Rekommenderade TCP/IP-inställningar för WAN-länkar med en MTU-storlek som är mindre än 576

Artikelöversättning Artikelöversättning
Artikel-id: 900926 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Säkerhetsuppdatering MS05-019 ändrar hur operativsystemet verifierar ICMP-förfrågningar (Internet Control Message Protocol). Den här säkerhetsuppdateringen förhindrar ICMP-baserade attacker. Under speciella omständigheter kan den den här säkerhetsuppdateringen emellertid göra så att datorns nätverksförbindelse bryts. I den här artikeln beskrivs tre metoder som gör det enklare att förhindra att datorns nätverksförbindelse bryts när säkerhetsuppdatering MS05-019 installeras.

Inledning

I den här artikeln beskrivs rekommenderade TCP/IP-inställningar för WAN-länkar med en MUT-storlek (Maximum Transmission Unit) som är mindre än 576.

Mer Information

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera, redigera och återställa registret i Windows XP och Windows Server 2003


Säkerhetsuppdatering MS05-019 ändrar hur operativsystemet verifierar ICMP-förfrågningar (Internet Control Message Protocol). Den här säkerhetsuppdateringen begränsar den lägsta MTU-storleken till 576 bytes. MTU-storleken begränsas för att förhindra ICMP-baserade attacker. En ICMP-baserad attack kan minska MTU-storleken till ett mycket lågt värde. En mycket liten MTU-storlek sänker prestandan avsevärt.

En MTU-storlek som begränsas till 576 bytes kan påverka vissa scenarier med globala nätverk, t. ex. satellitlänkar. I dessa scenarier kan MTU-storleken vara mindre än 576. I sådana scenarier kan förbindelsen brytas. Med verktyg som Network Monitor kan du ta reda på om det är ett sådant scenario genom att analysera nätverksspåret. Det är ett sådant scenario om måldatorn som nätverksförbindelsen har brutits till har ICMP-meddelanden om att en måldator inte går att nå, där MTU-värdet för nästa hopp är mindre än 576.

Under dessa speciella omständigheter bör du följa rekommendationerna nedan.

Obs! Du ska inte använda följande rekommendationer om du inte upplever något av dessa scenarier. Följande rekommendationer kan försämra genomströmningen i nätverket.

Metod 1: Aktivera PMTU-upptäckt (Path Maximum Transfer Unit) av svarta hål

Om du aktiverar funktionen PMTU-upptäckt (Path Maximum Transfer Unit) av svarta hål, försöker TCP att skicka segment som inte har biten Don't Fragment (Fragmentera inte) angiven. TCP försöker att skicka dessa segment om flera nya sändningar av ett segment inte bekräftas. Om ett segment bekräftas minskar MSS (Maximum Segment Size) och biten Fragmentera inte anges i framtida paket för anslutningen.

Den här metoden är att föredra eftersom paketstorleken bara minskar för det problematiska segmentet. Identifiering av svarta hål ökar det högsta antalet nya sändningar för ett visst segment.

Så här aktiverar du PMTU-upptäckt av svarta hål:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta reda på följande nyckel i registret:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Peka på Ny/NyttRedigera-menyn, och klicka sedan på DWORD-värde.
  4. Skriv EnablePMTUBHDetect och tryck på RETUR.
  5. Klicka på ÄndraRedigera-menyn.
  6. Skriv 1 i rutan Data, och klicka sedan på OK.
  7. Avsluta Registereditorn och starta om datorn.

Metod 2: Inaktivera PMTU-upptäckt

Om du inaktiverar PMTU-upptäckt skickar TCP bara paket som har en MTU-storlek på 576 och som inte har biten Fragmentera inte angiven. Då kan routrarna fragmentera paketet och skicka det via nätverken.

Den här metoden påverkar paket som skickas till alla måldatorer. För det mesta blir prestandan godtagbar när paketstorleken är 576. Prestandan minskar emellertid om PMTU-upptäckt har aktiverats och sökvägen stödjer en MTU-storlek som är större än 576.

Så här inaktiverar du PMTU-upptäckt:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta reda på följande nyckel i registret:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Peka på Ny/NyttRedigera-menyn, och klicka sedan på DWORD-värde.
  4. Skriv EnablePMTUDiscovery och tryck på RETUR.
  5. Klicka på ÄndraRedigera-menyn.
  6. Skriv 0 i rutan Data, och klicka sedan på OK.
  7. Avsluta Registereditorn och starta om datorn.

Metod 3: Ange MTU-storleken för nätverksgränssnittet manuellt

Om du anger MTU-storleken för ett nätverksgränssnitt manuellt, gäller den inställningen framför standard-MTU för nätverksgränssnittet. MTU-storleken är den maximala paketstorleken i byte som överförs via det underliggande nätverket.

Den här metoden påverkar paket som skickas till alla måldatorer och kan påverka prestandan avsevärt, beroende på vilken MTU-storlek som du har angett.

Så här anger du MTU-storlek för nätverksgränssnittet:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta reda på följande nyckel i registret:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
  3. Peka på Ny/NyttRedigera-menyn, och klicka sedan på DWORD-värde.
  4. Skriv MTU och tryck på RETUR.
  5. Klicka på ÄndraRedigera-menyn.
  6. Skriv värdet på MTU-storleken i rutan Data och klicka på OK.
  7. Avsluta Registereditorn och starta om datorn.

Referenser

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
898060 Klienter och servrar kan tappa kontakten efter installation av säkerhetsuppdateringen MS05-019 eller Windows Server 2003 Service Pack 1

Mer information om TCP/IP finns på webbplatsen för Microsoft TechNet:
Översikt över nätverk och TCP/IP
http://technet2.microsoft.com/windowsserver/en/library/be2b68c1-a279-417b-976a-16601b98447a1033.mspx

Egenskaper

Artikel-id: 900926 - Senaste granskning: den 13 augusti 2008 - Revision: 4.0
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Nyckelord: 
kbtshoot kbprb kbsecurity kbbug kbpubtypekc KB900926

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com