Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Важно: Тази статия съдържа информация за модифициране на системния регистър. Не забравяйте да резервно копие на системния регистър, преди да го промените. Уверете се, че знаете как да го възстановите, ако впоследствие възникне проблем. За повече информация как да архивирате, възстановите и модифициране на системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:

256986 описание на системния регистър на Microsoft Windows

Симптоми

Когато Microsoft Internet Security and Acceleration Server (ISA) 2004 компютър работи под голямо натоварване, може да имате голямо използване на CPU. Например използването на компютър с ISA Server може да е над 50 %.

Причина

Това поведение може да възникне поради TCP/IP максималната единица на предаване (MTU) настройка, която се прилага по време на инсталирането на ISA Server.

За предотвратяване на хакера да променят стойността на MTU, ISA Server 2004 забранява път откриване на MTU (PMTU). Тази настройка е документиран в бюлетина за сигурността на Microsoft MS05-019. За да видите този бюлетин, посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxБележки

  • По подразбиране Windows използва настройката за MTU на 1,480 байта и приема интернет протокол за контролни съобщения (ICMP) съобщения, които изискват по-малки размери на пакета.

  • При откриване на MTU е на сървър, работещ под Windows, сървърът използва настройката за MTU на 576 байта.

Решение

Предупреждение Неправилното модифициране на системния регистър с помощта на редактора на системния регистър или по друг начин може да доведе до възникване на сериозни проблеми. Тези проблеми могат да наложат преинсталиране на вашата операционна система. Microsoft не гарантира, че тези проблеми могат да бъдат разрешени. Вие поемате риска при модифициране на системния регистър.

За да разрешите проблем, причинена от настройката за MTU е конфигуриран по време на инсталацията на ISA Server, следвайте тези стъпки.

Важно: Трябва да направите това регистър промени, ако сте инсталирали Windows Server 2003 Service Pack 1 (SP1) или корекция, който е описан в следната статия от базата знания на Microsoft:

898060 мрежовите връзки между клиенти и сървъри може да се провали, след като инсталирате актуализацията за защита MS05-019 или Windows Server 2003 Service Pack 1

  1. Щракнете върху Старт, щракнете върху изпълнение, въведете regeditи щракнете върху OK.

  2. Намерете и изберете следния подключ на системния регистър:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Тип на стойността: REG_DWORD
    Стойност: 0, 1 (False, True)
    ISA стойност по подразбиране: 0 (False)

    Забележка: Ако записът EnablePMTUDiscovery не е достъпна, създайте запис.

  3. Ако е необходимо, задайте или променете стойността според следната информация:

    • Стойност = 1
      Когато зададете EnablePMTUDiscovery 1, TCP се опитва да открие MTU или максимален размер на пакета в пътя на отдалечен хост. TCP да премахнете фрагментиране на рутерите по пътя, който свързва мрежи, които използват различни стойности на MTU. TCP прави това от откриването на пътя MTU и като TCP сегменти на този размер. Фрагментиране неблагоприятно влияе върху производителността на TCP.

    • Стойност = 0
      Когато зададете EnablePMTUDiscovery 0, стойност на MTU от 576 байта се използва за всички връзки, които не са свързани с хостове в локалната подмрежа. Ако не зададете тази стойност 0, атакуващият може да налагат стойността на MTU на малка стойност и преуморявам стека.

      Бележки

      • Когато зададете EnablePMTUDiscovery 0, са засегнати TCP/IP производителност и производителност. Трябва да сте наясно с производителност производителност преди да зададете тази стойност 0.

      • Когато инсталирате ISA Server 2004 или ISA Server 2004 Service Pack 1, тази стойност и връща 0.

      • ISA Server 2004 Service Pack 2 не променя стойността на EnablePMTUDiscovery.

  4. За участие в процеса на откриване, създаване на правило за достъп на ICMP MTU за ISA Server. За целта изпълнете стъпките, описани в следващите раздели, в зависимост от вашата конфигурация.

  5. Затворете редактора на системния регистър и рестартирайте компютъра.

ISA Server 2004, Standard Edition

  1. Щракнете върху Старт, посочете програми, посочете Microsoft ISA Serverи след това щракнете върху Управление на ISA Server.

  2. В левия панел разгънете ArrayNameи щракнете върху Правилата на защитната стена.

  3. В прозореца на задачите щракнете върху раздела инструменти и щракнете върху протоколи.

  4. Под протоколищракнете върху Създайи щракнете върху протокол.

  5. В полето за име на протокола дефиниция въведете ICMP MTU откриванеи след това щракнете върху напред.

  6. Щракнете върху ново, след което натиснете ICMP в списъка тип на протокола .

  7. В списъка с инструкции щракнете върху Изпращане и получаване.

  8. Въведете 4 в полето на ICMP код , въведете 3 в полето на ICMP тип и след това щракнете върху OK.

  9. Щракнете върху напред, щракнете върху Готовои след това щракнете върху Приложи.

  10. В левия панел с десния бутон върху Правилата на защитната стена, щракнете върху нови натиснете Правило за достъп.

  11. В полето правило за достъп въведете Позволява ICMP MTU откриванеи след това щракнете върху напред.

  12. Щракнете върху Разрешии след това щракнете върху напред.

  13. Това правила важи за списъка щракнете върху избрани протоколии натиснете Добави.

  14. В списъка с протоколи разгънете Дефинирани от потребителя.

  15. Щракнете върху ICMP MTU откриване, щракнете върху Добавяне, щракнете върху Затвории натиснете Next.

  16. Щракнете върху Добавяне.

  17. В списъка с мрежови обекти разгънете мрежи.

  18. Щракнете върху външнии натиснете Добави.

  19. Върху вътрешно, щракнете върху Добавяне, щракнете върху Затвории щракнете върху напред.

  20. Щракнете върху Добавяне.

  21. В списъка с мрежови обекти разгънете мрежи.

  22. Върху Местното, щракнете върху Добавяне, щракнете върху Затвории след това щракнете върху напред два пъти.

  23. Щракнете върху Готовои след това щракнете върху Приложи.

ISA Server 2004, Enterprise Edition

За ISA Server 2004, Enterprise Edition за участие в процеса на откриване на ICMP MTU, създайте протокола ICMP нивото на предприятие и след това да създадете правило за достъп на ICMP MTU нивото на масива.

Създаване на протокола ICMP нивото на предприятие

  1. Щракнете върху Старт, посочете програми, посочете Microsoft ISA Serverи след това щракнете върху Управление на ISA Server.

  2. В левия панел разгънете Enterpriseи щракнете върху Корпоративните правила.

  3. В прозореца на задачите щракнете върху раздела инструменти и щракнете върху протоколи.

  4. Под протоколищракнете върху Създайи щракнете върху протокол.

  5. В полето за име на протокола дефиниция въведете ICMP MTU откриванеи след това щракнете върху напред.

  6. Щракнете върху ново, след което натиснете ICMP в списъка тип на протокола .

  7. Въведете 4 в полето на ICMP код , въведете 3 в полето на ICMP тип и след това щракнете върху OK.

  8. Щракнете върху напред, щракнете върху Готовои след това щракнете върху Приложи.

    Забележка: Правило за достъп на предприятие не се създават потребителски ICMP протоколи за, когато използвате съветника за създаване на правило.

За повече информация как да използвате потребителски ICMP протоколи в ISA Server 2004, Enterprise Edition правила, щракнете върху следния номер на статия в базата знания на Microsoft:

902348 потребителски ICMP протоколи не се показват в съветника за нова достъп правило в ISA Server 2004 Enterprise Edition

Как ръчно да създадете правило за достъп на ICMP MTU, ако имате един масив в мрежата

  1. Щракнете върху Старт, посочете програми, посочете Microsoft ISA Serverи след това щракнете върху Управление на ISA Server.

  2. В левия панел разгънете масивии след това ArrayName.

  3. С десния бутон върху Правилата на защитната стена, щракнете върху Създайи щракнете върху Правило за достъп.

  4. В полето правило за достъп въведете Позволява ICMP MTU откриванеи след това щракнете върху напред.

  5. Щракнете върху Разрешии след това щракнете върху напред.

  6. Това правила важи за списъка щракнете върху избрани протоколии натиснете Добави.

  7. В списъка с протоколи разгънете Дефинирани от потребителя.

  8. Щракнете върху ICMP MTU откриване, щракнете върху Добавяне, щракнете върху Затвории натиснете Next.

  9. Щракнете върху Добавяне.

  10. В списъка с мрежови обекти разгънете мрежи.

  11. Щракнете върху външнии след това щракнете върху Добави.

  12. Върху вътрешно, щракнете върху Добавяне, щракнете върху Затвории щракнете върху напред.

  13. Щракнете върху Добавяне.

  14. В списъка с мрежови обекти разгънете мрежи.

  15. Върху Местното, щракнете върху Добавяне, щракнете върху Затвории след това щракнете върху напред два пъти.

  16. Щракнете върху Готовои след това щракнете върху Приложи.

Как да създадете правило за достъп на ICMP MTU ако имате няколко членове на масив в мрежата

Метод 1

  1. Ръчно да създадете правило за достъп на ICMP MTU на първият масив. За целта изпълнете стъпките, описани за създаване на правило за достъп за един масив.

  2. Копиране на правило за достъп на ICMP MTU. За да направите това, изпълнете следните стъпки:

    1. Щракнете върху Старт, посочете програми, посочете Microsoft ISA Serverи след това щракнете върху Управление на ISA Server.

    2. В левия панел разгънете масивии след това ArrayName.
      ArrayName е първият масив, за които сте създали правило за достъп на ICMP MTU.

    3. Щракнете върху Правилата на защитната стена, щракнете с десния бутон Позволява ICMP MTU откриване правило в Защитната стена правилатаи щракнете върху Копирай.

  3. Поставете правило за достъп на ICMP MTU във всеки масив. За да направите това, изпълнете следните стъпки:

    1. В ISA Server управление Microsoft Management Console (MMC), разгънете масив, където искате да поставите ICMP MTU правило за достъп и щракнете върху Правилата на защитната стена.

    2. В прозореца на центъра с десния бутон върху масива правилото, която искате да следват незабавно ICMP MTU правило за достъп и щракнете върху постави.

      Забележка: Ако няма правила за масив, трябва да създадете нов набор правилото преди да можете да поставите правило за достъп на ICMP MTU в правилата на масива.

    3. Щракнете върху Приложи.

  4. Повторете стъпките от 3а до 3c, докато копирате ICMP MTU правило за достъп за всички членове на масива.

Метод 2

  1. Ръчно да създадете правило за достъп на ICMP MTU на първият масив. За целта изпълнете стъпките, описани за създаване на правило за достъп до ICMP MTU за един масив.

  2. Експортиране на правило за достъп на ICMP MTU. За да направите това, изпълнете следните стъпки:

    1. В ISA Server за управление на MMC разгънете масива, за които сте създали правило за достъп на ICMP MTU и щракнете върху Правилата на защитната стена.

    2. Щракнете върху Разреши ICMP MTU откриване правило в Защитната стена правилатаи след това щракнете върху Експортиране на избран.

    3. В съветника за експортиране щракнете върху напред.

    4. Предпочитания за експортиране на страницата щракнете върху напред.

    5. Експортиране на местоположението на файла на страницата щракнете върху Преглед.

    6. Изберете мястото, където можете ще експортирате правило за откриване на ICMP MTU, въведете MtuDiscoveryRule в полето за име на файл и щракнете върху Отвори.

    7. Щракнете върху напред, след което натиснете Готово да излезете от съветника.

    8. Когато индикаторът за зареждане се показва съобщение, че конфигурацията е експортирани успешно, щракнете върху OK .

  3. Импортиране на правило за достъп на ICMP MTU във всеки масив. За да направите това, изпълнете следните стъпки:

    1. В ISA Server управление на MMC разгънете масив, който искате да импортирате ICMP MTU правило за достъп и щракнете с десния бутон върху Правилата на защитната стена.

    2. Щракнете върху Импортиране.

    3. В съветника за импортиране щракнете върху напред.

    4. Щракнете върху Прегледи намерете папката, където сте записали файла MtuDiscoveryRule в стъпка 2Е.

    5. Щракнете върху файла MtuDiscoveryRule и натиснете Отвори.

    6. Щракнете върху напред два пъти.

    7. Щракнете върху Готово.

    8. Когато индикаторът за зареждане се показва съобщение, че конфигурацията е импортиран успешно, щракнете върху OK .

    9. Щракнете върху Приложи.

Препратки

За повече информация относно PMTU откриване на настройките на системния регистър на Microsoft Windows 2000 щракнете върху следния номер на статия в базата знания на Microsoft:

315669 как да се втвърдят на TCP/IP стека срещу отказ на услуга атаки в Windows 2000


За повече информация относно PMTU откриване на настройките на системния регистър на Microsoft Windows Server 2003 щракнете върху следния номер на статия в базата знания на Microsoft:

324270 как да се втвърдят на TCP/IP стека срещу отказ на услуга атаки в Windows Server 2003

Facebook LinkedIn Имейл

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×