Doporučené nastavení protokolu TCP/IP pro linky WAN s velikostí MTU menší než 576

Platí pro
Microsoft Windows XP Professional Microsoft Windows XP Home Edition Microsoft Windows XP Tablet PC Edition

Shrnutí

Aktualizace zabezpečení MS05-019 upravuje způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení zabraňuje útoku založenému na protokolu ICMP. Za zvláštních okolností však může tato aktualizace zabezpečení způsobit ztrátu připojení počítače k síti. Tento článek popisuje tři metody, které můžete použít k zabránění ztráty připojení počítače k síti při instalaci aktualizace zabezpečení MS05-019.

Úvod

Tento článek popisuje doporučené nastavení protokolu TCP/IP pro propojení WAN (Wide Area Network) s maximální přenosovou jednotkou (MTU) menší než 576.

Další informace

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Pokud byste ale registr upravili nesprávně, mohlo by dojít k vážným problémům. Provádějte proto tento postup pečlivě. Před úpravami registru vytvořte pro zvýšení ochrany zálohu registru. V případě problému pak můžete registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze znalostní báze Microsoft Knowledge Base:

322756 Postup zálohování a obnovení registru v systému Windows

Aktualizace zabezpečení MS05-019 upravuje způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení omezuje nejmenší velikost MTU na 576 bajtů. Velikost MTU je omezena, aby se zabránilo útoku založenému na protokolu ICMP. Útok založený na protokolu ICMP by mohl snížit velikost MTU na velmi nízkou hodnotu. Velmi nízká velikost MTU může způsobit závažné snížení výkonu.

Velikost MTU, která je omezená na 576 bajtů, však může mít vliv na určité scénáře sítí WAN, jako jsou satelitní spojení. V těchto scénářích WAN může být velikost MTU menší než 576. V těchto scénářích WAN může dojít ke ztrátě připojení k síti. Pomocí nástrojů, jako je Sledování sítě, můžete pomocí analýzy trasování sítě zjistit, zda dochází k takovým scénářům. Pokud cíle, ke kterým došlo ke ztrátě síťového připojení, mají některou zprávu o nedosažitelnosti cíle ICMP s hodnotou MTU dalšího skoku menší než 576, dochází k takovým scénářům.

Za těchto zvláštních okolností zvažte použití jednoho z následujících doporučení.

Poznámka: Následující doporučení byste neměli používat, pokud se nesetkáte s jedním z těchto scénářů. Následující doporučení můžou snížit propustnost sítě.

Metoda 1: Povolení detekce černých děr v jednotce PMTU (Path Maximum Transfer Unit)

Pokud povolíte funkci detekce černých děr PMTU (Path Maximum Transfer Unit), pokusí se protokol TCP odeslat segmenty, které nemají nastavený bit Nefragmentovat. TCP se pokusí tyto segmenty odeslat, pokud několik opakovaných přenosů segmentu zůstane nepotvrzeno. Pokud je segment potvrzován, bude maximální velikost segmentu (MSS) snížena a v budoucích paketech v připojení bude nastaven bit Nefragmentovat.

Tato metoda je upřednostňována, protože velikost paketů je snížena pouze pro problematický segment. Detekce černých děr zvyšuje maximální počet opakovaných přenosů pro určitý segment.

Chcete-li povolit detekci černých děr PMTU, postupujte takto:

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz regedit a klikněte na tlačítko OK.

  2. Vyhledejte v registru následující klíč:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. V nabídce Upravit přejděte na Nový a klikněte na Hodnota DWORD.

  4. Zadejte EnablePMTUBHDetect a stiskněte klávesu ENTER.

  5. V nabídce Úpravy klikněte na Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.

  7. Ukončete Editor registru a restartujte počítač.

Metoda 2: Zakázání zjišťování PMTU

Pokud zjišťování PMTU zakážete, protokol TCP odešle pouze pakety, které mají velikost MTU 576 a které nemají nastavenou možnost Nefragmentovat. To umožňuje směrovačům fragmentovat paket a odesílat jej napříč sítěmi.

Tato metoda ovlivňuje pakety odesílané do všech cílů. Většinu času bude výkon na přijatelné úrovni s velikostí paketu 576. Výkon ale bude nižší, než kdyby bylo povolené zjišťování PMTU a cesta podporovala velikost MTU větší než 576.

Chcete-li zjišťování PMTU zakázat, postupujte takto:

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz regedit a klikněte na tlačítko OK.

  2. Vyhledejte v registru následující klíč:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. V nabídce Upravit přejděte na Nový a klikněte na Hodnota DWORD.

  4. Zadejte EnablePMTUDiscovery a stiskněte klávesu ENTER.

  5. V nabídce Úpravy klikněte na Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu 0 a klikněte na tlačítko OK.

  7. Ukončete Editor registru a restartujte počítač.

Metoda 3: Ruční nastavení velikosti MTU pro síťové rozhraní

Pokud velikost MTU síťového rozhraní nastavíte ručně, toto nastavení přepíše výchozí MTU síťového rozhraní. Velikost MTU je maximální velikost paketu v bajtech, kterou bude přenos přenášet v podkladové síti.

Tato metoda ovlivňuje pakety odesílané do všech cílů a může významně ovlivnit výkon v závislosti na nastavené velikosti jednotky MTU.

Chcete-li nastavit velikost MTU síťového rozhraní, postupujte takto:

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz regedit a klikněte na tlačítko OK.

  2. Vyhledejte v registru následující klíč:

    <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID síťového rozhraní>

  3. V nabídce Upravit přejděte na Nový a klikněte na Hodnota DWORD.

  4. Zadejte MTU a stiskněte ENTER.

  5. V nabídce Úpravy klikněte na Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu velikosti MTU a klikněte na tlačítko OK.

  7. Ukončete Editor registru a restartujte počítač.

Reference

Další informace naleznete v následujícím článku znalostní báze znalostní báze Microsoft Knowledge Base:

898060 Po instalaci aktualizace zabezpečení MS05-019 nebo aktualizace Windows Server 2003 Service Pack 1 může dojít k selhání síťového připojení mezi klienty a servery

Další informace o protokolu TCP/IP naleznete na následujícím webu Microsoft TechNet:

Přehled sítí a protokolu TCP/IP
http://technet.microsoft.com/en-us/library/cc739443(WS.10).aspx