Doporučené nastavení TCP/IP pro sítě WAN s velikostí jednotky MTU menší než 576

Překlady článku Překlady článku
ID článku: 900926 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Aktualizace zabezpečení MS05-019 mění způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení chrání před útokem provedeným pomocí protokolu ICMP. Za zvláštních okolností však může tato aktualizace zabezpečení způsobit ztrátu připojení počítače k síti. Tento článek popisuje tři metody, které můžete použít, abyste zabránili ztrátě připojení počítače k síti po instalaci aktualizace zabezpečení MS05-019.

Úvod

Tento článek popisuje doporučené nastavení TCP/IP pro propojení sítí WAN (Wide Area Network) s velikostí jednotky MTU (Maximum Transmission Unit) menší než 576.

Další informace

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003


Aktualizace zabezpečení MS05-019 mění způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení omezuje nejmenší velikost jednotky MTU na 576 bajtů. Omezením velikosti jednotky MTU lze zabránit útoku založenému na protokolu ICMP. Útok provedený pomocí protokolu ICMP může zmenšit velikost jednotky MTU na velmi nízkou hodnotu. Velmi malá velikost jednotky MTU může způsobit závažný pokles výkonu.

Velikost jednotky MTU, která je omezena na 576 bajtů, však může ovlivnit určité scénáře použití sítí WAN, například satelitní propojení. V takových scénářích použití sítí WAN může být velikost jednotky MTU menší než 576 a může dojít ke ztrátě síťového připojení. Pomocí nástrojů, jako je Sledování sítě, můžete analyzovat trasování v síti a zjistit, zda se vás tato situace týká. Uvedená situace se na vás bude vztahovat, jestliže je u cílů, k nimž je ztraceno síťové připojení, zobrazena zpráva protokolu ICMP o nedosažitelnosti cíle s hodnotou MTU dalšího směrování menší než 576.

Za těchto zvláštních okolností je vhodné zvážit použití jednoho z následujících doporučení.

Poznámka: Pokud se vás žádný ze scénářů netýká, následující doporučení nepoužívejte. Následující doporučení mohou snížit propustnost sítě.

Metoda 1: Povolení rozpoznávání černých děr PMTU (Path Maximum Transfer Unit)

Pokud povolíte funkci rozpoznávání černých děr PMTU (Path Maximum Transfer Unit), pokusí se protokol TCP o odesílání segmentů bez nastaveného bitu Nefragmentovat. Protokol TCP se tyto segmenty pokusí odeslat, jestliže zůstane několik opakovaných přenosů segmentu nepotvrzeno. Je-li segment potvrzen, bude maximální velikost segmentu (MSS) snížena a bit Nefragmentovat bude v příštích paketech v daném připojení nastaven.

Tato metoda je upřednostňována, protože velikost paketu je snížena pouze u problematického segmentu. Rozpoznávání černých děr zvýší maximální počet opakovaných přenosů určitého segmentu.

Chcete-li povolit rozpoznávání černých děr PMTU, použijte následující postup:
  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte EnablePMTUBHDetect a pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.
  7. Ukončete program Editor registru a restartujte počítač.

Metoda 2: Zakázání zjišťování hodnoty PMTU

Jestliže zakážete zjišťování hodnoty PMTU, bude protokol TCP odesílat pouze pakety, které mají velikost jednotky MTU 576 a nemají nastaven bit Nefragmentovat. Směrovače tak mohou paket fragmentovat a odeslat jej do sítí.

Tato metoda ovlivní pakety odeslané do všech cílů. Při velikosti paketu 576 bude výkon po většinu času na přijatelných úrovních. Bude však nižší, než by byl v případě, že by byla povolená funkce zjišťování hodnoty PMTU a cesta by podporovala velikost jednotky MTU větší než 576.

Chcete-li zakázat zjišťování hodnoty PMTU, postupujte následujícím způsobem:
  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte EnablePMTUDiscovery a pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 0 a klepněte na tlačítko OK.
  7. Ukončete program Editor registru a restartujte počítač.

Metoda 3: Ruční nastavení velikosti jednotky MTU pro síťové rozhraní

Jestliže je velikost jednotky MTU pro síťové rozhraní nastavena ručně, bude tímto nastavením přepsána výchozí hodnota MTU síťového rozhraní. Velikost jednotky MTU je maximální velikost paketu (v bajtech), který bude přenesen prostřednictvím základní sítě.

Tato metoda ovlivní pakety odeslané do všech cílů a v závislosti na nastavené velikosti jednotky MTU může mít významný vliv na výkon.

Chcete-li nastavit velikost jednotky MTU pro síťové rozhraní, použijte následující postup:
  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte MTU a pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu pro velikost jednotky MTU a pak klepněte na tlačítko OK.
  7. Ukončete program Editor registru a restartujte počítač.

Odkazy

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
898060 Po instalaci aktualizace zabezpečení MS05-019 nebo aktualizace Windows Server 2003 Service Pack 1 může dojít k selhání síťového připojení mezi klienty a servery

Další informace o protokolu TCP/IP naleznete na následujícím webu Microsoft TechNet:
Overview of networking and TCP/IP (Přehled sítí a protokolu TCP/IP)
http://technet2.microsoft.com/windowsserver/cs/library/be2b68c1-a279-417b-976a-16601b98447a1029.mspx?mfr=true

Vlastnosti

ID článku: 900926 - Poslední aktualizace: 8. srpna 2008 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbtshoot kbprb kbsecurity kbbug kbpubtypekc KB900926

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com