Ajánlott TCP/IP-beállítások 576-nál kisebb MTU-méretű WAN-kapcsolatokhoz

Összefoglaló

Az MS05-019 jelű biztonsági frissítés arra van hatással, hogy az operációs rendszer miként ellenőrzi az Internet Control Message Protocol (ICMP) protokollon alapuló kérelmeket. A frissítés megakadályozza az ICMP protokoll alkalmazásával végrehajtott támadásokat. Bizonyos körülmények között mindazonáltal előfordulhat, hogy e biztonsági frissítés hatására megszűnik a hálózati kapcsolat. A cikk három megoldást mutat be arra vonatkozóan, hogy miként szavatolható a hálózati kapcsolat zavartalansága az MS05-019 jelű frissítés telepítése után is.

Bevezetés

Ez a cikk az 576-nál kisebb MTU-méretű nagytávolságú WAN-kapcsolatokhoz ajánlott TCP/IP-beállításokat ismerteti.

További információ

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


Az MS05-019 jelű biztonsági frissítés arra van hatással, hogy az operációs rendszer miként ellenőrzi az Internet Control Message Protocol (ICMP) protokollon alapuló kérelmeket. A frissítés 576 bájtra korlátozza a legalacsonyabb MTU-méretet annak érdekében, hogy megakadályozhatók legyenek az ICMP protokoll alkalmazásával végrehajtott támadások. Az ilyen támadások nagyon alacsony értékre csökkenthetik az MTU-méretet, ezáltal a rendszer teljesítménye jelentősen csökken.

Az 576 bájtra korlátozott MTU-méret befolyásolhatja egyes WAN-rendszerek (például műholdas kapcsolatok) működését. Ilyen helyzetekben az MTU-méret 576 bájtnál kisebb lehet, ez pedig a hálózati kapcsolat megszakadását eredményezheti. Megfelelő eszközökkel (például a Hálózatfigyelő alkalmazással) elemezhető a hálózati kapcsolaton történő adatátvitel, és felderíthetők az esetleges problémák. Általában akkor lép fel ilyen jellegű hiba, ha a célként megadott helyre irányuló megszakadt hálózati kapcsolathoz tartozó, az ICMP-célhely elérhetetlenségéről tájékoztató üzenetben 576 bájtnál kisebb érték szerepel a következő ugrás MTU-méreteként.



Ezekben az esetekben célszerű az alábbiakban ismertetett javaslatok szerint eljárni.

Megjegyzés: A javasolt módszereket csak abban az esetben alkalmazza, ha valóban tapasztalja az említett jelenségeket. Az itt olvasható eljárások csökkenthetik a hálózati adatátviteli teljesítményt.

1. módszer: PMTU-alapú, visszajelzést nem adó összetevők észlelésének engedélyezése

E szolgáltatás engedélyezésével a TCP protokoll olyan szegmenseket próbál küldeni, amelyekhez nincs beállítva a tördelést tiltó Don't Fragment bit. A TCP abban az esetben próbálja meg elküldeni ezeket a szegmenseket, ha egy adott szegmens több újbóli elküldése sem jár visszaigazolással. Ha ennek eredményeképpen nyugtát kap a szegmensről, csökkenti az MSS (maximális szegmensméret) értékét, és a kapcsolaton ezután továbbított csomagokra beállítja a tördelést tiltó bitet.



Ez a javasolt módszer, mivel a rendszer csak a problémás szegmens esetén csökkenti a csomagméretet. A visszajelzést nem adó összetevők észlelése növeli az adott szegmensekhez tartozó újbóli küldések maximális számát.

Ez az észlelési megoldás a következő lépésekkel engedélyezhető:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot a beállításjegyzékben:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be az EnablePMTUBHDetect parancsot, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.
  7. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.

2. módszer: PMTU-észlelés letiltása

A PMTU-észlelés letiltásával a TCP protokoll csak azokat a csomagokat küldi el, amelyeknek MTU-mérete kisebb, mint 576 bájt, és nincs beállítva a tördelést tiltó Don't Fragment bitjük. Ezzel a módszerrel az útválasztók tördelhetik a csomagot, és elküldhetik azokat más hálózatoknak is.



Ez az eljárás az összes, különböző célhelyekre elküldött csomagra hatással van. Az 576 bájtnyi méret a legtöbb esetben elfogadható szintű teljesítményt szavatol, azonban kisebb lesz, mintha engedélyezve lenne a PMTU-észlelés, és az elérési útvonal egyben az 576 bájtnál nagyobb MTU-méretet is engedélyezné.


A PMTU-észlelés letiltásához kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot a beállításjegyzékben:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be az EnablePMTUDiscovery parancsot, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Az Érték mezőbe írja be a 0 értéket, majd kattintson az OK gombra.
  7. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.

3. módszer: A hálózati adapter MTU-méretének beállítása saját kezűleg

Ha ezt a megoldást választja, a beállítás felülírja az adapterhez megadott alapértelmezett MTU-értéket. Az MTU az a maximális csomagméret, amely az átvitel során a hálózaton továbbítható.



Ez a módszer hatással van a különböző célhelyekre elküldött valamennyi csomagra, és a beállított MTU-méret függvényében jelentős mértékben befolyásolhatja a rendszer teljesítményét.


A hálózati adapter MTU-méretének beállításához az alábbi műveleteket kell végrehajtani:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot a beállításjegyzékben:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be az MTU parancsot, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Az Érték mezőbe írja be az MTU-méret értékét, majd kattintson az OK gombra.
  7. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.

Hivatkozások

A Microsoft Tudásbázis kapcsolódó cikke:

898060 Előfordulhat, hogy az ügyfélszámítógépek és a kiszolgálók közötti hálózati kapcsolat nem működik megfelelően az MS05-019 jelű biztonsági frissítés vagy a Windows Server 2003 Service Pack 1 szervizcsomag telepítése után

A TCP/IP protokollról a következő Microsoft TechNet webhelyen olvashat bővebben:
Overview of networking and TCP/IP (Hálózatkezelés és TCP/IP – áttekintés)
http://technet2.microsoft.com/windowsserver/hu/library/be2b68c1-a279-417b-976a-16601b98447a1038.mspx
Tulajdonságok

Cikkazonosító: 900926 - Utolsó ellenőrzés: 2008. aug. 12. - Verziószám: 1

Visszajelzés