senaste granskning: den 13 augusti 2008 - Revision: 15.4
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003 Service Pack 1 på följande plattformar
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition SP1
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Professional SP1
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows XP Professional x64 Edition
Nyckelord: 
kbresolve atdownload kbwinserv2003sp2fix kbqfe kbsecurity kbprb KB898060

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com