El uso de la CPU puede ser superior al 50 por ciento cuando un equipo ISA Server 2004 está funcionando en condiciones de carga pesada


Importante Este artículo contiene información sobre cómo modificar el registro. Asegúrese de hacer una copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar copias de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Descripción del Registro de Microsoft Windows

Síntomas


Cuando un equipo basado en Microsoft Internet Security and Acceleration Server (ISA) 2004 funciona en condiciones de carga pesada, es posible que experimente un uso elevado de la CPU. Por ejemplo, el uso de CPU en el equipo del servidor ISA puede ser superior al 50 por ciento.

Causa


Este comportamiento puede producirse debido a la configuración de la unidad de transmisión máxima (MTU) TCP/IP que se aplica durante la instalación del servidor ISA. Para evitar que un atacante cambie el valor de MTU, ISA Server 2004 deshabilita la detección de MTU de ruta de acceso (PMTU). Esta configuración se documenta en el boletín de seguridad de Microsoft MS05-019. Para ver este boletín, visite el siguiente sitio Web de Microsoft:Notas
  • De forma predeterminada, Windows utiliza una configuración de MTU de 1.480 bytes y acepta mensajes de protocolo de mensajes de control de Internet (ICMP) que solicitan tamaños de paquetes más pequeños.
  • Si la detección de MTU está deshabilitada en un servidor basado en Windows, el servidor utiliza una configuración de MTU de 576 bytes.

Resolución


Advertencia Pueden producirse problemas graves si modifica el registro incorrectamente mediante el Editor del Registro o mediante otro método. Estos problemas pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que estos problemas se puedan resolver. Modifique el registro bajo su propio riesgo. Para resolver el comportamiento causado por la configuración de MTU que se configura durante la instalación del servidor ISA, siga estos pasos. Importante Debe realizar este cambio en el Registro si ha instalado Windows Server 2003 Service Pack 1 (SP1) o la revisión que se describe en el siguiente artículo de Microsoft Knowledge Base:
898060 La conectividad de red entre clientes y servidores puede fallar después de instalar la actualización de seguridad MS05-019 o Windows Server 2003 Service Pack 1
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedity, a continuación, haga clic en Aceptar.
  2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Tipo de valor: REG_DWORDValue: 0, 1 (False, True)Valor predeterminado de ISA: 0 (False)Nota Si la entrada EnablePMTUDiscovery no está disponible, cree la entrada.
  3. Si procede, establezca o cambie el valor de acuerdo con la siguiente información:
    • Valor 1 Cuando usted fija EnablePMTUDiscovery a 1, TCP intenta descubrir el MTU o el tamaño de paquete más grande en la trayectoria de un host remoto. TCP puede eliminar la fragmentación en los routers en la trayectoria que conecta las redes que utilizan diversos MTU. TCP hace esto descubriendo la MTU de la trayectoria y limitando los segmentos TCP a este tamaño. La fragmentación afecta negativamente al rendimiento TCP.
    • Valor 0 Cuando se establece EnablePMTUDiscovery en 0, se utiliza una MTU de 576 bytes para todas las conexiones que no están relacionadas con los hosts de la subred local. Si no establece este valor en 0, un atacante puede forzar el valor de MTU a un valor muy pequeño y sobrecargar la pila. Notas
      • Cuando se establece EnablePMTUDiscovery en 0, el rendimiento y el rendimiento de TCP/IP se ven afectados. Debe ser plenamente consciente del rendimiento antes de establecer este valor en 0.
      • Al instalar ISA Server 2004 o ISA Server 2004 Service Pack 1, este valor también se restablece a 0.
      • ISA Server 2004 Service Pack 2 no cambia el valor de EnablePMTUDiscovery.
  4. Para participar en el proceso de detección, cree una regla de acceso ICMP MTU para ISA Server. Para ello, siga los pasos que se describen en las secciones siguientes, en función de la configuración.
  5. Cierre el Editor del Registro y reinicie el equipo.

ISA Server 2004, Standard Edition

  1. Haga clic en Inicio, seleccione Programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
  2. En el panel izquierdo, expanda ArrayNamey, a continuación, haga clic en Directiva de firewall.
  3. En el panel de tareas, haga clic en la pestaña Cuadro de herramientas y, a continuación, haga clic en Protocolos.
  4. En Protocolos, haga clic en Nuevoy, a continuación, haga clic en Protocolo.
  5. En el cuadro Nombre de definición de protocolo, escriba ICMP MTU Discoveryy, a continuación, haga clic en Siguiente.
  6. Haga clic en Nuevoy, a continuación, haga clic en ICMP en la lista Tipo de protocolo.
  7. En la lista Dirección , haga clic en Enviar recepción.
  8. Escriba 4 en el cuadro Código ICMP, escriba 3 en el cuadro Tipo ICMP y, a continuación, haga clic en Aceptar.
  9. Haga clic en Siguiente, haga clic en Finalizary, a continuación, haga clic en Aplicar.
  10. En el panel izquierdo, haga clic con el botón secundario en Directiva de firewall, haga clic en Nuevoy, a continuación, haga clic en Regla de acceso.
  11. En el cuadro Nombre de regla de acceso, escriba Permitir detección de MTU ICMPy, a continuación, haga clic en Siguiente.
  12. Haga clic en Permitiry, a continuación, haga clic en Siguiente.
  13. En la lista Esta regla se aplica a, haga clic en Protocolos seleccionadosy, a continuación, haga clic en Agregar.
  14. En la lista Protocolos, expanda Definido porel usuario .
  15. Haga clic en ICMP MTU Discovery, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente.
  16. Haga clic en Agregar.
  17. En la lista Entidades de red, expanda Redes.
  18. Haga clic en Externoy, a continuación, haga clic en Agregar.
  19. Haga clic en Interno, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente.
  20. Haga clic en Agregar.
  21. En la lista Entidades de red, expanda Redes.
  22. Haga clic en Host local, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente dos veces.
  23. Haga clic en Finalizary, a continuación, haga clic en Aplicar.

ISA Server 2004, Enterprise Edition

Para que ISA Server 2004, Enterprise Edition participe en el proceso de detección de MTU ICMP, cree el protocolo ICMP en el nivel empresarial y, a continuación, cree la regla de acceso ICMP MTU en el nivel de matriz.

Cómo crear el protocolo ICMP a nivel empresarial

  1. Haga clic en Inicio, seleccione Programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
  2. En el panel izquierdo, expanda Empresay, a continuación, haga clic en Directivas empresariales.
  3. En el panel de tareas, haga clic en la pestaña Cuadro de herramientas y, a continuación, haga clic en Protocolos.
  4. En Protocolos, haga clic en Nuevoy, a continuación, haga clic en Protocolo.
  5. En el cuadro Nombre de definición de protocolo, escriba ICMP MTU Discoveryy, a continuación, haga clic en Siguiente.
  6. Haga clic en Nuevoy, a continuación, haga clic en ICMP en la lista Tipo de protocolo.
  7. Escriba 4 en el cuadro Código ICMP, escriba 3 en el cuadro Tipo ICMP y, a continuación, haga clic en Aceptar.
  8. Haga clic en Siguiente, haga clic en Finalizary, a continuación, haga clic en Aplicar. Nota No se puede crear una regla de acceso empresarial para los protocolos ICMP definidos por el usuario cuando se utiliza el asistente de creación de reglas.
Para obtener más información acerca de cómo utilizar protocolos ICMP definidos por el usuario en las directivas de ISA Server 2004, Enterprise Edition, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
902348 Los protocolos ICMP definidos por el usuario no se muestran en el Asistente para nueva regla de acceso en ISA Server 2004 Enterprise Edition

Cómo crear manualmente la regla de acceso ICMP MTU si tiene una sola matriz en la red

  1. Haga clic en Inicio, seleccione Programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
  2. En el panel izquierdo, expanda Matricesy, a continuación, expanda ArrayName.
  3. Haga clic con el botón secundario en Directiva de firewall, haga clic en Nuevoy, a continuación, haga clic en Regla de acceso.
  4. En el cuadro Nombre de regla de acceso, escriba Permitir detección de MTU ICMPy, a continuación, haga clic en Siguiente.
  5. Haga clic en Permitiry, a continuación, haga clic en Siguiente.
  6. En la lista Esta regla se aplica a, haga clic en Protocolos seleccionadosy, a continuación, haga clic en Agregar.
  7. En la lista Protocolos, expanda Definido porel usuario .
  8. Haga clic en ICMP MTU Discovery, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente.
  9. Haga clic en Agregar.
  10. En la lista Entidades de red, expanda Redes.
  11. Haga clic en Externoy, a continuación, haga clic en Agregar.
  12. Haga clic en Interno, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente.
  13. Haga clic en Agregar.
  14. En la lista Entidades de red, expanda Redes.
  15. Haga clic en Host local, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Siguiente dos veces.
  16. Haga clic en Finalizary, a continuación, haga clic en Aplicar.

Cómo crear la regla de acceso ICMP MTU si tiene varios miembros de matriz en la red

Método 1

  1. Cree manualmente la regla de acceso ICMP MTU en la primera matriz. Para ello, siga los pasos que se describen para crear la regla de acceso para una sola matriz.
  2. Copie la regla de acceso ICMP MTU. Para ello, siga estos pasos:
    1. Haga clic en Inicio, seleccione Programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
    2. En el panel izquierdo, expanda Matricesy, a continuación, expanda ArrayName. ArrayName es la primera matriz para la que creó la regla de acceso ICMP MTU.
    3. Haga clic en Directiva de firewall, haga clic con el botón secundario en la regla Permitir detección de MTU ICMP en Reglas de directivas de firewally, a continuación, haga clic en Copiar.
  3. Pegue la regla de acceso ICMP MTU en cada matriz. Para ello, siga estos pasos:
    1. En ISA Server Management Microsoft Management Console (MMC), expanda la matriz donde desea pegar la regla de acceso ICMP MTU y, a continuación, haga clic en Directiva de firewall.
    2. En el panel central, haga clic con el botón derecho en la regla de directiva de matriz que desea seguir inmediatamente la regla de acceso de MTU ICMP y, a continuación, haga clic en Pegar. Nota Si no existen reglas de directivades de matriz, debe crear una nueva regla de directiva de matriz para poder pegar la regla de acceso de MTU ICMP en la directiva de matriz.
    3. Haga clic en Aplicar.
  4. Repita los pasos 3a a 3c hasta que copie la regla de acceso ICMP MTU para todos los miembros de la matriz.

Método 2

  1. Cree manualmente la regla de acceso ICMP MTU en la primera matriz. Para ello, siga los pasos que se describen para crear la regla de acceso ICMP MTU para una sola matriz.
  2. Exporte la regla de acceso ICMP MTU. Para ello, siga estos pasos:
    1. En la MMC Administración de servidores ISA, expanda la matriz para la que creó la regla de acceso ICMP MTU y, a continuación, haga clic en Directiva de firewall.
    2. Haga clic con el botón derecho en la regla Permitir detección de MTU ICMP en Reglas de directivasde firewall y, a continuación, haga clic en Exportar seleccionado.
    3. En el Asistente para exportación, haga clic en Siguiente.
    4. En la página Preferencias de exportación, haga clic en Siguiente.
    5. En la página Exportar ubicación de archivo, haga clic en Examinar.
    6. Seleccione una ubicación donde exportará la regla de detección de MTU ICMP, escriba MtuDiscoveryRule en el cuadro Nombre de archivo y, a continuación, haga clic en Abrir.
    7. Haga clic en Siguientey, a continuación, haga clic en Finalizar para salir del asistente.
    8. Haga clic en Aceptar cuando el indicador de progreso muestre un mensaje que indica que la configuración se ha exportado correctamente.
  3. Importe la regla de acceso ICMP MTU en cada matriz. Para ello, siga estos pasos:
    1. En la MMC Administración de servidores ISA, expanda la matriz donde desea importar la regla de acceso DE MTU ICMP y, a continuación, haga clic con el botón derecho en Directiva de firewall.
    2. Haga clic en Importar.
    3. En el Asistente para importación, haga clic en Siguiente.
    4. Haga clic en Examinary, a continuación, busque la carpeta donde guardó el archivo MtuDiscoveryRule en el paso 2f.
    5. Haga clic en el archivo MtuDiscoveryRule y, a continuación, haga clic en Abrir.
    6. Haga clic en Siguiente dos veces.
    7. Haga clic en Finalizar.
    8. Haga clic en Aceptar cuando el indicador de progreso muestre un mensaje que indica que la configuración se ha importado correctamente.
    9. Haga clic en Aplicar.

Referencias


Para obtener más información acerca de la configuración del Registro de detección de PMTU en Microsoft Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
315669 Cómo proteger la pila TCP/IP contra ataques de denegación de servicio en Windows 2000
Para obtener más información acerca de la configuración del Registro de detección de PMTU en Microsoft Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324270 Cómo proteger la pila TCP/IP contra ataques de denegación de servicio en Windows Server 2003