CPU-bruken kan være mer enn 50 prosent når en ISA Server 2004-datamaskinen er i bruk under forhold med tung belastning


Viktig Denne artikkelen inneholder informasjon om hvordan du endrer registret. Pass på at du sikkerhetskopierer registret før du endrer den. Kontroller at du vet hvordan du gjenoppretter registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer, gjenoppretter og endrer registeret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
256986 beskrivelse av Microsoft Windows-registret

Symptomer


Når en Microsoft Internet Security and Acceleration Server (ISA) 2004-baserte datamaskinen er i bruk under forhold med tung belastning kan du opplever høy CPU-bruk. CPU-bruk på ISA Server-datamaskinen kan for eksempel være mer enn 50 prosent.

Årsak


Dette problemet kan oppstå på grunn av TCP/IP maksimal overføringsenhet (MTU) som brukes under installasjonen av ISA Server.

Hvis du vil hindre at en angriper endrer MTU-verdien, deaktiverer ISA Server 2004 oppdaging av path MTU (PMTU). Denne innstillingen er dokumentert i Microsofts sikkerhetsbulletin MS05-019. Hvis du vil se denne bulletinen, kan du gå til følgende Microsoft-webområde:Notater
  • Som standard Windows bruker en MTU-innstilling på 1 480 byte og godtar Internet Control Message Protocol (ICMP)-meldinger som krever mindre pakkestørrelser.
  • Hvis MTU discovery er deaktivert på en Windows-basert server, bruker serveren innstillingen en MTU på 576 byte.

Løsning


Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feilaktig ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar.

Følg disse trinnene for å løse problemet som er forårsaket av MTU-innstillingen konfigureres under installasjonen av ISA Server.

Viktig Du må gjøre dette registret endres hvis du har installert Windows Server 2003 Service Pack 1 (SP1) eller hurtigreparasjonen som er beskrevet i følgende Microsoft Knowledge Base-artikkel:

898060 nettverksforbindelsen mellom klienter og servere kan mislykkes etter at du installerer sikkerhetsoppdateringen MS05-019 eller Windows Server 2003 Service Pack 1

  1. Klikk Start, klikk Kjør, Skriv inn regedit, og klikk deretter OK.
  2. Finn og høyreklikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery

    Verditype: REG_DWORD
    Verdi: 0, 1 (USANN eller SANN)
    ISA-standardverdi: 0 (USANN)

    Obs! Hvis oppføringen EnablePMTUDiscovery er tilgjengelig, oppretter du oppføringen.
  3. Hvis det er aktuelt, kan du angi eller endre verdien i henhold til følgende informasjon:
    • Verdi = 1
      Når du angir EnablePMTUDiscovery til 1, prøver TCP å finne enten MTU eller den største pakkestørrelsen i banen til en ekstern vert. TCP kan fjerne fragmentering i banen som kobler sammen nettverk med forskjellige MTUer. TCP gjør dette ved å oppdage MTU-banen og begrense TCP-segmenter til denne størrelsen. Fragmentering påvirker TCP-gjennomstrømming negativt.
    • Verdi = 0
      Når du angir EnablePMTUDiscovery til 0, brukes en MTU på 576 byte for alle tilkoblinger som ikke er relatert til verter på det lokale delnettet. Hvis du ikke angir denne verdien til 0, kan angriperen fremtvinge MTU-verdien til en svært liten verdi og overwork stakken.

      Notater
      • Når du angir EnablePMTUDiscovery 0, er TCP/IP-ytelsen og kapasiteten berørt. Du må være fullt klar over ytelse gjennomstrømningen før du setter denne verdien til 0.
      • Når du installerer et ISA Server 2004 eller i ISA Server 2004 Service Pack 1, vil denne verdien også tilbakestilles til 0.
      • ISA Server 2004 Service Pack 2, endres ikke verdien for EnablePMTUDiscovery.
  4. For å delta i prosessen for oppdaging av, kan du opprette en tilgangsregel for ICMP MTU for ISA Server. Hvis du vil gjøre dette, følger du fremgangsmåten som er beskrevet i følgende deler, avhengig av konfigurasjonen.
  5. Avslutt Registerredigering, og start deretter datamaskinen på nytt.

ISA Server 2004, Standard Edition

  1. Klikk Start, programmer, Microsoft ISA Server, og klikk deretter Behandling av ISA Server.
  2. Utvid matrisenavni den venstre ruten, og klikk deretter Brannmurpolicyen.
  3. I oppgaveruten, klikk kategorien verktøykassen , og klikk deretter protokoller.
  4. Under protokoller, klikker du Ny, og klikk deretter protokollen.
  5. I protokollen Definisjonsnavn -boksen skriver du inn ICMP MTU Discovery.
  6. Klikk Ny, og klikk deretter ICMP i listen protokolltypen .
  7. I retning -listen klikker du Send motta.
  8. Skriv 4 i boksen ICMP-kode , 3 i boksen ICMP-Type , og klikk deretter OK.
  9. Klikk Neste, klikk Fullførog klikk deretter Bruk.
  10. I venstre rute, høyreklikk Brannmurpolicyen, klikker du Nyog deretter Tilgangsregel.
  11. I Access navn -boksen skriver du inn Tillate ICMP MTU Discovery.
  12. Klikk Tillat, og klikk deretter Neste.
  13. I dette regler gjelder -listen klikker du valgte protokoller.
  14. Utvid Brukerdefinerti listen over protokoller .
  15. Klikk Legg til Oppdaging av ICMP-MTU, klikker du Lukk, og deretter klikker du Neste.
  16. Klikk Legg til.
  17. Utvid nettverki listen over enheter i nettverket .
  18. Klikk eksternt, og klikk deretter Legg til.
  19. Klikk Legg til internt, klikker du Lukk, og deretter klikker du Neste.
  20. Klikk Legg til.
  21. Utvid nettverki listen over enheter i nettverket .
  22. Klikk Legg til Lokal vert, klikker du Lukk, og klikk deretter Neste to ganger.
  23. Klikk Fullfør, og klikk deretter Bruk.

ISA Server 2004, Enterprise Edition

Opprette ICMP-protokollen på organisasjonsnivå for ISA Server 2004, Enterprise Edition til å delta i prosessen for oppdaging av ICMP MTU, og deretter opprette tilgangsregelen ICMP MTU på matrise-nivå.

Slik oppretter du ICMP-protokollen på enterprise-nivå

  1. Klikk Start, programmer, Microsoft ISA Server, og klikk deretter Behandling av ISA Server.
  2. Utvid Enterprisei den venstre ruten, og klikk deretter Organisasjonspolicyer.
  3. I oppgaveruten, klikk kategorien verktøykassen , og klikk deretter protokoller.
  4. Under protokoller, klikker du Ny, og klikk deretter protokollen.
  5. I protokollen Definisjonsnavn -boksen skriver du inn ICMP MTU Discovery.
  6. Klikk Ny, og klikk deretter ICMP i listen protokolltypen .
  7. Skriv 4 i boksen ICMP-kode , 3 i boksen ICMP-Type , og klikk deretter OK.
  8. Klikk Neste, klikk Fullførog klikk deretter Bruk.

    Obs! En tilgangsregel Enterprise kan ikke opprettes for brukerdefinerte ICMP-protokollen når du bruker veiviseren for oppretting av regelen.
Hvis du vil ha mer informasjon om hvordan du bruker brukerdefinerte ICMP-protokollen i ISA Server 2004, Enterprise Edition-policyer, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

902348 og brukerdefinerte ICMP-protokollen, vises ikke i den Access veiviser for ny regel i ISA Server 2004 Enterprise Edition

Hvordan du oppretter tilgangsregelen ICMP MTU manuelt hvis du har en enkelt rekke i nettverket

  1. Klikk Start, programmer, Microsoft ISA Server, og klikk deretter Behandling av ISA Server.
  2. I den venstre ruten utvider matriser, og utvid deretter matrisenavn.
  3. Høyreklikk Firewall Policy, klikker du Ny, og klikk deretter Tilgangsregel.
  4. I Access navn -boksen skriver du inn Tillate ICMP MTU Discovery.
  5. Klikk Tillat, og klikk deretter Neste.
  6. I dette regler gjelder -listen klikker du valgte protokoller.
  7. Utvid Brukerdefinerti listen over protokoller .
  8. Klikk Legg til Oppdaging av ICMP-MTU, klikker du Lukk, og deretter klikker du Neste.
  9. Klikk Legg til.
  10. Utvid nettverki listen over enheter i nettverket .
  11. Klikk eksternt, og klikk deretter Legg til.
  12. Klikk Legg til internt, klikker du Lukk, og deretter klikker du Neste.
  13. Klikk Legg til.
  14. Utvid nettverki listen over enheter i nettverket .
  15. Klikk Legg til Lokal vert, klikker du Lukk, og klikk deretter Neste to ganger.
  16. Klikk Fullfør, og klikk deretter Bruk.

Hvordan du oppretter regelen ICMP MTU access Hvis du har flere medlemmer i matrisen i nettverket

Metode 1

  1. Opprette tilgangsregelen ICMP MTU manuelt på den første matrisen. Hvis du vil gjøre dette, følger du fremgangsmåten som er beskrevet for å opprette en tilgangsregel for en matrise.
  2. Kopier tilgangsregelen ICMP MTU. Følg denne fremgangsmåten:
    1. Klikk Start, programmer, Microsoft ISA Server, og klikk deretter Behandling av ISA Server.
    2. I den venstre ruten utvider matriser, og utvid deretter matrisenavn.
      Matrisenavn er den første matrisen som du opprettet tilgangsregelen ICMP MTU.
    3. Klikk Brannmurpolicyen, høyreklikker du Tillate ICMP MTU Discovery regelen under Policy brannmurreglerog deretter Kopier.
  3. Lim inn tilgangsregelen ICMP MTU i hver matrise. Følg denne fremgangsmåten:
    1. I ISA Server Management Microsoft Management Console (MMC), Utvid matrise der du vil lime inn tilgangsregelen ICMP MTU, og klikk deretter Brannmurpolicyen.
    2. I den midtruten, høyreklikk matrise policyregelen du vil umiddelbart etter ICMP MTU tilgangsregelen og deretter Lim inn.

      Obs! Hvis det finnes ingen policyregler for matrise, må du opprette en ny policyregel for matrisen før du kan lime inn tilgangsregelen ICMP MTU i matrise-policy.
    3. Klikk Bruk.
  4. Gjenta trinn 3a til 3c før du kopierer tilgangsregelen ICMP MTU for alle medlemmer av matrisen.

Metode 2

  1. Opprette tilgangsregelen ICMP MTU manuelt på den første matrisen. Hvis du vil gjøre dette, følger du fremgangsmåten som er beskrevet for å opprette ICMP MTU tilgangsregel for en matrise.
  2. Eksportere tilgangsregelen ICMP MTU. Følg denne fremgangsmåten:
    1. Utvid matrise der du opprettet tilgangsregelen ICMP MTU i ISA Server Management MMC, og klikk deretter Brannmurpolicyen.
    2. Høyreklikk Tillate ICMP MTU Discovery regelen under Brannmurregler for policyen, og klikk deretter Eksporter merket.
    3. Klikk Nestei veiviseren for eksport .
    4. Klikk Nestepå siden Eksporter innstillinger .
    5. Klikk Bla gjennompå siden Eksporter filplassering .
    6. Velg en plassering der du vil eksportere ICMP MTU Discovery regelen, skriver du inn MtuDiscoveryRule i filnavn -boksen, og klikk deretter Åpne.
    7. Klikk Nesteog deretter Fullfør for å avslutte veiviseren.
    8. Klikk OK når fremdriftsindikatoren viser en melding om at konfigurasjonen er eksportert.
  3. Importere tilgangsregelen ICMP MTU i hver matrise. Følg denne fremgangsmåten:
    1. Utvid matrise der du vil importere tilgangsregelen ICMP MTU i ISA Server Management MMC, og høyreklikk deretter Brannmurpolicyen.
    2. Klikk Importer.
    3. Klikk Nestei veiviseren for Import.
    4. Klikk Bla gjennom, og finn deretter mappen der du lagret MtuDiscoveryRule -filen i trinn 2f.
    5. Klikk filen MtuDiscoveryRule , og klikk deretter Åpne.
    6. Klikk Neste to ganger.
    7. Klikk Fullfør.
    8. Klikk OK når fremdriftsindikatoren viser en melding om at konfigurasjonen er importert.
    9. Klikk Bruk.

Referanser


Hvis du vil ha mer informasjon om registerinnstillingene for PMTU-oppdaging i Microsoft Windows 2000, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

315669 hvordan man kan styrke TCP/IP-stakken mot avvisning av tjenesteangrep i Windows 2000


Hvis du vil ha mer informasjon om registerinnstillingene for PMTU-oppdaging i Microsoft Windows Server 2003, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

324270 hvordan man kan styrke TCP/IP-stakken mot avvisning av tjenesteangrep i Windows Server 2003