Instaliranje sigurnosne nadopune MS05-019 ili paketa nadopuna Service Pack 1 za Windows Server 2003 može uzrokovati gubitak veze između klijenta i poslužitelja

S I M P T O M I

Može doći do prekida mrežne veze između klijenata i poslužitelja. Do prekida dolazi nakon instaliranja sigurnosne nadopune MS05-019 ili paketa nadopuna Service Pack 1 (SP1) za Windows Server 2003. Može se pojaviti neki od sljedećih simptoma:
  • Nemogućnost povezivanja s terminalskim poslužiteljima.
  • Neuspješna replikacija kontrolera domene za sve WAN veze.
  • Nemogućnost povezivanja poslužitelja Microsoft Exchange s kontrolerima domena.
  • Zahtjevi poslužitelju koji koristi Microsoft Internet Information Services (IIS) mogu postati vrlo spori ili im može isteći razdoblje čekanja.
Veća je vjerojatnost da će se ti simptomi pojaviti u WAN i LAN scenarijima. Ti su scenariji obično prisutni kada se u cijeloj mreži koriste usmjerivači i protokoli na razini podatkovne veze s različitim maksimalnim jedinicama prijenosa (MTU). U tom scenariju glavno računalo-pošiljatelj može primiti nekoliko poruka "Internet Control Message Protocol (ICMP) destination unreachable" ("Odredište internetskog protokola za upravljanje porukama nedostupno") koje sadrže MTU nadopune za odredište. Ti će se simptomi najvjerojatnije pojaviti ako vrijede sljedeći uvjeti:
  1. Tijekom postupka PathMTUDiscovery nekoliko usmjerivača na putu do odredišta šalje MTU nadopune izvorišnom glavnom računalu. Jedan od mogućih razloga za to mogao bi biti i to što se izvorišno i odredišno glavno računalo nalaze na različitim WAN segmentima. Uz to, ti su segmenti povezani tunelom putem MTU jedinica male veličine.
  2. Koristi se balansiranje mrežnog opterećenja, dinamičko određivanje ruta ili oboje. U tom scenariju postoji nekoliko mogućih ruta do odredišta koja imaju MTU jedinice različite od MTU jedinice pošiljateljske podmreže i međusobno se razlikuju. Stoga promjena rute IP paketa s vremenom može proizvesti nekoliko MTU nadopuna za odredišnu adresu.
Napomena Moguće je još nekoliko sličnih scenarija u kojima se pojavljuju ti simptomi. Obično ih je moguće dijagnosticirati praćenjem mrežnog prometa na strani izvorišnog glavnog računala ili na jednom od posrednih mrežnih usmjerivača. Ako je za isto odredište tijekom određenog vremenskog razdoblja poslano više poruka "ICMP odredište nedostupno", problem je vjerojatno u izvorišnom glavnom računalu na koje je instalirana sigurnosna nadopuna MS05-019 ili Windows Server 2003 SP1.

U Z R O K

Do problema dolazi jer kôd netočno povećava broj ruta glavnog računala na računalu prilikom izmjene MTU veličine rute glavnog računala. Za nadzor maksimalnog broja ruta glavnog računala zadužena je vrijednost registra u MaxIcmpHostRoutes. Zadani broj ruta glavnog računala iznosi 10.000. Zbog netočnog povećavanja broj ruta glavnog računala naposljetku dosiže maksimalnu vrijednost. Nakon dosizanja maksimalne vrijednosti ICMP paketi se ignoriraju.

Napomena U izvornoj verziji ovog članka broj 1.000 pogrešno je naveden kao zadani broj ruta glavnog računala. Promjena u 10.000 je ispravak i ne odražava promjenu u kodu.

R J EŠ E N J E

Informacije o sigurnosnoj nadopuni

Napomena Sigurnosna nadopuna 913446 (bilten o sigurnosti MS06-007) dokida ovu nadopunu (898060).
Dodatne informacije potražite u članku iz Microsoftove baze znanja pod brojem

913446 Ranjivost TCP/IP-a bi mogla dovesti do uskraćivanja usluge (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)


Sigurnosna nadopuna 913446 također dokida sigurnosnu nadopunu 893066 (bilten o sigurnosti MS05-019). Dodatne informacije potražite u članku iz Microsoftove baze znanja pod brojem

893066 Ranjivost TCP/IP-a mogla bi dovesti do izvršavanja udaljenog koda i uskraćivanja usluge (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)


Korisnici koji su implementirali sigurnosnu nadopunu 913446 ne moraju implementirati sigurnosne nadopune 898060 ili 893066. Sigurnosna nadopuna 893066 ažurirana je radi ispravljanja te pogreške. Dodatne informacije potražite na sljedećem Microsoftovom web-mjestu (ova veza može voditi do sadržaja koji nije nužno na hrvatskom jeziku): Napomena Ova sigurnosna nadopuna ne odnosi se na Windows Server 2003 s paketom nadopuna Service Pack 1.

Informacije o prilagodbenom popravku

Napomena Ove informacije o prilagodbenom popravku valjane su samo za verzije sustava Windows Server 2003 Service Pack 1 utemeljene na procesorima x86, Itanium i x64 te verzije sustava Windows XP Professional utemeljene na procesoru x64.

Podržani prilagodbeni popravak dostupan je za preuzimanje u Microsoftovu centru za preuzimanje (sadržaji nisu nužno na hrvatskom jeziku).
Verzija sustava Microsoft Windows Server 2003 utemeljena na procesoru x86 s paketom nadopuna Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Verzija sustava Microsoft Windows Server 2003 utemeljena na Itaniumu s paketom nadopuna Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en
Verzija sustava Microsoft Windows Server 2003 utemeljena na procesoru x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en
Verzija sustava Microsoft Windows XP utemeljena na procesoru x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en

Prilagodbeni popravak ispravlja problem s mrežnim povezivanjem opisan u ovom članku Microsoftove baze znanja. Preporučujemo da prilagodbeni popravak primijenite na sustave na kojima dolazi upravo do tog problema. Također možete razmotriti mogućnost instaliranja prilagodbenog popravka radi sprečavanja budućih problema s povezivanjem sličnih ovome.

Ažurirani prilagodbeni popravak za Windows Server 2003 Service Pack 1 (SP1) sadrži promjenu koja rješava problem s kojim se susrećete samo kada koristite ISS (Internet Security Systems) proizvode.

Informacije o datoteci

Engleska verzija ovog prilagodbenog popravka ima atribute datoteka navedene na popisu u sljedećoj tablici (ili novije). Datumi i vremena za te datoteke navedeni su u koordiniranom univerzalnom vremenu (UTC). Kada pregledavate informacije o datoteci, one se pretvaraju u lokalno vrijeme. Da biste saznali razliku između UTC-a i lokalnog vremena, na upravljačkoj ploči pogledajte karticu Time Zone (Vremenska zona) u sklopu modula Date and Time (Datum i vrijeme).
Verzije sustava Microsoft Windows Server 2003 utemeljene na procesoru x86 s paketom nadopuna Service Pack 1

Datum Vrijeme Verzija Veličina Naziv datoteke Platforma Mapa
--------------------------------------------------------------------------
26. svibnja 2005. 01:06 5.2.3790.2453 333,312 Tcpip.sys x86 SP1GDR
26. svibnja 2005. 01:10 5.2.3790.2453 333,312 Tcpip.sys x86 SP1QFE
Verzije sustava Microsoft Windows Server 2003 utemeljene na Itaniumu s paketom nadopuna Service Pack 1

Datum Vrijeme Verzija Veličina Naziv datoteke Platforma Mapa
--------------------------------------------------------------------------
26. svibnja 2005. 02:17 5.2.3790.2453 1,116,160 Tcpip.sys IA-64 SP1GDR
26. svibnja 2005. 02:17 5.2.3790.2453 1,116,160 Tcpip.sys IA-64 SP1QFE
Verzije sustava Microsoft Windows Server 2003 utemeljene na procesoru x64

Datum Vrijeme Verzija Veličina Naziv datoteke Platforma Mapa
--------------------------------------------------------------------------
26. svibnja 2005. 02:32 5.2.3790.2453 702,976 Tcpip.sys x64 SP1GDR
26. svibnja 2005. 02:32:00 5.2.3790.2453 702.976 Tcpip.sys IA-64 SP1QFE
Verzije sustava Microsoft Windows XP utemeljene na procesoru x64

Datum Vrijeme Verzija Veličina Naziv datoteke Platforma Mapa
--------------------------------------------------------------------------
26. svibnja 2005. 02:32 5.2.3790.2453 702,976 Tcpip.sys x64 SP1GDR
26. svibnja 2005. 02:32 5.2.3790.2453 702,976 Tcpip.sys x64 SP1QFE

Napomena Informacije o datotekama za verzije sustava Microsoft Windows Server 2003 utemeljene na procesoru x64 i verzije sustava Microsoft Windows XP utemeljene na procesoru x64 jednake su.

Z A O B I L AŽ E N J E

Da biste zaobilazno riješili ovaj problem, postavite zadanu veličinu jedinice MTU na najveću koju usmjerivači mogu obraditi. Stvarna vrijednost MTU-a potrebna za zaobilazno rješavanje tog problema ovisi o konfiguraciji mreže. No, vrijednost MTU-a od 576 trebala bi smanjiti učinak problema jer bi usmjerivači na internetu trebali biti u stanju rukovati takvim paketima bez fragmentacije. Da bi ova promjena registra imala učinka, potrebno je ponovo pokrenuti računalo.
Dodatne informacije o promjeni postavki registra za MTU potražite u člancima iz Microsoftove baze znanja pod brojem

120642 TCP/IP i NBT konfiguracijski parametri za Windows 2000 ili Windows NT (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

314053 TCP/IP i NBT konfiguracijski parametri za Windows XP (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

Važno Ovisno o konfiguraciji mreže i često korištenim mrežnim aplikacijama, postavljanje niske zadane vrijednosti MTU-a može dovesti do smanjenja mrežnih performansi.

D O D A T N E I N F O R M A C I J E

Parametar MTU nadjačava zadanu maksimalnu jedinicu prijenosa (MTU) za mrežno sučelje. MTU je maksimalna veličina paketa u bajtovima koju prijenos šalje putem mreže. Ova veličina obuhvaća zaglavlje prijenosa. Datagram IP-a može obuhvaćati više paketa. Vrijednosti veće od zadane vrijednosti mreže dovode do toga da prijenos koristi mrežno zadani MTU. Vrijednosti manje od 68 dovode do toga da prijenos koristi MTU od 68.

Ključ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID za prilagodnik
Value Type (Vrsta vrijednosti): REG_DWORD broj
Valid Range (Valjani raspon): 68 do MTU mreže
Default (Zadano): 0xFFFFFFFF

Napomena ID za prilagodnik mrežni je prilagodnik s kojim je povezan TCP/IP. Da biste utvrdili odnos između ID-a prilagodnika i mrežne veze, pogledajte ključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ID za prilagodnik\Veza. Vrijednost Name (Naziv) u ovim ključevima osigurava prepoznatljiv naziv mrežnoj vezi koja se koristi u mapi Network Connections (Mrežne veze). Vrijednosti u ovim ključevima odnose se na svaki pojedini prilagodnik. Parametri koji imaju vrijednost konfiguriranu DHCP-om i statički konfiguriranu vrijednost mogu, ali i ne moraju postojati. Njihovo postojanje ovisi o tome jesu li računalo ili prilagodnik konfigurirani za DHCP te jesu li navedene nepromjenjive vrijednosti za nadjačavanje.

Sljedeći mrežni trag ilustrira problem.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: Notice the Next Hop MTU being smaller,and router requesting the sender to fragment the packet 10.ICMP: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignores the ICMP packet 11, and resends the same packet 10 without fragmentation 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25. 
Proizvodi drugih proizvođača koji se spominju u ovom članku proizvedeni su u tvrtkama neovisnima o Microsoftu. Microsoft ne daje posredna ni bilo kakva druga jamstva vezana uz performanse ili pouzdanost tih proizvoda.
Svojstva

ID članka: 898060 - posljednja izmjena: 26. svi 2009. - verzija: 1

Povratne informacije