Doporučené nastavení TCP/IP pro sítě WAN s velikostí jednotky MTU menší než 576

Souhrn

Aktualizace zabezpečení MS05-019 mění způsob operační systém ověřuje požadavky zprávy protokolu ICMP (Internet Control). Tato aktualizace zabezpečení Zabraňuje útoku založenému na protokolu ICMP. Za zvláštních okolností však může tato aktualizace zabezpečení způsobit počítače ztratí připojení k síti. Tento článek popisuje tři metody, které můžete použít, chcete-li zabránit ztrátě připojení k síti po instalaci aktualizace zabezpečení MS05-019 do počítače.

Úvod

Tento článek popisuje doporučené nastavení TCP/IP pro rozsáhlé sítě (WAN) propojení s největší přenosovou jednotku (MTU) velikost menší než 576.

Další informace

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Aktualizace zabezpečení MS05-019 mění způsob operační systém ověřuje požadavky zprávy protokolu ICMP (Internet Control). Tato aktualizace zabezpečení omezuje nejmenší velikost jednotky MTU na 576 bajtů. Velikost jednotky MTU je omezena zabránit útoku založenému na protokolu ICMP. Útok na základě protokolu ICMP mohou snížit velikost jednotky MTU na velmi nízkou hodnotu. Velmi malá velikost jednotky MTU může způsobit závažný pokles výkonu.

Velikost jednotky MTU, která je omezena na 576 bajtů však může ovlivnit některé WAN scénářů, například satelitní propojení. V těchto scénářích použití sítí WAN může být velikost jednotky MTU menší než 576. V těchto scénářích použití sítí WAN, může dojít ke ztrátě připojení k síti. Chcete-li zjistit, zda dochází k scénářů analýzou trasování v síti můžete použít nástroje, například program Sledování sítě. Pokud všechny zprávy protokolu ICMP cíl nedostupný s další směrování hodnota jednotky MTU menší než 576 cíle, ke kterým dojde ke ztrátě připojení k síti, dochází k takových situací.



Za těchto zvláštních okolností zvažte, pomocí jedné z následujících doporučení.

Poznámka: Pokud žádný ze scénářů netýká, neměli byste používat následující doporučení. Následující doporučení mohou snížit propustnost sítě.

Metoda 1: Povolení rozpoznávání černých děr jednotky maximální přenos na cesty (PMTU)

Pokud povolíte funkci rozpoznávání černých děr jednotky maximální přenos na cesty (PMTU), protokol TCP se pokusí odeslat segmenty, které nemají s nastaveným bitem Nefragmentovat. TCP se pokusí odeslat tyto segmenty, je-li několik opakovaných přenosů segmentu nepotvrzeno. Pokud je segment potvrzen, bude maximální velikost segmentu (MSS) snížena a bit Nefragmentovat bude v příštích paketech připojení nastaven.



Tato metoda je upřednostňována, protože velikost paketu je snížena pouze u problematického segmentu. Rozpoznávání černých děr zvyšuje maximální počet opakovaných přenosů určitého segmentu.

Chcete-li povolit rozpoznávání černých děr PMTU, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Zadejte EnablePMTUBHDetecta pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte 1 a klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte počítač.

Metoda 2: Zakázat zjišťování hodnoty PMTU

Jestliže zakážete zjišťování hodnoty PMTU, TCP odešle pakety, které mají velikost jednotky MTU 576 a nemají sadu Nefragmentovat. To umožňuje směrovači paket fragmentovat a odeslat paket do sítí.



Tato metoda ovlivní pakety odeslané do všech cílů. Ve většině případů, na přijatelných úrovních velikost paketu 576 bude výkon. Bude však nižší, než-li byla povolena funkce zjišťování hodnoty PMTU a cesta by podporovala velikost jednotky MTU větší než 576.


Chcete-li zakázat zjišťování hodnoty PMTU, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Zadejte EnablePMTUDiscoverya pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz změnit.
  6. V poli Údaj hodnoty zadejte hodnotu 0a klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte počítač.

Metoda 3: Ruční nastavení velikosti jednotky MTU pro síťové rozhraní

Pokud je velikost jednotky MTU pro síťové rozhraní nastavena ručně, bude toto nastavení přepíše výchozí velikost jednotky MTU pro síťové rozhraní. Velikost jednotky MTU je maximální velikost paketu v bajtech, které bude přenesen prostřednictvím základní sítě.



Tato metoda ovlivní pakety odeslané do všech cílů a může výrazně ovlivnit výkon, v závislosti na nastavené velikosti jednotky MTU.


Chcete-li nastavit velikost jednotky MTU pro síťové rozhraní, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ < ID pro síťové rozhraní >
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Zadejte velikost jednotky MTUa potom stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz změnit.
  6. V poli Údaj hodnoty zadejte hodnotu pro velikost jednotky MTU a potom klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte počítač.

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

898060 síťové připojení mezi klienty a servery může selhat po instalaci aktualizace zabezpečení MS05-019 nebo aktualizace Windows Server 2003 Service Pack 1


Další informace o protokolu TCP/IP naleznete na následujícím webu Microsoft TechNet společnosti:
Vlastnosti

ID článku: 900926 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor