文章編號: 900926 - 上次校閱: 2008年8月12日 - 版次: 4.0

建議 MTU 大小小於 576 的 WAN 連結使用的 TCP/IP 設定

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

MS05-019 安全性更新修改作業系統驗證「網際網路控制訊息通訊協定」(ICMP) 要求的方式。此安全性更新可以避免遭受 ICMP 攻擊。然而,在特殊情況下,此安全性更新可能造成電腦失去網路連線。本文將告訴您,在安裝 MS05-019 安全性更新之後,可以用來防止電腦失去網路連線的三種方法。
回此頁最上方

簡介

本文將告訴您,建議傳輸單元最大值 (MTU) 大小小於 576 的廣域網路 (WAN) 連結使用的 TCP/IP 設定。
回此頁最上方

其他相關資訊

重要 本節、方法或工作所包含的步驟會告訴您如何修改登錄。然而,如果不當修改登錄,可能會造成嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何在 Windows 中備份及還原登錄


MS05-019 安全性更新修改了作業系統驗證「網際網路控制訊息通訊協定」(ICMP) 要求的方式。此安全性更新限制 MTU 大小至少設定為 576 個位元組。限制 MTU 大小可以避免遭受 ICMP 攻擊。ICMP 攻擊可能會使 MTU 大小降為非常低的值。如此小的 MTU 大小可能會嚴重影響效能。

不過,將 MTU 大小限制為 576 個位元組可能會影響特定 WAN 案例,例如附屬連結。在這些 WAN 案例中,MTU 大小可能小於 576,而這樣的案例可能會失去網路連線。 您可以利用「網路監視器」等工具來分析網路追蹤,以偵測您是否遭遇這樣的案例。如果失去網路連線的目的地具有下一個躍點的 MTU 值小於 576 且無法送達之郵件的任何 ICMP 目的地,表示您正遭遇這樣的案例。

在這些特殊情況下,請考慮使用下列其中一種建議方法。

注意 如果您並未遭遇這裡所述的任何一種案例,請勿使用下列建議方法。下列建議方法可能會降低網路輸送量。
回此頁最上方

方法 1:啟用「路徑最大傳輸單位」(PMTU) 黑洞偵測

如果您啟用「路徑最大傳輸單位」(PMTU) 黑洞偵測功能,TCP 將嘗試傳送不具有 Don't Fragment 位元組的區段。如果一個區段的數次重新傳輸 TCP 不被認收,TCP 將嘗試傳送這些區段。如果區段最後被認收,則最大區段大小 (MSS) 將會減少,而且 Don't Fragment 位元將設入連線上的未來封包。

由於封包大小已縮小為只包含有問題的區段,因此,建議採用這個方法。黑洞偵測增加指定區段的最大重新傳輸執行數目。

如果要啟用 PMTU 黑洞偵測,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 EnablePMTUBHDetect,然後按下 ENTER。
  5. [編輯] 功能表上,按一下 [修改]
  6. [數值資料] 方塊中,輸入 1,然後按一下 [確定]
  7. 結束 [登錄編輯程式],然後重新啟動電腦。
回此頁最上方

方法 2:停用 PMTU Discovery

如果停用 PMTU Discovery,TCP 將只會傳送 MTU 大小為 576 位元組且不具有 Don't Fragment 位元組的封包。這會啟用路由器,以分段封包並透過網路傳送封包。

這個方法會影響傳送給所有目的地的封包。大多時候,效能會處於以可接受的等級傳送 576 大小的封包。不過,如果啟用 PMTU Discovery 且路徑支援 576 以上的 MTU 大小,效能將會更加降低。

如果要停用 PMTU Discovery,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 EnablePMTUDiscovery,然後按下 ENTER。
  5. [編輯] 功能表上,按一下 [修改]
  6. [數值資料] 方塊中,輸入 0,然後按一下 [確定]
  7. 結束 [登錄編輯程式],然後重新啟動電腦。
回此頁最上方

方法 3:手動設定網路介面的 MTU 大小

如果您手動設定網路介面的 MTU 大小,此設定會覆寫網路介面的預設 MTU。MTU 大小是傳輸站將在網路上傳輸的最大封包大小 (以位元組為單位)。

這個方法會影響傳送給所有目的地的封包,並且可能嚴重影響效能 (視您設定的 MTU 大小而定)。

如果要設定網路介面的 MTU 大小,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 MTU,然後按下 ENTER。
  5. [編輯] 功能表上,按一下 [修改]
  6. [數值資料] 方塊中,輸入 MTU 大小的值,然後按一下 [確定]
  7. 結束 [登錄編輯程式],然後重新啟動電腦。
回此頁最上方

?考

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
898060? (http://support.microsoft.com/kb/898060/ ) 在安裝安全性更新 MS05-019 或 Windows Server 2003 Service Pack 1 後,用戶端與伺服器之間的網路連線可能會失敗。

如需更多有關 TCP/IP 的資訊,請造訪下列 Microsoft TechNet 網站:
網路與 TCP/IP 的概觀
http://technet.microsoft.com/zh-tw/library/cc739443(en-us).aspx (http://technet.microsoft.com/zh-tw/library/cc739443(en-us).aspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
回此頁最上方
關鍵字:?
kbtshoot kbprb kbsecurity kbbug kbpubtypekc KB900926
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。