Využití procesoru může být větší než 50%, pokud počítač se serverem ISA Server 2004 pracuje za těžkých podmínek zatížení


Důležité Tento článek obsahuje informace o úpravách registru. Před úpravami je nutné registr zálohovat. Ujistěte se, že víte, jak registr obnovit v případě, že dojde k potížím. Další informace o zálohování, obnovení a úpravách registru získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky


Pokud počítač se systémem Microsoft Internet Security and Acceleration Server (ISA) 2004 pracuje za vysokých podmínek zatížení, může se vyskytnout velké využití procesoru. Například využití procesoru v počítači se serverem ISA Server může být větší než 50%.

Příčina


K tomuto chování může dojít z důvodu nastavení jednotky MTU (Maximum Transmission Unit) protokolu TCP/IP, která je použita během instalace serveru ISA Server. Chcete-li útočníkovi zabránit v změně hodnoty jednotky MTU, zakáže ISA Server 2004 zjišťování cesty MTU (PMTU). Toto nastavení je dokumentováno v bulletinu zabezpečení společnosti Microsoft MS05-019. Chcete-li se podívat na tento bulletin, navštivte následující web společnosti Microsoft:Poznámky:
  • Ve výchozím nastavení používá systém Windows nastavení jednotky MTU 1 480 bajtů a přijímá zprávy protokolu ICMP (Internet Control Message Protocol), které požadují menší velikosti paketů.
  • Pokud je zjišťování jednotky MTU na serveru se systémem Windows zakázáno, používá server nastavení jednotky MTU 576 bajtů.

Řešení


Varovná Pokud nesprávně upravíte registr pomocí Editoru registru nebo pomocí jiné metody, může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Registr upravíte na vlastní nebezpečí. Chcete-li vyřešit chování způsobené nastavením jednotky MTU, které je nakonfigurováno při instalaci serveru ISA, postupujte takto. Důležité Tuto změnu registru je třeba provést, pokud jste nainstalovali aktualizaci Windows Server 2003 Service Pack 1 (SP1) nebo opravu hotfix popsanou v následujícím článku znalostní báze Microsoft Knowledge Base:
898060 připojení sítě mezi klienty a servery může selhat po instalaci aktualizace zabezpečení MS05-019 nebo systému Windows Server 2003 Service Pack 1
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj pravým tlačítkem:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Typ hodnoty: REG_DWORDValue: 0, 1 (NEPRAVDA, pravda) výchozí hodnota serveru ISA: 0 (NEPRAVDA)Poznámka: Pokud je položka EnablePMTUDiscovery nedostupná, vytvořte ji.
  3. V případě potřeby nastavte nebo změňte hodnotu podle následujících informací:
    • Hodnota = 1 Při nastavení funkce EnablePMTUDiscovery na hodnotu 1 se protokol TCP pokusí zjistit buď jednotku MTU, nebo největší velikost paketu v cestě vzdáleného hostitele. Protokol TCP může odstranit fragmentaci na směrovačích v cestě spojující sítě, které používají různé MTU. Protokol TCP to umožňuje zjištěním jednotky MTU cesty a omezením segmentů TCP na tuto velikost. Fragmentace nepříznivě ovlivňuje propustnost protokolu TCP.
    • Hodnota = 0 Nastavíte-li parametr EnablePMTUDiscovery na hodnotu 0, bude pro všechna připojení, která nesouvisejí s hostiteli v místní podsíti, použita jednotka MTU o velikosti 576 bajtů. Pokud tuto hodnotu nenastavíte na hodnotu 0, může útočník vynutit, aby hodnota jednotky MTU byla velmi malá a přepracovala zásobník. Poznámky
      • Nastavíte-li hodnotu EnablePMTUDiscovery na hodnotu 0, bude ovlivněn výkon protokolu TCP/IP a propustnost. Před nastavením této hodnoty na hodnotu 0 si musíte být plně vědomi propustnosti výkonu.
      • Při instalaci produktu ISA Server 2004 nebo ISA Server 2004 Service Pack 1 se tato hodnota také resetuje na 0.
      • ISA Server 2004 Service Pack 2 nezmění hodnotu funkce EnablePMTUDiscovery.
  4. Chcete-li se zúčastnit procesu zjišťování, vytvořte pro ISA Server pravidlo pro přístup k protokolu MTU ICMP. Postupujte podle kroků popsaných v následujících částech v závislosti na konfiguraci.
  5. Ukončete program Editor registru a restartujte počítač.

ISA Server 2004, Standard Edition

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft ISA Servera potom klepněte na možnost Správa serveru ISA.
  2. V levém podokně rozbalte položku arrayNamea potom klepněte na tlačítko zásady brány firewall.
  3. V podokně úloh klepněte na kartu panelu nástrojů a pak klepněte na tlačítko protokoly.
  4. V části protokolyklikněte na tlačítko Novýa potom na příkaz protokol.
  5. Do pole název definice protokolu zadejte hodnotu jednotky MTU protokolu ICMPa klepněte na tlačítko Další.
  6. Klepněte na tlačítko Novýa v seznamu typ protokolu klepněte na položku ICMP .
  7. V seznamu směr klepněte na tlačítko Odeslat příjem.
  8. Do pole kód ICMP zadejte číslo4 , do pole typ ICMP zadejte text 3 a klepněte na tlačítko OK.
  9. Klikněte na tlačítko Další, klikněte na tlačítko Dokončita poté klikněte na tlačítko použít.
  10. V levém podokně klepněte pravým tlačítkem myši na položku zásady brány firewall, klepněte na příkaz Novýa potom klepněte na příkaz přístupové pravidlo.
  11. Do pole název pravidla pro přístup zadejte text Povolení jednotky MTU protokolu ICMPa klepněte na tlačítko Další.
  12. Klepněte na tlačítko Povolita potom na tlačítko Další.
  13. V seznamu Tato pravidla platí pro seznam, klepněte na vybrané protokolya potom na tlačítko Přidat.
  14. V seznamu protokoly rozbalte položku definované uživatelem.
  15. Klepněte na možnost zjišťování jednotky MTU protokolu ICMP, klepněte na tlačítko Přidat, klepněte na tlačítko Zavříta potom na tlačítko Další.
  16. Klepněte na tlačítko Přidat.
  17. V seznamu síťových entit rozbalte položku sítě.
  18. Klepněte na externía pak klepněte na Přidat.
  19. Klepněte na interní, klepněte na Přidat, klepněte na Zavříta pak klepněte na Další.
  20. Klepněte na tlačítko Přidat.
  21. V seznamu síťových entit rozbalte položku sítě.
  22. Klepněte na položku místní hostitel, klepněte na tlačítko Přidat, klepněte na tlačítko Zavříta poté dvakrát klepněte na tlačítko Další .
  23. Klepněte na tlačítko Dokončita potom na tlačítko použít.

ISA Server 2004, Enterprise Edition

V případě produktu ISA Server 2004 Enterprise Edition, který se podílí na procesu zjišťování jednotky MTU protokolu ICMP, vytvořte protokol ICMP na úrovni rozlehlé sítě a potom vytvořte pravidlo přístupu k jednotky MTU protokolu ICMP na úrovni pole.

Vytvoření protokolu ICMP na úrovni rozlehlé sítě

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft ISA Servera potom klepněte na možnost Správa serveru ISA.
  2. V levém podokně rozbalte položku organizacea klepněte na položku Zásady rozlehlé sítě.
  3. V podokně úloh klepněte na kartu panelu nástrojů a pak klepněte na tlačítko protokoly.
  4. V části protokolyklikněte na tlačítko Novýa potom na příkaz protokol.
  5. Do pole název definice protokolu zadejte hodnotu jednotky MTU protokolu ICMPa klepněte na tlačítko Další.
  6. Klepněte na tlačítko Novýa v seznamu typ protokolu klepněte na položku ICMP .
  7. Do pole kód ICMP zadejte číslo4 , do pole typ ICMP zadejte text 3 a klepněte na tlačítko OK.
  8. Klikněte na tlačítko Další, klikněte na tlačítko Dokončita poté klikněte na tlačítko použít. Poznámka: Pravidlo pro přístup k rozlehlé síti nelze vytvořit pro protokoly ICMP definované uživatelem při použití Průvodce vytvořením pravidla.
Další informace o použití uživatelsky definovaných protokolů ICMP v zásadách ISA Server 2004, Enterprise Edition získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
902348 v Průvodci novým pravidlem přístupu nejsou v serveru ISA Server 2004 Enterprise Edition zobrazeny uživatelem definované protokoly ICMP

Ruční vytvoření pravidla pro přístup k MTU protokolu ICMP, pokud je v síti jediné pole

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft ISA Servera potom klepněte na možnost Správa serveru ISA.
  2. V levém podokně rozbalte polea pak rozbalte položku arrayName.
  3. Klepněte pravým tlačítkem myši na položku zásady brány firewall, klepněte na příkaz Novýa potom klepněte na příkaz přístupové pravidlo.
  4. Do pole název pravidla pro přístup zadejte text Povolení jednotky MTU protokolu ICMPa klepněte na tlačítko Další.
  5. Klepněte na tlačítko Povolita potom na tlačítko Další.
  6. V seznamu Tato pravidla platí pro seznam, klepněte na vybrané protokolya potom na tlačítko Přidat.
  7. V seznamu protokoly rozbalte položku definované uživatelem.
  8. Klepněte na možnost zjišťování jednotky MTU protokolu ICMP, klepněte na tlačítko Přidat, klepněte na tlačítko Zavříta potom na tlačítko Další.
  9. Klepněte na tlačítko Přidat.
  10. V seznamu síťových entit rozbalte položku sítě.
  11. Klepněte na externía pak klepněte na Přidat.
  12. Klepněte na interní, klepněte na Přidat, klepněte na Zavříta pak klepněte na Další.
  13. Klepněte na tlačítko Přidat.
  14. V seznamu síťových entit rozbalte položku sítě.
  15. Klepněte na položku místní hostitel, klepněte na tlačítko Přidat, klepněte na tlačítko Zavříta poté dvakrát klepněte na tlačítko Další .
  16. Klepněte na tlačítko Dokončita potom na tlačítko použít.

Vytvoření pravidla pro přístup k MTU protokolu ICMP, pokud je v síti více členů pole

Metoda č. 1

  1. Ručně vytvořte pravidlo přístupu k jednotky MTU protokolu ICMP na prvním poli. Chcete-li to provést, postupujte podle kroků popsaných při vytvoření pravidla přístupu pro jedno pole.
  2. Zkopírujte přístupové pravidlo jednotky MTU ICMP. Postupujte podle následujících kroků:
    1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Microsoft ISA Servera potom klepněte na možnost Správa serveru ISA.
    2. V levém podokně rozbalte polea pak rozbalte položku arrayName. ArrayName je první pole, pro které jste vytvořili pravidlo pro přístup k protokolu MTU ICMP.
    3. Klepněte na tlačítko zásady brány firewall, klepněte pravým tlačítkem myši na možnost Povolit pravidlo pro zjišťování jednotky MTU ICMP v části pravidla zásad brány firewalla klepněte na tlačítko Kopírovat.
  3. Vložte přístupové pravidlo MTU ICMP do každého pole. Postupujte podle následujících kroků:
    1. V konzole Microsoft Management Console (MMC) správy serveru ISA rozbalte pole, do kterého chcete vložit pravidlo pro přístup k protokolu MTU ICMP, a klepněte na tlačítko zásady brány firewall.
    2. V prostředním podokně klepněte pravým tlačítkem myši na pravidlo zásad pole, které chcete bezprostředně následovat za pravidlem pro přístup k protokolu MTU ICMP, a pak klepněte na příkaz Vložit. Poznámka: Pokud neexistují žádná pravidla zásad, je nutné před vložením pravidla pro přístup jednotky MTU protokolu ICMP do zásady pole vytvořit nové pravidlo pro zásady pole.
    3. Klepněte na tlačítko použít.
  4. Opakujte kroky 3a až 3C, dokud nezkopírujete pravidlo přístupu k jednotky MTU protokolu ICMP pro všechny členy pole.

Metoda č. 2

  1. Ručně vytvořte pravidlo přístupu k jednotky MTU protokolu ICMP na prvním poli. Chcete-li to provést, postupujte podle kroků popsaných při vytvoření pravidla pro přístup k jednotky MTU protokolu ICMP pro jedno pole.
  2. Exportujte přístupové pravidlo jednotky MTU protokolu ICMP. Postupujte podle následujících kroků:
    1. V konzole MMC pro správu serveru ISA rozbalte pole, pro které jste vytvořili pravidlo pro přístup k protokolu MTU ICMP, a klepněte na tlačítko zásady brány firewall.
    2. Klepněte pravým tlačítkem myši na možnost Povolit pravidlo pro zjišťování jednotky MTU ICMP v části pravidla zásad brány firewalla potom klepněte na příkaz Exportovat vybrané.
    3. V průvodci exportem klepněte na tlačítko Další.
    4. Na stránce předvolby exportu klepněte na tlačítko Další.
    5. Na stránce umístění exportovaného souboru klepněte na tlačítko Procházet.
    6. Vyberte umístění, do kterého exportujete pravidlo jednotky MTU protokolu ICMP, zadejte do pole název souboruMtuDiscoveryRule a klepněte na tlačítko otevřít.
    7. Klepněte na tlačítko Dalšía potom klepnutím na tlačítko Dokončit ukončete průvodce.
    8. Klepněte na tlačítko OK , Jakmile indikátor průběhu zobrazí zprávu, že konfigurace byla úspěšně exportována.
  3. Importujte pravidlo přístupu MTU ICMP do každého pole. Postupujte podle následujících kroků:
    1. V konzole MMC pro správu serveru ISA rozbalte pole, do kterého chcete importovat pravidlo pro přístup k MTU protokolu ICMP, a potom klepněte pravým tlačítkem myši na příkaz zásady brány firewall.
    2. Klepněte na tlačítko importovat.
    3. V Průvodci importem klepněte na tlačítko Další.
    4. Klepněte na tlačítko Procházeta vyhledejte složku, do které jste uložili soubor MtuDiscoveryRule v kroku 2f.
    5. Klepněte na soubor MtuDiscoveryRule a pak klepněte na tlačítko otevřít.
    6. Klepněte dvakrát na tlačítko Další .
    7. Klikněte na tlačítko Dokončit.
    8. Klepněte na tlačítko OK , Jakmile indikátor průběhu zobrazí zprávu, že konfigurace byla úspěšně importována.
    9. Klepněte na tlačítko použít.

Odkazy


Další informace o nastavení registru pro zjišťování PMTU v systému Microsoft Windows 2000 získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
315669 jak v systému Windows 2000 ztvrdit zásobník protokolu TCP/IP proti útokům odepření služby
Další informace o nastavení registru pro zjišťování PMTU v systému Microsoft Windows Server 2003 získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
324270 jak zajistit připojení zásobníku protokolu TCP/IP k útokům odepření služby v systému Windows Server 2003