L'utilisation du processeur peut être supérieure à 50 pour cent lorsqu'un ordinateur ISA Server 2004 fonctionne dans des conditions de charge lourde


Important Cet article contient des informations sur la façon de modifier le registre. Assurez-vous de sauvegarder le registre avant de le modifier. Assurez-vous que vous savez comment restaurer le registre en cas de problème. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le registre, cliquez sur le numéro d'article suivant pour afficher l'article dans la base de connaissances Microsoft:
256986 Description du Registre de Microsoft Windows

Symptômes


Lorsqu'un ordinateur Microsoft Internet Security and Acceleration Server (ISA) 2004 fonctionne dans des conditions de charge élevée, vous pouvez être utilisé à haut niveau du processeur. Par exemple, l'utilisation du processeur sur l'ordinateur ISA Server peut être supérieure à 50 pour cent.

Cause


Ce comportement peut se produire en raison du réglage de l'unité de transmission maximale TCP/IP (MTU) qui est appliqué pendant l'installation issaine. Pour empêcher un attaquant de modifier la valeur MTU, ISA Server 2004 désabonne la découverte du chemin MTU (PMTU). Ce paramètre est documenté dans le bulletin de sécurité Microsoft MS05-019. Pour voir ce bulletin, visitez le site Web Microsoft suivant :Remarques
  • Par défaut, Windows utilise un paramètre MTU de 1 480 octets et accepte les messages de protocole de message de contrôle Internet (ICMP) qui demandent des formats plus petits.
  • Si la découverte MTU est désactivée sur un serveur Windows, le serveur utilise un paramètre MTU de 576 octets.

Résolution


Avertissement Des problèmes graves peuvent survenir si vous modifiez le registre de manière incorrecte en utilisant Registry Editor ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter que vous réinstallez votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifiez le registre à vos risques et périls. Pour résoudre le comportement causé par le paramètre MTU configuré lors de l'installation ISA Server, suivez ces étapes. Important Vous devez modifier ce registre si vous avez installé Windows Server 2003 Service Pack 1 (SP1) ou le hotfix qui est décrit dans l'article suivant Microsoft Knowledge Base:
898060 La connectivité réseau entre les clients et les serveurs peut échouer après avoir installé la mise à jour de sécurité MS05-019 ou Windows Server 2003 Service Pack 1
  1. Cliquez sur Démarrer, cliquez sur Run, type regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus avec le bouton droit :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Type de valeur: REG_DWORDValue: 0, 1 (Faux, Vrai)ISA valeur par défaut: 0 (Faux)Note Si l'entrée EnablePMTUDiscovery n'est pas disponible, créer l'entrée.
  3. Le cas échéant, définir ou modifier la valeur en fonction des informations suivantes :
    • Valeur 1 Lorsque vous définissez EnablePMTUDiscovery à 1, TCP tente de découvrir soit le MTU ou la plus grande taille de paquet dans le chemin d'un hôte distant. TCP peut supprimer la fragmentation des routeurs dans le chemin qui relie les réseaux qui utilisent différents MTU. TCP le fait en découvrant le chemin MTU et en limitant les segments TCP à cette taille. La fragmentation affecte négativement le débit de TCP.
    • Valeur de 0 Lorsque vous configurez EnablePMTUDiscovery à 0, un MTU de 576 octets est utilisé pour toutes les connexions qui ne sont pas liées aux hôtes sur le sous-réseau local. Si vous ne fixez pas cette valeur à 0, un attaquant peut forcer la valeur MTU à une valeur très faible et surmener la pile. Notes (en)
      • Lorsque vous configurez EnablePMTUDiscovery à 0, les performances et le débit TCP/IP sont affectés. Vous devez être pleinement conscient du débit de performance avant de définir cette valeur à 0.
      • Lorsque vous installez ISA Server 2004 ou ISA Server 2004 Service Pack 1, cette valeur se réinitialise également à 0.
      • ISA Server 2004 Service Pack 2 ne change pas la valeur d'EnablePMTUDiscovery.
  4. Pour participer au processus de découverte, créez une règle d'accès ICMP MTU pour ISA Server. Pour ce faire, suivez les étapes décrites dans les sections suivantes, en fonction de votre configuration.
  5. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

ISA Server 2004, Édition standard

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
  2. Dans le volet gauche, étendre ArrayName, puis cliquez sur Firewall Policy.
  3. Dans le volet de tâche, cliquez sur l'onglet Boîte à outils, puis cliquez sur Protocoles.
  4. Sous Protocoles, cliquez sur Nouveau, puis cliquez sur Protocole.
  5. Dans la boîte de nom de définition de protocole, tapez ICMP MTU Discovery, puis cliquez sur Suivant.
  6. Cliquez sur Nouveau, puis cliquez sur ICMP dans la liste de type Protocole.
  7. Dans la liste Direction, cliquez sur Envoyer Recevoir.
  8. Type 4 dans la boîte de code ICMP, type 3 dans la boîte de type ICMP, puis cliquez sur OK.
  9. Cliquez ensuite, cliquez sur Finir, puis cliquez sur Appliquer.
  10. Dans le volet gauche, cliquez sur la politique de pare-feuà droite , cliquez sur Nouveau, puis cliquez sur la règle d'accès.
  11. Dans la boîte de nom de règle d'accès,tapez Autoriser ICMP MTU Discovery, puis cliquez sur Suivant.
  12. Cliquez sur Autoriser, puis cliquez sur Suivant.
  13. Dans les règles de cette s'applique à la liste, cliquez sur Protocoles sélectionnés, puis cliquez sur Ajouter.
  14. Dans la liste des protocoles, élargissez la définition de l'utilisateur.
  15. Cliquez sur ICMP MTU Discovery, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur Suivant.
  16. Cliquez sur Ajouter.
  17. Dans la liste des entités réseau, étendre les réseaux.
  18. Cliquez sur Externe, puis cliquez sur Ajouter.
  19. Cliquez sur Interne, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur Suivant.
  20. Cliquez sur Ajouter.
  21. Dans la liste des entités réseau, étendre les réseaux.
  22. Cliquez sur Local Host, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur les deux prochaines fois.
  23. Cliquez sur Finish, puis cliquez sur Appliquer.

ISA Server 2004, Édition Entreprise

Pour ISA Server 2004, Enterprise Edition peut participer au processus de découverte ICMP MTU, créer le protocole ICMP au niveau de l'entreprise, puis créer la règle d'accès ICMP MTU au niveau du tableau.

Comment créer le protocole ICMP au niveau de l'entreprise

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
  2. Dans le volet gauche, développer l'entreprise, puis cliquez sur Les politiquesd'entreprise .
  3. Dans le volet de tâche, cliquez sur l'onglet Boîte à outils, puis cliquez sur Protocoles.
  4. Sous Protocoles, cliquez sur Nouveau, puis cliquez sur Protocole.
  5. Dans la boîte de nom de définition de protocole, tapez ICMP MTU Discovery, puis cliquez sur Suivant.
  6. Cliquez sur Nouveau, puis cliquez sur ICMP dans la liste de type Protocole.
  7. Type 4 dans la boîte de code ICMP, type 3 dans la boîte de type ICMP, puis cliquez sur OK.
  8. Cliquez ensuite, cliquez sur Finir, puis cliquez sur Appliquer. Remarque Une règle d'accès Enterprise ne peut pas être créée pour les protocoles ICMP définis par l'utilisateur lorsque vous utilisez l'assistant de création de règles.
Pour plus d'informations sur la façon d'utiliser les protocoles ICMP définis par l'utilisateur dans les stratégies ISA Server 2004, Enterprise Edition, cliquez sur le numéro d'article suivant pour voir l'article dans la base de connaissances Microsoft :
902348 Les protocoles ICMP définis par l'utilisateur ne sont pas affichés dans le Nouvel Assistant de règle d'accès dans ISA Server 2004 Enterprise Edition

Comment créer manuellement la règle d'accès ICMP MTU si vous avez un seul tableau dans le réseau

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
  2. Dans le volet gauche, étendre Arrays, puis étendre ArrayName.
  3. Politique de pare-feude droite-cliquez, cliquez sur Nouveau, puis cliquez sur la règle d'accès.
  4. Dans la boîte de nom de règle d'accès,tapez Autoriser ICMP MTU Discovery, puis cliquez sur Suivant.
  5. Cliquez sur Autoriser, puis cliquez sur Suivant.
  6. Dans les règles de cette s'applique à la liste, cliquez sur Protocoles sélectionnés, puis cliquez sur Ajouter.
  7. Dans la liste des protocoles, élargissez la définition de l'utilisateur.
  8. Cliquez sur ICMP MTU Discovery, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur Suivant.
  9. Cliquez sur Ajouter.
  10. Dans la liste des entités réseau, étendre les réseaux.
  11. Cliquez sur Externe, puis cliquez sur Ajouter.
  12. Cliquez sur Interne, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur Suivant.
  13. Cliquez sur Ajouter.
  14. Dans la liste des entités réseau, étendre les réseaux.
  15. Cliquez sur Local Host, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur les deux prochaines fois.
  16. Cliquez sur Finish, puis cliquez sur Appliquer.

Comment créer la règle d'accès ICMP MTU si vous avez plusieurs membres de réseau dans le réseau

Méthode 1

  1. Créez manuellement la règle d'accès ICMP MTU sur le premier tableau. Pour ce faire, suivez les étapes décrites pour créer la règle d'accès d'un seul tableau.
  2. Copiez la règle d'accès ICMP MTU. Pour ce faire, suivez les étapes suivantes :
    1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
    2. Dans le volet gauche, étendre Arrays, puis étendre ArrayName. ArrayName est le premier tableau pour lequel vous avez créé la règle d'accès ICMP MTU.
    3. Cliquez sur Firewall Policy, cliquez à droite sur la règle De découverte De l'ICMP MTU en vertu des règles de la politique de pare-feu,puis cliquez sur Copie.
  3. Collez la règle d'accès ICMP MTU dans chaque tableau. Pour ce faire, suivez les étapes suivantes :
    1. Dans la console de gestion Microsoft de gestion de serveur ISA (MMC), élargissez le tableau où vous souhaitez coller la règle d'accès ICMP MTU, puis cliquez sur Firewall Policy.
    2. Dans le volet central, cliquez à droite sur la règle de stratégie de tableau que vous souhaitez suivre immédiatement la règle d'accès ICMP MTU, puis cliquez sur Coller. Remarque S'il n'existe pas de règles de stratégie de tableau, vous devez créer une nouvelle règle de stratégie de tableau avant de pouvoir coller la règle d'accès ICMP MTU dans la stratégie de tableau.
    3. Cliquez sur Appliquer.
  4. Répétez les étapes 3a à 3c jusqu'à ce que vous copies de la règle d'accès ICMP MTU pour tous les membres du tableau.

Méthode 2

  1. Créez manuellement la règle d'accès ICMP MTU sur le premier tableau. Pour ce faire, suivez les étapes décrites pour créer la règle d'accès ICMP MTU pour un seul tableau.
  2. Exporter la règle d'accès ICMP MTU. Pour ce faire, suivez les étapes suivantes :
    1. Dans le MMC de gestion des serveurs ISA, élargissez le tableau pour lequel vous avez créé la règle d'accès ICMP MTU, puis cliquez sur Firewall Policy.
    2. Cliquez à droite sur la règle D'autoriser icMP MTU Discovery en vertu des règles de la politique du pare-feu,puis cliquez sur Export Selected.
    3. Dans l'assistant d'exportation, cliquez sur Suivant.
    4. Sur la page Préférences d'exportation, cliquez sur Suivant.
    5. Sur la page De localisation du fichier d'exportation, cliquez sur Parcourir.
    6. Sélectionnez un emplacement où vous exporterez la règle ICMP MTU Discovery, tapez MtuDiscoveryRule dans la boîte de nom de fichier, puis cliquez sur Open.
    7. Cliquez ensuite, puis cliquez sur Finir pour quitter l'assistant.
    8. Cliquez sur OK lorsque l'indicateur de progression affiche un message indiquant que la configuration a été exportée avec succès.
  3. Importer la règle d'accès ICMP MTU dans chaque tableau. Pour ce faire, suivez les étapes suivantes :
    1. Dans le MMC de gestion des serveurs ISA, élargissez le tableau où vous souhaitez importer la règle d'accès ICMP MTU, puis cliquez sur la politique de pare-feu.
    2. Cliquez sur Import.
    3. Dans l'assistant d'importation, cliquez sur Suivant.
    4. Cliquez sur Parcourir, puis localiser le dossier où vous avez enregistré le fichier MtuDiscoveryRule à l'étape 2f.
    5. Cliquez sur le fichier MtuDiscoveryRule, puis cliquez sur Open.
    6. Cliquez sur Les deux prochaines fois.
    7. Cliquez sur Terminer.
    8. Cliquez sur OK lorsque l'indicateur de progression affiche un message indiquant que la configuration a été importée avec succès.
    9. Cliquez sur Appliquer.

Références


Pour plus d'informations sur les paramètres du registre de découverte PMTU dans Microsoft Windows 2000, cliquez sur le numéro d'article suivant pour voir l'article dans la base de connaissances Microsoft :
315669 Comment durcir la pile TCP/IP contre les attaques par déni de service dans Windows 2000
Pour plus d'informations sur les paramètres du registre de découverte PMTU dans Microsoft Windows Server 2003, cliquez sur le numéro d'article suivant pour voir l'article dans la base de connaissances Microsoft :
324270 Comment durcir la pile TCP/IP contre les attaques par déni de service dans Windows Server 2003