概要
セキュリティ更新プログラム MS05-019 を適用すると、オペレーティング システムで ICMP (Internet Control Message Protocol) 要求を検証する方法が変更されます。このセキュリティ更新プログラムにより、ICMP ベースの攻撃から保護されます。しかし、特定の状況下では、このセキュリティ更新プログラムが原因でコンピュータのネットワーク接続が失われることがあります。この資料では、セキュリティ更新プログラム MS05-019 をインストールした後、コンピュータからネットワーク接続が失われるのを防ぐための 3 つの方法について説明します。
はじめに
この資料では、MTU (最大転送単位) が 576 より小さい WAN (Wide Area Network) リンク用の TCP/IP 設定の推奨値について説明します。
詳細
重要 : このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
セキュリティ更新プログラム MS05-019 を適用すると、オペレーティング システムで ICMP (Internet Control Message Protocol) 要求を検証する方法が変更されます。このセキュリティ更新プログラムにより、MTU の最小サイズが 576 バイトに制限されます。MTU サイズが制限されるのは、ICMP ベースの攻撃からコンピュータを保護するためです。ICMP ベースの攻撃により、MTU サイズが非常に小さな値に変更されることがあります。MTU サイズが非常に小さな値になると、パフォーマンスが著しく低下する可能性があります。
しかし、衛星リンクなどの一部の WAN では、576 バイトという MTU の制限により影響を受ける場合があります。こうした WAN では、MTU サイズが 576 バイトを下回っていることがあり、その場合、ネットワーク接続が失われることがあります。 ネットワーク モニタなどのツールを使用してネットワーク トレースを解析することにより、このような状況が発生しているのかどうかを確認することができます。ネットワーク接続が失われた接続先で ICMP 送信先到達不能メッセージが発生していて、次のホップの MTU が 576 バイトより小さい場合、この状況が発生しています。
このような特殊な状況では、以下のいずれかの推奨事項に従うことを検討してください。
注 : この状況に該当していない場合は、以下の推奨事項を使用しないでください。以下の推奨事項を採用することにより、ネットワークのスループットが低下する可能性があります。
方法 1 : PMTU (Path Maximum Transfer Unit) のブラック ホール検出を有効にする
PMTU (Path Maximum Transfer Unit) のブラック ホール検出機能を有効にすると、TCP から Don't Fragment ビットがオフになったセグメントが送信されます。セグメントの再送を繰り返しても ACK が返されない場合、TCP ではこのようなセグメントの送信を試行します。セグメントに対して ACK が返された場合、以後その接続のパケットでは MSS (最大セグメント サイズ) に前回よりも小さな値が設定され、Don't Fragment ビットがオンになります。
この方法では、問題の発生するセグメントについてのみパケット サイズが小さくなるため、他の方法よりもこの方法を使用することをお勧めします。ブラック ホールの検出機能を使用すると、特定のセグメントの再送回数の上限が大きくなります。
PMTU のブラック ホール検出機能を有効にするには、以下の手順を実行します。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
-
次のレジストリ キーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
EnablePMTUBHDetect と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
[値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
-
レジストリ エディタを終了し、コンピュータを再起動します。
方法 2 : PMTU 探索を無効にする
PMTU 探索を無効にすると、TCP では MTU サイズが 576 バイトで Don't Fragment がオフになったパケットのみが送信されます。これにより、ルーターでパケットが分割され、パケットがネットワーク上を転送されるようになります。
この方法では、送信先にかかわらず、送信するすべてのパケットに影響があります。多くの場合、パケット サイズが 576 バイトでもパフォーマンスは許容できる範囲です。ただし、576 バイトより大きい MTU サイズがサポートされているパスでは、PMTU 探索を有効にした場合と比較すると、パフォーマンスが低下します。
PMTU 探索を無効にするには、以下の手順を実行します。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
-
次のレジストリ キーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
EnablePMTUDiscovery と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
[値のデータ] ボックスに 0 と入力し、[OK] をクリックします。
-
レジストリ エディタを終了し、コンピュータを再起動します。
方法 3 : 対象のネットワーク インターフェイスの MTU サイズを手動で設定する
ネットワーク インターフェイスの MTU サイズを手動で設定すると、その設定は、そのネットワーク インターフェイスの既定の MTU より優先されます。MTU サイズには、トランスポート層が下位のネットワークに対して転送するパケットの最大サイズをバイト単位で指定します。
この方法では、送信先にかかわらず、送信するすべてのパケットに影響があります。また、設定する MTU のサイズによっては、パフォーマンスに大きな影響が生じる可能性があります。
ネットワーク インターフェイスの MTU サイズを設定するには、以下の手順を実行します。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「regedit」と入力し、[OK] をクリックします。
-
次のレジストリ キーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
MTU と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
[値のデータ] ボックスに MTU サイズの値を入力し、[OK] をクリックします。
-
レジストリ エディタを終了し、コンピュータを再起動します。
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
898060 セキュリティ更新プログラム MS05-019 または Windows Server 2003 Service Pack 1 のインストール後、クライアントとサーバー間のネットワーク接続が機能しないことがある
TCP/IP の関連情報については、次のマイクロソフト TechNet Web サイトを参照してください。
ネットワークと TCP/IP の概要
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/be2b68c1-a279-417b-976a-16601b98447a.mspx?mfr=true
