Doporučené nastavení TCP/IP pro sítě WAN s velikostí jednotky MTU menší než 576

Souhrn

Aktualizace zabezpečení MS05-019 mění způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení chrání před útokem provedeným pomocí protokolu ICMP. Za zvláštních okolností však může tato aktualizace zabezpečení způsobit ztrátu připojení počítače k síti. Tento článek popisuje tři metody, které můžete použít, abyste zabránili ztrátě připojení počítače k síti po instalaci aktualizace zabezpečení MS05-019.

Úvod

Tento článek popisuje doporučené nastavení TCP/IP pro propojení sítí WAN (Wide Area Network) s velikostí jednotky MTU (Maximum Transmission Unit) menší než 576.

Další informace

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003

Aktualizace zabezpečení MS05-019 mění způsob, jakým operační systém ověřuje požadavky protokolu ICMP (Internet Control Message Protocol). Tato aktualizace zabezpečení omezuje nejmenší velikost jednotky MTU na 576 bajtů. Omezením velikosti jednotky MTU lze zabránit útoku založenému na protokolu ICMP. Útok provedený pomocí protokolu ICMP může zmenšit velikost jednotky MTU na velmi nízkou hodnotu. Velmi malá velikost jednotky MTU může způsobit závažný pokles výkonu.

Velikost jednotky MTU, která je omezena na 576 bajtů, však může ovlivnit určité scénáře použití sítí WAN, například satelitní propojení. V takových scénářích použití sítí WAN může být velikost jednotky MTU menší než 576 a může dojít ke ztrátě síťového připojení. Pomocí nástrojů, jako je Sledování sítě, můžete analyzovat trasování v síti a zjistit, zda se vás tato situace týká. Uvedená situace se na vás bude vztahovat, jestliže je u cílů, k nimž je ztraceno síťové připojení, zobrazena zpráva protokolu ICMP o nedosažitelnosti cíle s hodnotou MTU dalšího směrování menší než 576.



Za těchto zvláštních okolností je vhodné zvážit použití jednoho z následujících doporučení.

Poznámka: Pokud se vás žádný ze scénářů netýká, následující doporučení nepoužívejte. Následující doporučení mohou snížit propustnost sítě.

Metoda 1: Povolení rozpoznávání černých děr PMTU (Path Maximum Transfer Unit)

Pokud povolíte funkci rozpoznávání černých děr PMTU (Path Maximum Transfer Unit), pokusí se protokol TCP o odesílání segmentů bez nastaveného bitu Nefragmentovat. Protokol TCP se tyto segmenty pokusí odeslat, jestliže zůstane několik opakovaných přenosů segmentu nepotvrzeno. Je-li segment potvrzen, bude maximální velikost segmentu (MSS) snížena a bit Nefragmentovat bude v příštích paketech v daném připojení nastaven.



Tato metoda je upřednostňována, protože velikost paketu je snížena pouze u problematického segmentu. Rozpoznávání černých děr zvýší maximální počet opakovaných přenosů určitého segmentu.

Chcete-li povolit rozpoznávání černých děr PMTU, použijte následující postup:

  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.

  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.

  4. Zadejte EnablePMTUBHDetect a pak stiskněte klávesu ENTER.

  5. V nabídce Úpravy klepněte na příkaz Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.

  7. Ukončete program Editor registru a restartujte počítač.

Metoda 2: Zakázání zjišťování hodnoty PMTU

Jestliže zakážete zjišťování hodnoty PMTU, bude protokol TCP odesílat pouze pakety, které mají velikost jednotky MTU 576 a nemají nastaven bit Nefragmentovat. Směrovače tak mohou paket fragmentovat a odeslat jej do sítí.



Tato metoda ovlivní pakety odeslané do všech cílů. Při velikosti paketu 576 bude výkon po většinu času na přijatelných úrovních. Bude však nižší, než by byl v případě, že by byla povolená funkce zjišťování hodnoty PMTU a cesta by podporovala velikost jednotky MTU větší než 576.


Chcete-li zakázat zjišťování hodnoty PMTU, postupujte následujícím způsobem:

  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.

  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.

  4. Zadejte EnablePMTUDiscovery a pak stiskněte klávesu ENTER.

  5. V nabídce Úpravy klepněte na příkaz Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu 0 a klepněte na tlačítko OK.

  7. Ukončete program Editor registru a restartujte počítač.

Metoda 3: Ruční nastavení velikosti jednotky MTU pro síťové rozhraní

Jestliže je velikost jednotky MTU pro síťové rozhraní nastavena ručně, bude tímto nastavením přepsána výchozí hodnota MTU síťového rozhraní. Velikost jednotky MTU je maximální velikost paketu (v bajtech), který bude přenesen prostřednictvím základní sítě.



Tato metoda ovlivní pakety odeslané do všech cílů a v závislosti na nastavené velikosti jednotky MTU může mít významný vliv na výkon.


Chcete-li nastavit velikost jednotky MTU pro síťové rozhraní, použijte následující postup:

  1. V nabídce Start klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.

  2. Vyhledejte následující klíč registru:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>

  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.

  4. Zadejte MTU a pak stiskněte klávesu ENTER.

  5. V nabídce Úpravy klepněte na příkaz Změnit.

  6. Do pole Údaj hodnoty zadejte hodnotu pro velikost jednotky MTU a pak klepněte na tlačítko OK.

  7. Ukončete program Editor registru a restartujte počítač.

Odkazy

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

898060 Po instalaci aktualizace zabezpečení MS05-019 nebo aktualizace Windows Server 2003 Service Pack 1 může dojít k selhání síťového připojení mezi klienty a servery
Další informace o protokolu TCP/IP naleznete na následujícím webu Microsoft TechNet:

Overview of networking and TCP/IP (Přehled sítí a protokolu TCP/IP)
http://technet2.microsoft.com/windowsserver/cs/library/be2b68c1-a279-417b-976a-16601b98447a1029.mspx?mfr=true

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×