Importante In questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

256986 Descrizione del Registro di sistema di Microsoft Windows 

Sintomi

Quando un computer basato su Microsoft Internet Security and Acceleration Server (ISA) 2004 funziona in condizioni di carico elevato, è possibile che si verifichi un utilizzo elevato della CPU. Ad esempio, l'utilizzo della CPU nel computer ISA Server può essere superiore al 50%.

Causa

Questo comportamento può verificarsi a causa dell'impostazione dell'unità massima di trasmissione TCP/IP (MTU) applicata durante l'installazione di ISA Server. Per impedire a un utente malintenzionato di modificare il valore MTU, ISA Server 2004 disabilita l'individuazione del percorso MTU (PMTU). Questa impostazione è documentata nel bollettino microsoft sulla sicurezza MS05-019. Per visualizzare questo bollettino, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxNote

  • Per impostazione predefinita, Windows utilizza un'impostazione MTU di 1.480 byte e accetta messaggi ICMP (Internet Control Message Protocol) che richiedono pacchetti di dimensioni inferiori.

  • Se l'individuazione MTU è disabilitata in un server basato su Windows, il server utilizza un'impostazione MTU di 576 byte.

Risoluzione

Avvertenza Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio e pericolo. Per risolvere il comportamento causato dall'impostazione MTU configurata durante l'installazione di ISA Server, attenersi alla seguente procedura. Importante È necessario apportare questa modifica al Registro di sistema se è stato installato Windows Server 2003 Service Pack 1 (SP1) o l'hotfix descritto nel seguente articolo della Microsoft Knowledge Base:

898060 la connettività di rete tra client e server potrebbe non riuscire dopo l'installazione dell'aggiornamento della protezione MS05-019 o Windows Server 2003 Service Pack 1

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.

  2. Individuare e fare clic con il pulsante destro del mouse sulla seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryTipo di valore: REG_DWORDValue: 0, 1 (False, True)ISA valore predefinito: 0 (False)Nota Se la voce EnablePMTUDiscovery non è disponibile, creare la voce.

  3. Se necessario, impostare o modificare il valore in base alle seguenti informazioni:

    • Il valore è 1 Quando si imposta EnablePMTUDiscovery su 1, TCP tenta di individuare l'MTU o la dimensione massima del pacchetto nel percorso di un host remoto. TCP può rimuovere la frammentazione nei router nel percorso che connette le reti che utilizzano MTU diverse. TCP esegue questa operazione individuando l'MTU del percorso e limitando i segmenti TCP a questa dimensione. La frammentazione influisce negativamente sulla velocità effettiva tcp.

    • Il valore è 0 Quando si imposta EnablePMTUDiscovery su 0, viene utilizzato un MTU di 576 byte per tutte le connessioni non correlate agli host nella subnet locale. Se non si imposta questo valore su 0, un utente malintenzionato potrebbe forzare il valore MTU a un valore molto piccolo e sovraccaricare lo stack. Note

      • Quando si imposta EnablePMTUDiscovery su 0, le prestazioni TCP/IP e la velocità effettiva sono interessate. È necessario essere completamente consapevoli della velocità effettiva delle prestazioni prima di impostare questo valore su 0.You must be fully aware of the performance throughput before you set this value to 0.

      • Quando si installa ISA Server 2004 o ISA Server 2004 Service Pack 1, questo valore viene reimpostato anche su 0.

      • ISA Server 2004 Service Pack 2 non modifica il valore di EnablePMTUDiscovery.

  4. Per partecipare al processo di individuazione, creare una regola di accesso MTU ICMP per ISA Server. A tale scopo, seguire i passaggi descritti nelle sezioni seguenti, a seconda della configurazione.

  5. Chiudere l'editor del Registro di sistema e riavviare il computer.

ISA Server 2004, Edizione Standard

  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft ISA Servere quindi Gestione ISA Server.

  2. Nel riquadro sinistro espandere NomeArray, quindi fare clic su Criterio firewall.

  3. Nel riquadro attività fare clic sulla scheda Casella degli strumenti e quindi su Protocolli.

  4. In Protocollifare clic su Nuovoe quindi su Protocollo.

  5. Nella casella Nome definizione protocollo digitareIndividuazione MTU ICMP, quindi scegliere Avanti.

  6. Fare clic su Nuovo, quindi su ICMP nell'elenco Tipo di protocollo.

  7. Nell'elenco Direzione fare clic su Invia ricezione.

  8. Digitare 4 nella casella Codice ICMP , digitare 3 nella casella Tipo ICMP e quindi scegliere OK.

  9. Fare clic su Avanti, fare clic su Finee quindi su Applica.

  10. Nel riquadro sinistro fare clic con il pulsante destro del mouse su Criterio firewall, scegliere Nuovoe quindi Fare clic su Regola di accesso.

  11. Nella casella Nome regola di accesso digitare Consenti individuazione MTU ICMP, quindi scegliere Avanti.

  12. Fare clic su Consentie quindi su Avanti.

  13. Nell'elenco Queste regole si applicano a fare clic su Protocolli selezionatie quindi su Aggiungi.

  14. Nell'elenco Protocolli espandere Definito dall'utente.

  15. Fare clic su Individuazione MTU ICMP, fare clic su Aggiungi, fare clic su Chiudie quindi su Avanti.

  16. Fare clic su Aggiungi.

  17. Nell'elenco Entità di rete espandere Reti.

  18. Fare clic su Esternoe quindi su Aggiungi.

  19. Fare clic su Interno, fare clic su Aggiungi, fare clic su Chiudie quindi fare clic su Avanti.

  20. Fare clic su Aggiungi.

  21. Nell'elenco Entità di rete espandere Reti.

  22. Fare clic su Host locale, fare clic su Aggiungi, fare clic su Chiudie quindi fare clic su Avanti due volte.

  23. Fare clic su Fine, quindi su Applica.

ISA Server 2004, Enterprise Edition

Per ISA Server 2004, Enterprise Edition può partecipare al processo di individuazione MTU ICMP, creare il protocollo ICMP a livello aziendale e quindi creare la regola di accesso MTU ICMP a livello di array.

Come creare il protocollo ICMP a livello aziendale

  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft ISA Servere quindi Gestione ISA Server.

  2. Nel riquadro sinistro espandere Organizzazionee quindi fare clic su Criteri organizzazione.

  3. Nel riquadro attività fare clic sulla scheda Casella degli strumenti e quindi su Protocolli.

  4. In Protocollifare clic su Nuovoe quindi su Protocollo.

  5. Nella casella Nome definizione protocollo digitareIndividuazione MTU ICMP, quindi scegliere Avanti.

  6. Fare clic su Nuovo, quindi su ICMP nell'elenco Tipo di protocollo.

  7. Digitare 4 nella casella Codice ICMP , digitare 3 nella casella Tipo ICMP e quindi scegliere OK.

  8. Fare clic su Avanti, fare clic su Finee quindi su Applica. Nota: Impossibile creare una regola di accesso enterprise per i protocolli ICMP definiti dall'utente quando si utilizza la creazione guidata regola.

Per ulteriori informazioni sull'utilizzo dei protocolli ICMP definiti dall'utente nei criteri di ISA Server 2004, Enterprise Edition, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

902348 protocolli ICMP definiti dall'utente non vengono visualizzati nella Creazione guidata nuova regola di accesso in ISA Server 2004 Enterprise Edition

Come creare manualmente la regola di accesso MTU ICMP se si dispone di un singolo array nella rete

  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft ISA Servere quindi Gestione ISA Server.

  2. Nel riquadro sinistro espandere Matrici, quindi NomeMatrice .

  3. Fare clic con il pulsante destro del mouse su Criterio firewall, scegliere Nuovoe quindi fare clic su Regola di accesso.

  4. Nella casella Nome regola di accesso digitare Consenti individuazione MTU ICMP, quindi scegliere Avanti.

  5. Fare clic su Consentie quindi su Avanti.

  6. Nell'elenco Queste regole si applicano a fare clic su Protocolli selezionatie quindi su Aggiungi.

  7. Nell'elenco Protocolli espandere Definito dall'utente.

  8. Fare clic su Individuazione MTU ICMP, fare clic su Aggiungi, fare clic su Chiudie quindi su Avanti.

  9. Fare clic su Aggiungi.

  10. Nell'elenco Entità di rete espandere Reti.

  11. Fare clic su Esternoe quindi su Aggiungi.

  12. Fare clic su Interno, fare clic su Aggiungi, fare clic su Chiudie quindi fare clic su Avanti.

  13. Fare clic su Aggiungi.

  14. Nell'elenco Entità di rete espandere Reti.

  15. Fare clic su Host locale, fare clic su Aggiungi, fare clic su Chiudie quindi fare clic su Avanti due volte.

  16. Fare clic su Fine, quindi su Applica.

Come creare la regola di accesso MTU ICMP se si dispone di più membri dell'array nella rete

Metodo 1

  1. Creare manualmente la regola di accesso MTU ICMP sul primo array. A tale scopo, seguire i passaggi descritti per creare la regola di accesso per una singola matrice.

  2. Copiare la regola di accesso MTU ICMP. A tale scopo, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft ISA Servere quindi Gestione ISA Server.

    2. Nel riquadro sinistro espandere Matrici, quindi NomeMatrice .ArrayName è la prima matrice per la quale è stata creata la regola di accesso MTU ICMP.

    3. Fare clic su Criterio firewall, fare clic con il pulsante destro del mouse sulla regola Consenti individuazione MTU ICMP in Regole dei criteri firewall, quindi scegliere Copia.

  3. Incollare la regola di accesso MTU ICMP in ogni array. A tale scopo, attenersi alla seguente procedura:

    1. In Microsoft Management Console (MMC) di ISA Server Management espandere la matrice in cui si desidera incollare la regola di accesso MTU ICMP, quindi fare clic su Criterio firewall.

    2. Nel riquadro centrale fare clic con il pulsante destro del mouse sulla regola dei criteri di array che si desidera seguire immediatamente la regola di accesso MTU ICMP e quindi scegliere Incolla. Nota: Se non esistono regole dei criteri di array, è necessario creare una nuova regola dei criteri di array prima di poter incollare la regola di accesso MTU ICMP nei criteri di array.

    3. Fare clic su Applica.

  4. Ripetere i passaggi da 3a a 3c fino a copiare la regola di accesso MTU ICMP per tutti i membri dell'array.

Metodo 2

  1. Creare manualmente la regola di accesso MTU ICMP sul primo array. A tale scopo, attenersi alla procedura descritta per creare la regola di accesso MTU ICMP per una singola matrice.

  2. Esportare la regola di accesso MTU ICMP. A tale scopo, attenersi alla seguente procedura:

    1. In MMC Gestione ISA Server espandere la matrice per la quale è stata creata la regola di accesso MTU ICMP e quindi fare clic su Criterio firewall.

    2. Fare clic con il pulsante destro del mouse sulla regola Consenti individuazione MTU ICMP in Regole dei criteri firewall, quindi scegliere Esporta selezione.

    3. Nell'Esportazione guidata fare clic su Avanti.

    4. Nella pagina Preferenze di esportazione, fare clic su Avanti.

    5. Nella pagina Percorso file di esportazione fare clic su Sfoglia.

    6. Selezionare un percorso in cui esportare la regola di individuazione MTU ICMP, digitare MtuDiscoveryRule nella casella Nome file e quindi fare clic su Apri.

    7. Fare clic su Avantie quindi su Fine per uscire dalla procedura guidata.

    8. Fare clic su OK quando l'indicatore di stato visualizza un messaggio che indica che la configurazione è stata esportata correttamente.

  3. Importare la regola di accesso MTU ICMP in ogni array. A tale scopo, attenersi alla seguente procedura:

    1. In MMC Gestione ISA Server espandere la matrice in cui si desidera importare la regola di accesso MTU ICMP, quindi fare clic con il pulsante destro del mouse su Criterio firewall.

    2. Fare clic su Importa.

    3. Nell'Importazione guidata fare clic su Avanti.

    4. Fare clic su Sfogliae quindi individuare la cartella in cui è stato salvato il file MtuDiscoveryRule nel passaggio 2f.

    5. Fare clic sul file MtuDiscoveryRule e quindi su Apri.

    6. Fare clic su Avanti due volte.

    7. Fare clic su Fine.

    8. Fare clic su OK quando l'indicatore di stato visualizza un messaggio che indica che la configurazione è stata importata correttamente.

    9. Fare clic su Applica.

Riferimenti

Per ulteriori informazioni sulle impostazioni del Registro di sistema di individuazione PMTU in Microsoft Windows 2000, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

315669 come proteggere lo stack TCP/IP contro gli attacchi denial of servizio in Windows 2000Per ulteriori informazioni sulle impostazioni del Registro di sistema di individuazione PMTU in Microsoft Windows Server 2003, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

324270 come proteggere lo stack TCP/IP contro gli attacchi di tipo Denial of Service in Windows Server 2003

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.