MTU が 576 より小さい WAN リンク向けの TCP/IP 推奨設定

文書翻訳 文書翻訳
文書番号: 900926 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

セキュリティ更新プログラム MS05-019 を適用すると、オペレーティング システムで ICMP (Internet Control Message Protocol) 要求を検証する方法が変更されます。このセキュリティ更新プログラムにより、ICMP ベースの攻撃から保護されます。しかし、特定の状況下では、このセキュリティ更新プログラムが原因でコンピュータのネットワーク接続が失われることがあります。この資料では、セキュリティ更新プログラム MS05-019 をインストールした後、コンピュータからネットワーク接続が失われるのを防ぐための 3 つの方法について説明します。

はじめに

この資料では、MTU (最大転送単位) が 576 より小さい WAN (Wide Area Network) リンク用の TCP/IP 設定の推奨値について説明します。

詳細

重要 : このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法


セキュリティ更新プログラム MS05-019 を適用すると、オペレーティング システムで ICMP (Internet Control Message Protocol) 要求を検証する方法が変更されます。このセキュリティ更新プログラムにより、MTU の最小サイズが 576 バイトに制限されます。MTU サイズが制限されるのは、ICMP ベースの攻撃からコンピュータを保護するためです。ICMP ベースの攻撃により、MTU サイズが非常に小さな値に変更されることがあります。MTU サイズが非常に小さな値になると、パフォーマンスが著しく低下する可能性があります。

しかし、衛星リンクなどの一部の WAN では、576 バイトという MTU の制限により影響を受ける場合があります。こうした WAN では、MTU サイズが 576 バイトを下回っていることがあり、その場合、ネットワーク接続が失われることがあります。 ネットワーク モニタなどのツールを使用してネットワーク トレースを解析することにより、このような状況が発生しているのかどうかを確認することができます。ネットワーク接続が失われた接続先で ICMP 送信先到達不能メッセージが発生していて、次のホップの MTU が 576 バイトより小さい場合、この状況が発生しています。

このような特殊な状況では、以下のいずれかの推奨事項に従うことを検討してください。

: この状況に該当していない場合は、以下の推奨事項を使用しないでください。以下の推奨事項を採用することにより、ネットワークのスループットが低下する可能性があります。

方法 1 : PMTU (Path Maximum Transfer Unit) のブラック ホール検出を有効にする

PMTU (Path Maximum Transfer Unit) のブラック ホール検出機能を有効にすると、TCP から Don't Fragment ビットがオフになったセグメントが送信されます。セグメントの再送を繰り返しても ACK が返されない場合、TCP ではこのようなセグメントの送信を試行します。セグメントに対して ACK が返された場合、以後その接続のパケットでは MSS (最大セグメント サイズ) に前回よりも小さな値が設定され、Don't Fragment ビットがオンになります。

この方法では、問題の発生するセグメントについてのみパケット サイズが小さくなるため、他の方法よりもこの方法を使用することをお勧めします。ブラック ホールの検出機能を使用すると、特定のセグメントの再送回数の上限が大きくなります。

PMTU のブラック ホール検出機能を有効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. EnablePMTUBHDetect と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] または [変更] をクリックします。
  6. [値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
  7. レジストリ エディタを終了し、コンピュータを再起動します。

方法 2 : PMTU 探索を無効にする

PMTU 探索を無効にすると、TCP では MTU サイズが 576 バイトで Don't Fragment がオフになったパケットのみが送信されます。これにより、ルーターでパケットが分割され、パケットがネットワーク上を転送されるようになります。

この方法では、送信先にかかわらず、送信するすべてのパケットに影響があります。多くの場合、パケット サイズが 576 バイトでもパフォーマンスは許容できる範囲です。ただし、576 バイトより大きい MTU サイズがサポートされているパスでは、PMTU 探索を有効にした場合と比較すると、パフォーマンスが低下します。

PMTU 探索を無効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. EnablePMTUDiscovery と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] または [変更] をクリックします。
  6. [値のデータ] ボックスに 0 と入力し、[OK] をクリックします。
  7. レジストリ エディタを終了し、コンピュータを再起動します。

方法 3 : 対象のネットワーク インターフェイスの MTU サイズを手動で設定する

ネットワーク インターフェイスの MTU サイズを手動で設定すると、その設定は、そのネットワーク インターフェイスの既定の MTU より優先されます。MTU サイズには、トランスポート層が下位のネットワークに対して転送するパケットの最大サイズをバイト単位で指定します。

この方法では、送信先にかかわらず、送信するすべてのパケットに影響があります。また、設定する MTU のサイズによっては、パフォーマンスに大きな影響が生じる可能性があります。

ネットワーク インターフェイスの MTU サイズを設定するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. MTU と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] または [変更] をクリックします。
  6. [値のデータ] ボックスに MTU サイズの値を入力し、[OK] をクリックします。
  7. レジストリ エディタを終了し、コンピュータを再起動します。

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
898060 セキュリティ更新プログラム MS05-019 または Windows Server 2003 Service Pack 1 のインストール後、クライアントとサーバー間のネットワーク接続が機能しないことがある

TCP/IP の関連情報については、次のマイクロソフト TechNet Web サイトを参照してください。
ネットワークと TCP/IP の概要
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/be2b68c1-a279-417b-976a-16601b98447a.mspx?mfr=true

プロパティ

文書番号: 900926 - 最終更新日: 2008年8月14日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbtshoot kbprb kbsecurity kbbug kbpubtypekc KB900926
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com