L'installazione dell'aggiornamento della protezione MS05-019 o di Windows Server 2003 Service Pack 1 potrebbe causare l'interruzione della connettività di rete tra client e server

Sintomi

La connettività di rete tra client e server potrebbe interrompersi. Questo problema si verifica a seguito dell'installazione dell'aggiornamento della protezione MS05-019 o di Microsoft Windows Server 2003 Service Pack 1 (SP1). Potrebbe verificarsi uno o più dei seguenti sintomi:
  • Impossibilità a connettersi a server terminal o ad accedere a condivisioni di file.
  • Errore nella replica tra controller di dominio tramite collegamenti WAN.
  • Impossibilità per i server Microsoft Exchange di connettersi a controller di dominio.
  • Le richieste a un server che esegue Microsoft Internet Information Services (IIS) possono scadere o essere molto lente.
Questi sintomi si verificano con maggiore probabilità in scenari WAN e LAN, ovvero scenari in cui sulla rete vengono solitamente utilizzati router e protocolli di livello di collegamento dati con unità massima di trasmissione (MTU, Maximum Transmission Unit) di dimensione diversa. In questo tipo di situazioni, l'host di invio può ricevere vari messaggi relativi all'impossibilità di raggiungere la destinazione ICMP (Internet Control Message Protocol) che presentano aggiornamenti MTU per una destinazione. I sintomi descritti possono presentarsi con maggiore probabilità quando tutte le condizioni riportate di seguito sono vere:
  • Durante il processo PathMTUDiscovery numerosi router sulla route verso la destinazione inviano aggiornamenti MTU all'host di origine. Una delle ragioni possibili di questo comportamento potrebbe essere il fatto che gli host di origine e di destinazione si trovano su segmenti diversi della WAN. Inoltre, questi segmenti potrebbero essere connessi tramite un tunnel caratterizzato da una MTU di dimensioni ridotte.
  • Viene utilizzato il bilanciamento del carico di rete, il routing dinamico o entrambi. In questo scenario esistono varie route possibili verso una destinazione che presenta MTU diverse da quella della subnet di invio, oltre che diverse tra loro. Pertanto, cambiare la route dei pacchetti IP nel corso del tempo può dare origine a numerosi aggiornamenti MTU per l'indirizzo di destinazione.
Nota Possono esistere anche altri scenari simili in cui si verificano i sintomi descritti. Solitamente, è possibile diagnosticare questi scenari intercettando il traffico di rete sul lato dell'host di origine o su uno dei router di rete intermedi. Se nel corso del tempo vengono inviati più messaggi relativi all'impossibilità di raggiungere una data destinazione ICMP, è probabile che l'host di origine in cui è installato l'aggiornamento della protezione MS05-019 oppure Windows Server 2003 SP1 presenti il problema descritto.

Cause

Questo problema si verifica perché il codice incrementa erroneamente il numero delle route di host nel computer quando il codice modifica la dimensione MTU di una route di host. Il numero massimo di route di host è controllato dal valore del Registro di sistema impostato in MaxIcmpHostRoutes. Il numero predefinito di route di host è 10.000. A causa dell'incremento errato, il numero di route di host alla fine raggiunge il valore massimo, dopo di che i pacchetti ICMP vengono ignorati.

Nota Il numero predefinito di route di host era indicato erroneamente come 1.000 nella versione originale di questo articolo. La modifica in 10.000 costituisce una correzione, non una modifica del codice.

Risoluzione

Informazioni sull'aggiornamento della protezione

Per risolvere il problema, installare l'aggiornamento della protezione 913446 (Bollettino sulla sicurezza MS06-007). Per informazioni su come ottenere e installare l'aggiornamento della protezione 913446, visitare il seguente sito Web Microsoft: Nota L'aggiornamento della protezione 913446 (Bollettino sulla sicurezza MS06-007) sostituisce questo hotfix (898060). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

913446 MS06-007: Una vulnerabilità in TCP/IP potrebbe consentire un attacco di tipo Denial of Service
L'aggiornamento della protezione 913446 sostituisce anche l'aggiornamento della protezione 893066 (bollettino sulla sicurezza MS05-019). Per ulteriori informazioni sull'aggiornamento della protezione 893066, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

893066 MS05-019: Possibile esecuzione di codice in modalità remota e attacchi di tipo Denial of Service a causa di una vulnerabilità relativa a TCP/IP
Nota L'aggiornamento della protezione 893066 è stato aggiornato per correggere questo problema relativo alla versione originale di Windows Server 2003. Se si distribuisce l'aggiornamento della protezione 913446, non sarà necessario distribuire l'hotfix 898060 o l'aggiornamento della protezione 893066. L'aggiornamento della protezione 893066 non si applica a Windows Server 2003 con Service Pack 1.

Informazioni sull'hotfix

Nota Le informazioni riportate di seguito si applicano esclusivamente alle versioni di Windows Server 2003 con Service Pack 1 basate su x86, su Itanium e su x64 e alle versioni di Windows XP Professional basate su x64.

Un hotfix supportato è ora disponibile per il download dall'Area download Microsoft.
Microsoft Windows Server 2003 con Service Pack 1, versioni basate su x86
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=A0245532-0ACE-4B85-85BF-758E936173DF
Microsoft Windows Server 2003 con Service Pack 1, versioni basate su Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=en (informazioni in lingua inglese)
Microsoft Windows Server 2003 con Service Pack 1, versioni basate su x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en (informazioni in lingua inglese)
Microsoft Windows XP, versioni basate su x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en (informazioni in lingua inglese)

Questo hotfix consente di correggere il problema di connettività di rete descritto in questo articolo della Microsoft Knowledge Base. Si consiglia di installare l'hotfixo solo nei sistemi in cui si verifica questo problema specifico. È possibile considerare la possibilità di installare l'hotfix per prevenire futuri problemi di connettività simili a quello descritto in questo articolo.

La versione aggiornata dell'hotfix per Windows Server 2003 Service Pack 1 (SP1) contiene una modifica che consente di risolvere un problema che si verifica solo quando si eseguono prodotti Internet Security Systems (ISS).

Informazioni sui file

La versione in lingua inglese di questo hotfix presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Microsoft Windows Server 2003 con Service Pack 1, versioni basate su x86

Data Ora Versione Dimensione Nome file Piattaforma Cartella
--------------------------------------------------------------------------
26/05/2005 01.06 5.2.3790.2453 333.312 Tcpip.sys x86 SP1GDR
26/05/2005 01.10 5.2.3790.2453 333.312 Tcpip.sys x86 SP1QFE
Microsoft Windows Server 2003 con Service Pack 1, versioni basate su Itanium

Data Ora Versione Dimensione Nome file Piattaforma Cartella
--------------------------------------------------------------------------
26/05/2005 02.17 5.2.3790.2453 1.116.160 Tcpip.sys IA-64 SP1GDR
26/05/2005 02.17 5.2.3790.2453 1.116.160 Tcpip.sys IA-64 SP1QFE
Microsoft Windows Server 2003, versioni basate su x64

Data Ora Versione Dimensione Nome file Piattaforma Cartella
--------------------------------------------------------------------------
26/05/2005 02.32 5.2.3790.2453 702.976 Tcpip.sys x64 SP1GDR
26/05/2005 02.32 5.2.3790.2453 702.976 Tcpip.sys x64 SP1QFE
Microsoft Windows XP, versioni basate su x64

Data Ora Versione Dimensione Nome file Piattaforma Cartella
--------------------------------------------------------------------------
26/05/2005 02.32 5.2.3790.2453 702.976 Tcpip.sys x64 SP1GDR
26/05/2005 02.32 5.2.3790.2453 702.976 Tcpip.sys x64 SP1QFE
Nota Le informazioni sui file sono le stesse per le versioni x64 di Microsoft Windows Server 2003 e di Microsoft Windows XP.

Workaround

Per aggirare questo problema, impostare la dimensione MTU predefinita in base alla dimensione massima che i router sono in grado di elaborare. Il valore MTU effettivo richiesto per ovviare a questo problema dipende dalla configurazione della rete. Tuttavia, un valore MTU pari a 576 dovrebbe ridurre l'effetto del problema, in quanto i router su Internet dovrebbero essere in grado di gestire questo tipo di pacchetti senza frammentarli. È necessario riavviare il computer affinché la modifica del Registro di sistema abbia effetto.
Per ulteriori informazioni sulla modifica delle impostazioni MTU definite nel Registro di sistema, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:

120642 Parametri di configurazione di TCP/IP e NetBT per Windows 2000 o Windows NT

314053 Parametri di configurazione di TCP/IP e NBT per Windows XP

Importante A seconda della configurazione di rete e delle applicazioni di rete utilizzate, l'impostazione di un valore MTU ridotto può causare un degrado delle prestazioni della rete.

Informazioni

Il parametro MTU sostituisce il valore predefinito MTU (Maximum Transmission Unit) per un'interfaccia di rete. Il valore MTU corrisponde alla dimensione massima del pacchetto in byte che il trasporto trasmetterà sulla rete sottostante. La dimensione include l'intestazione del trasporto. Tenere presente che un datagramma IP può occupare più pacchetti. Specificando un valore superiore a quello predefinito per la rete sottostante, il trasporto utilizzerà il valore di MTU predefinito. Specificando un valore inferiore a 68, verrà invece utilizzato un valore di MTU pari a 68.

Chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID scheda
Tipo valore: REG_DWORD Numero
Intervallo valido: tra 68 e MTU della rete sottostante
Predefinito: 0xFFFFFFFF

Nota ID scheda è la scheda di rete a cui è connesso TCP/IP. Per stabilire la relazione tra un ID scheda e una connessione di rete, vedere HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ID scheda\Connection. Il valore Nome di queste chiavi rappresenta il nome di una connessione di rete utilizzata nella cartella Connessioni di rete. I valori di queste chiavi sono specifici di ogni scheda. I parametri per i quali può esistere sia un valore DHCP configurato che un valore configurato statisticamente potrebbero non essere presenti, a seconda che il computer o la scheda sia configurata dal servizio DHCP e siano stati specificati valori sostitutivi statici.

Il problema è illustrato dalla seguente traccia della rete.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 003  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: Notice the Next Hop MTU being smaller,and router requesting the sender to fragment the packet 10.ICMP: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignores the ICMP packet 11, and resends the same packet 10 without fragmentation 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25. 
I prodotti di terze parti citati in questo articolo sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

900926 Impostazioni TCP/IP consigliate per i collegamenti WAN con una dimensione MTU inferiore a 576
Proprietà

ID articolo: 898060 - Ultima revisione: 22 mag 2009 - Revisione: 1

Feedback