Beskrivelse af den nye funktion til beskyttelse af hukommelsesforbrug i forbindelse med TCP-stakken

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 974288 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

INTRODUKTION

I denne artikel beskrives en ny funktion til beskyttelse af hukommelsesforbrug i forbindelse med TCP-stakken. Denne nye funktion er en del af sikkerhedsopdatering 967723.

Yderligere Information

Funktionen til beskyttelse af hukommelsesforbrug består af tre sikkerhedsindstillinger. Disse indstillinger omfatter beskyttelse af hukommelsesforbrug, profiler og portundtagelse.

Indstillingen for beskyttelse af hukommelsesforbrug

Indstillingen for beskyttelse af hukommelsesforbrug definerer funktionen, og den inkluderer følgende to aktiviteter, når der registreres utilstrækkelig hukommelse:
  • Slet eksisterende TCP-forbindelser.
  • Opgiv indgående SYN-anmodninger.
En administrator kan aktivere eller deaktivere indstillingen for beskyttelse af hukommelsesforbrug ved hjælp af netsh-kommandoer. Når administratoren aktiverer eller deaktiverer indstillingen for beskyttelse af hukommelsesforbrug, aktiveres eller deaktiveres funktionen.

Indstillingen for profiler

Funktionen til profiler hjælper administratoren med at skelne mellem offentlige og private grænseflader. Hvis en grænseflade kan få adgang til domænecontrolleren, betyder det, at grænsefladen er domænetilknyttet, eller at administratoren kan konfigurere en grænseflade til at være privat. Funktionen til profiler er kun tilgængelig i Windows Vista og Windows Server 2008.

Indstillingen for profiler er afgørende for computerens evne til at slette TCP-forbindelser og opgive indgående SYN-anmodninger på de domænetilknyttede og private grænseflader, når computeren rammes af utilstrækkelig hukommelse. På Windows Server 2003 skal en administrator deaktivere funktionen til beskyttelse af hukommelsesforbrug på en bestemt grænseflade ved hjælp af poster i registreringsdatabasen. Du kan finde flere oplysninger i afsnittet "Konfigurering af disse indstillinger i Windows Server 2003". Denne indstilling for profiler er som standard aktiveret. Når indstillingen er aktiveret, har administratoren besluttet ikke at slette TCP-forbindelserne eller opgive SYN'er på den domænetilknyttede eller private grænseflade under nogen omstændigheder. Hvis administratoren vil slette TCP-forbindelser og opgive SYN'er på den domænetilknyttede og private grænseflade, når computeren rammes af utilstrækkelig hukommelse, skal indstillingen for profiler være deaktiveret.

Bemærk! Hvis indstillingen for beskyttelse af hukommelsesforbrug er aktiveret, og der registreres problemer med utilstrækkelig hukommelse, kan administratoren ikke standse sletningen af forbindelser på offentlige grænseflader, selvom indstillingen for profiler er aktiveret. Indstillingen for profiler er beregnet til domænetilknyttede og private grænseflader. Dog kan en adminstrator i disse tilfælde bruge indstillingen for portundtagelse til at udelukke bestemte porte i offentlige grænseflader fra handlinger i forbindelse med beskyttelse af hukommelsesforbrug.

Indstillingen for portundtagelse

Indstillingen for portundtagelse gør det muligt for administratoren at foretage portspecifikke undtagelser. Når indstillingen for beskyttelse af hukommelsesforbrug aktiveres, er indstillingen som standard aktiveret for forbindelser på alle porte. Hvis der registreres et problem med utilstrækkelig hukommelse, slettes eksisterende forbindelser sandsynligvis, eller indgående SYN'er kan opgives på baggrund af indstillingerne for beskyttelse af hukommelsesforbrug og profiler. En administrator kan dog angive undtagelser for forbindelser på bestemte porte ved at angive dem på listen over portundtagelser.

Bemærk!
  • Listen over portundtagelser er en enkelt global liste, og den gælder for alle grænseflader og IP-adresser.
  • Indstillingen for portundtagelse aktiveres, før eventuelle TCP-forbindelser oprettes på porten. Vi anbefaler, at du konfigurerer alle de indstillinger, der er relateret til beskyttelse af hukommelsesforbrug, inden du starter serverprogrammerne.

Standardværdier for disse indstillinger på serverne og klienterne

Skjul tabellenUdvid tabellen
Standardværdier på servereStandardværdier på klienter
Beskyttelse af hukommelsesforbrugAktiveret Deaktiveret
ProfilAktiveret Aktiveret
PortundtagelseIngen undtagelserIngen undtagelser
Bemærk! Hvis disse indstillinger ændres, og en administrator vil vende tilbage til standardindstillingerne, kan vedkommende bruge følgende netsh-kommando:
netsh int tcp reset
Bemærk! Se afsnittet "Kendte problemer", inden du bruger kommandoen netsh int tcp reset.

Konfiguration af disse indstillinger i Windows Vista

En administrator kan bruge netsh-kommandoerne til at opdatere indstillingerne for beskyttelse af hukommelsesforbrug, profiler og portundtagelse under kørsel. Disse indstillinger er afgørende for, om en TCP-forbindelse kan fjernes eller ej. Denne evaluering udføres, når TCP-blokken for den pågældende TCP-forbindelse oprettes, afhængigt af indstillingerne på det pågældene tidspunkt.
  • netsh int tcp reset

    Nulstiller sikkerhedsindstillingerne sammen med de øvrige TCP-indstillinger. Disse sikkerhedsindstillinger inkluderer indstillinger for beskyttelse af hukommelsesforbrug, profil, portundtagelse og begrænsning af forbindelseshastighed.
  • netsh int tcp show security

    Viser de sikkerhedsindstillinger, der eventuelt anvendes i øjeblikket for beskyttelse af hukommelsesforbrug, profiler og portundtagelser.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Slår indstillingerne for beskyttelse af hukommelsesforbrug til og fra.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Slår indstillingen for profiler til og fra.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Angiver portundtagelserne for portintervallet x til x+y. Kontrollér, at x og x+y ligger inden for det gyldige portinterval (0-65535).

    Eksempler

    Tilføj en undtagelse fra portintervallet:
    Skriv følgende kommando i kommandoprompten, og tryk på Enter:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Denne kommando deaktiverer funktionen til beskyttelse af hukommelsesforbrug for portene 5000 til 5009 (inklusive).

    Slet en undtagelse fra portintervallet:
    Skriv følgende kommando i kommandoprompten, og tryk på Enter:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Denne kommando sletter den undtagelsespost, der blev tilføjet i det første eksempel.

    Bemærk! Overlappende portintervaller og underintervaller håndteres ikke af kommandoen netsh int tcp set security.

Konfiguration af disse indstillinger i Windows Server 2003

I Windows Server 2003 skal du konfigurere disse indstillinger ved hjælp af registreringsdatabasen.

Konfiguration af indstillingen for beskyttelse af hukommelsesforbrug i Windows Server 2003

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres, redigeres og gendannes registreringsdatabasen i Windows XP og Windows Server 2003


Hvis du vil aktivere eller deaktivere indstillingen for beskyttelse af hukommelsesforbrug, skal du bruge følgende poster i registreringsdatabasen.
Bemærk! Følgende poster i registreringsdatabasen er som standard ikke tilgængelige. Du skal oprette dem for at ændre dem. Selvom posterne ikke findes i registreringsdatabasen, aktiveres indstillingen for beskyttelse af hukommelsesforbrug som standard, og der er ingen portundtagelse.
  • Internet Protocol version 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protocol version 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Du kan f.eks. følge nedenstående vejledning for at deaktivere indstillingen for beskyttelse af hukommelsesforbrug på IPv4:
  1. Klik på Start, klik på Kør, skriv regedit i feltet Åbn, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
  4. Skriv EnableMPP, og tryk derefter på Enter.
  5. Højreklik på EnableMPP, og klik derefter på Rediger.
  6. Skriv 0 i feltet Værdidata, og klik derefter på OK.
  7. Afslut Registreringseditor.
  8. Genstart computeren.
Bemærk!
  • Hvis du vil aktivere indstillingen for beskyttelse af hukommelsesforbrug igen, skal du angive DWORD-værdien for posten EnableMPP i registreringsdatabasen til 1 og derefter genstarte computeren.
  • Du kan benytte den samme fremgangsmåde til konfigurering af følgende post i registreringsdatabasen for indstillingen for beskyttelse af hukommelsesforbrug på IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfiguration af indstillingen for beskyttelse af hukommelsesforbrug til en bestemt grænseflade i Windows Server 2003

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres, redigeres og gendannes registreringsdatabasen i Windows XP og Windows Server 2003


Bemærk! Som standard er funktionen til beskyttelse af hukommelsesforbrug aktiveret på alle grænseflader i Windows Server 2003.

Hvis du vil aktivere eller deaktivere indstillingen for beskyttelse af hukommelsesforbrug for en bestemt grænseflade, skal du benytte følgende undernøgler i registreringsdatabasen:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Du kan f.eks. følge nedenstående vejledning for at deaktivere indstillingen for beskyttelse af hukommelsesforbrug for en bestemt grænseflade på IPv4:
  1. Klik på Start, klik på Kør, skriv regedit i feltet Åbn, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
  4. Skriv DisableMPPOnIF, og tryk derefter på Enter.
  5. Højreklik på DisableMPPOnIF, og klik derefter på Rediger.
  6. Skriv 1 i feltet Værdidata, og klik derefter på OK.
  7. Afslut Registreringseditor.
  8. Genstart computeren.
Bemærk! Du kan benytte den samme fremgangsmåde til konfigurering af følgende undernøgle i registreringsdatabasen for indstillingen for beskyttelse af hukommelsesforbrug på en bestemt grænseflade på IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Konfiguration af indstillingen for portundtagelse i Windows Server 2003

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres, redigeres og gendannes registreringsdatabasen i Windows XP og Windows Server 2003


Hvis du vil angive postundtagelserne for portintervallet x til y, skal du bruge følgende poster i registreringsdatabasen:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Du kan f.eks. følge denne vejledning for at angive portundtagelserne for portintervallet xxxx til yyyy på IPv4:
  1. Klik på Start, klik på Kør, skriv regedit i feltet Åbn, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Peg på Ny i menuen Rediger, og klik på Multistrengværdi.
  4. Skriv MPPExcludedPorts, og tryk derefter på Enter.
  5. Højreklik på MPPExcludedPorts, og klik derefter på Rediger.
  6. Skriv portintervallet i formatet xxxx-yyyy, f.eks. 5000-5010, i feltet Værdidata, og klik derefter på OK.
  7. Afslut Registreringseditor.
  8. Genstart computeren.
Bemærk!
  • Du skal angive portintervallet i formatet xxxx-yyyy, hvor xxxx og yyyy er inden for det gyldige portinterval. Intervallet er inklusive start- og slutværdierne.
  • Du kan benytte denne fremgangsmåde til konfigurering af følgende undernøgle i registreringsdatabasen for indstillingen for portundtagelse på IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Der kan maksimalt angives 12 portintervaller på denne liste. Yderligere intervaller ignoreres, og undtagelser anvendes ikke.

Kendte problemer

  • På Windows Vista SP2 og Windows Server 2008 SP2 påvirkes begrænsningen af forbindelseshastigheden af kommandoen netsh int tcp reset.

    Inden du installerer denne sikkerhedsopdatering, nulstilles TCP-indstillingerne af kommandoen netsh int tcp reset. Dette inkluderer Chimney-parametre, ECN (Explicit Congestion Notification), Automatisk optimering for modtagelsesvindue, CTCP (Compound TCP) og tidsstempler. Når du har installeret denne sikkerhedsopdatering, nulstiller kommandoen netsh int tcp reset også sikkerhedsindstillingerne, herunder indstillingerne for beskyttelse af hukommelsesforbrug, profiler og begrænsning af forbindelseshastighed. Selvom indstillingerne for beskyttelse af hukommelsesforbrug og profiler forventes, sker nulstilling af begrænsning af forbindelseshastighed også under kørsel. Hvis du vil angive begrænsningen af forbindelseshastigheden igen, skal du ændre undernøglen i registreringsdatabasen. Du kan finde flere oplysninger om indstillingen for begrænsning af forbindelseshastighed ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
    969710 Sådan aktiveres begrænsningen af halvåbne TCP-forbindelser i Windows Vista med Service Pack 2 og i Windows Server 2008 med Service Pack 2. Artiklen er evt. på engelsk.
  • Hvis du installerer sikkerhedsopdatering 967723 i Windows Server 2003 og derefter installerer IPv6, indeholder hændelsesloggen oplysninger, der ligner følgende oplysninger for IPv6 hændelses-id 4229:
    Beskrivelsen af hændelses-id'et 4229 i kilden Tcpip6 blev ikke fundet. Enten er den komponent, der udløser denne hændelse, ikke installeret på den lokale computer, eller installationen er beskadiget. Du kan installere eller reparere komponenten på den lokale computer.

    Hvis hændelsen opstod på en anden computer, skal visningsoplysningerne gemmes sammen med hændelsen.

    Følgende oplysninger er inkluderet i hændelsen:

    meddelelsesressourcen findes, men meddelelsen findes ikke i tabellen over strenge/meddelelser
    Hvis du vil løse dette problem, skal du installere opdateringen igen eller tilføje følgende undernøgler i registreringsdatabasen manuelt:
    • I Windows Server 2003 SP2 skal du tilføje strengen %systemroot%system32\w03a3409.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • I Windows Server 2003 SP1 skal du tilføje strengen %systemroot%system32\w03a2409.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • I Windows Server 2003 skal du tilføje strengen %systemroot%system32\ws03res.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Egenskaber

Artikel-id: 974288 - Seneste redigering: 11. september 2009 - Redigering: 1.2
Oplysningerne i denne artikel gælder:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Nøgleord: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com