Połączenia sieciowe między klientami i serwerami mogą przestać działać po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 dla systemu Windows Server 2003

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Symptomy
Łączność sieciowa między klientami i serwerami może przestać działać. Ten błąd występuje po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 (SP1) dla systemu Microsoft Windows Server 2003. Może wystąpić jeden lub kilka z następujących symptomów:
 • Brak możliwości połączenia się z serwerami terminali lub dostępu do udziału plików.
 • Niepowodzenie replikacji kontrolera domeny przez łącza WAN.
 • Brak możliwości połączenia się z kontrolerami domeny przez serwery programu Microsoft Exchange.
 • W przypadku żądań kierowanych do serwera z internetowymi usługami informacyjnymi (IIS) firmy Microsoft może upływać limit czasu lub mogą one być bardzo powolne.
Prawdopodobieństwo wystąpienia tych symptomów jest większe w scenariuszach WAN i LAN. Scenariusze te występują zazwyczaj wtedy, gdy w sieci wykorzystywane są routery i protokoły poziomu łącza danych o różnych jednostkach MTU (Maximum Transmission Unit). W tym scenariuszu host wysyłający może otrzymać kilka komunikatów protokołu ICMP (Internet Control Message Protocol) o nieosiągalnym miejscu docelowym, które mają aktualizację jednostki MTU dla miejsca docelowego. Prawdopodobieństwo wystąpienia tych symptomów jest większe, gdy spełnione są następujące warunki:
 • W trakcie procesu PathMTUDiscovery różne routery na drodze do miejsca docelowego wysyłają aktualizacje jednostki MTU do hosta źródłowego. Może to być na przykład spowodowane tym, że host źródłowy i docelowy znajdują się w różnych segmentach sieci WAN. Ponadto segmenty te są połączone tunelem o małej jednostce MTU.
 • Wykorzystywane jest równoważenie obciążenia i/lub routing dynamiczny. W tym scenariuszu istnieją różne możliwe drogi do miejsca docelowego, których jednostka MTU jest inna niż wysyłającej podsieci i które różnią się między sobą. W związku z tym, jeśli z czasem zmienia się droga pakietów IP, mogą zostać wygenerowane różne aktualizacje jednostki MTU dla adresu docelowego.
Uwaga: Mogą istnieć również podobne scenariusze, w których te symptomy będą występować. Scenariusze te można zazwyczaj zdiagnozować, penetrując ruch sieciowy po stronie hosta źródłowego lub na jednym z pośredniczących routerów sieciowych. Jeśli przez pewien czas jest wysyłanych wiele komunikatów protokołu ICMP o nieosiągalnym miejscu docelowym dla tego samego miejsca docelowego, to na hoście źródłowym, na którym jest zainstalowana aktualizacja zabezpieczeń MS05-019 lub dodatek SP1 dla systemu Windows Server 2003, prawdopodobnie występuje ten problem.
Przyczyna
Ten problem występuje dlatego, że kod niepoprawnie zwiększa liczbę dróg do hosta na komputerze w momencie, gdy modyfikuje rozmiar MTU drogi do hosta. Maksymalna liczba dróg do hosta jest kontrolowana przez wartość rejestru w kluczu MaxIcmpHostRoutes. Liczba dróg do hosta wynosi domyślnie 10 000. Z powodu niepoprawnego zwiększania liczba dróg do hosta osiąga po pewnym czasie maksymalną wartość. Osiągnięcie maksymalnej wartości sprawia, że pakiety ICMP są ignorowane.

Uwaga: W pierwotnej wersji tego artykułu niepoprawnie podano domyślną liczbę dróg do hosta jako równą 1000. Zmiana na wartość 10 000 jest korektą i nie wynika ze zmiany w kodzie.
Rozwiązanie

Informacje dotyczące aktualizacji zabezpieczeń

Aby rozwiązać ten problem, należy zainstalować aktualizację zabezpieczeń 913446 (biuletyn zabezpieczeń MS06-007). Aby uzyskać więcej informacji o sposobie uzyskania i zainstalowania aktualizacji zabezpieczeń 913446, odwiedź następującą witrynę firmy Microsoft w sieci Web: Uwaga Aktualizacja zabezpieczeń 913446 (biuletyn zabezpieczeń MS06-007) zastępuje tę poprawkę (898060). Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
913446 MS06-007: Luka w protokole TCP/IP umożliwia atak ukierunkowany na odmowę usługi
Aktualizacja zabezpieczeń 913446 zastępuje również aktualizację zabezpieczeń 893066 (biuletyn o zabezpieczeniach MS05-019). Aby uzyskać więcej informacji na temat aktualizacji zabezpieczeń 893066, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
893066 MS05-019: Luki w protokole TCP/IP umożliwiają zdalne wykonywanie kodu i odmowę usługi
Uwaga: Aktualizacja zabezpieczeń 893066 została zaktualizowana celem rozwiązania tego problemu w oryginalnym wydaniu systemu Windows Server 2003. Po zainstalowaniu aktualizacji zabezpieczeń 913446 nie trzeba instalować poprawki 898060, ani aktualizacji zabezpieczeń 893066. Aktualizacja zabezpieczeń 893066 nie dotyczy systemu Windows Server 2003 z dodatkiem Service Pack 1.

Informacje dotyczące poprawki

Uwaga Te informacje dotyczące poprawki mają zastosowanie tylko do wersji systemu Windows Server 2003 z dodatkiem Service Pack 1 przeznaczonych dla komputerów z procesorami x86, Itanium oraz x64, a także do wersji systemu Windows XP Professional przeznaczonych dla komputerów z procesorami x64.

Obsługiwana poprawka jest dostępna do pobrania w Centrum pobierania firmy Microsoft.
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami x86)
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=pl
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=pl
Microsoft Windows Server 2003 (wersje dla komputerów z procesorami x64)
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=pl
Microsoft Windows XP (wersje dla komputerów z procesorami x64)
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=pl

Ta poprawka rozwiązuje problem z łącznością sieciową, który opisano w tym artykule z bazy wiedzy Microsoft Knowledge Base: Zaleca się zastosowanie tej poprawki w systemach, w których występuje ten problem. Można także zainstalować tę poprawkę, aby zapobiec występowaniu kolejnych — podobnych do tego problemu — problemów z łącznością.

Zaktualizowana poprawka dla systemu Windows Server 2003 z dodatkiem Service Pack 1 (SP1) zawiera zmianę dotyczącą problemu, który występuje tylko w przypadku korzystania z produktów Internet Security Systems (ISS).

Informacje o plikach

Wersja anglojęzyczna tej poprawki ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Różnicę między czasem UTC i czasem lokalnym można sprawdzić, korzystając z karty Strefa czasowa apletu Data i godzina w Panelu sterowania.
System Microsoft Windows Server 2003 z dodatkiem Service Pack 1 — wersje dla platform z procesorami x86
  Data     Godzina Wersja    Rozmiar Nazwa pliku Platforma Folder  --------------------------------------------------------------------------  26-maj-2005 01:06 5.2.3790.2453  333 312   Tcpip.sys x86    SP1GDR  26-maj-2005 01:10 5.2.3790.2453  333 312   Tcpip.sys x86    SP1QFE
Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (wersje dla komputerów z procesorami Itanium)
  Data     Godzina Wersja    Rozmiar Nazwa pliku Platforma Folder  --------------------------------------------------------------------------  26-maj-2005 02:17 5.2.3790.2453  1 116 160 Tcpip.sys IA-64   SP1GDR  26-maj-2005 02:17 5.2.3790.2453  1 116 160 Tcpip.sys IA-64   SP1QFE
Microsoft Windows Server 2003 (wersje dla komputerów z procesorami x64)
  Data     Godzina Wersja    Rozmiar Nazwa pliku Platforma Folder  --------------------------------------------------------------------------  26-maj-2005 02:32  5.2.3790.2453 702 976 Tcpip.sys  x64    SP1GDR  26-maj-2005 02:32  5.2.3790.2453 702 976 Tcpip.sys  x64    SP1QFE
Microsoft Windows XP (wersje dla komputerów z procesorami x64)
  Data     Godzina Wersja    Rozmiar Nazwa pliku Platforma Folder  --------------------------------------------------------------------------  26-maj-2005 02:32  5.2.3790.2453 702 976 Tcpip.sys  x64    SP1GDR  26-maj-2005 02:32  5.2.3790.2453 702 976 Tcpip.sys  x64    SP1QFE
Uwaga Informacje o plikach są takie same w przypadku wersji systemu Microsoft Windows Server 2003 dla komputerów z procesorami x64 oraz wersji systemu Microsoft Windows XP dla komputerów z procesorami x64.
Obejście problemu
Aby obejść ten problem, ustaw domyślny rozmiar MTU zgodnie z maksymalnym rozmiarem, jaki mogą przetwarzać routery. Rzeczywista wartość MTU wymagana do obejścia tego problemu zależy od konfiguracji sieci. Wartość MTU równa 576 powinna ograniczyć skutki tego problemu, ponieważ routery w Internecie będą w stanie obsługiwać pakiety bez dzielenia ich na fragmenty. Aby ta zmiana w rejestrze została wprowadzona, należy ponownie uruchomić komputer. Aby uzyskać więcej informacji dotyczących zmieniania ustawień rejestru dla jednostki MTU, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
120642 Parametry konfiguracji TCP/IP i NBT dla systemu Windows
314053 Parametry konfiguracji TCP/IP i NBT dla systemu Windows XP
Ważne: W zależności od konfiguracji sieci i stosowanych zazwyczaj aplikacji do obsługi sieci ustawienie niższej domyślnej wartości MTU może spowodować zmniejszenie wydajności sieci.
Więcej informacji
Parametr MTU zastępuje domyślną jednostkę MTU (Maximum Transmission Unit) dla interfejsu sieciowego. Jednostka MTU jest maksymalnym rozmiarem pakietu (podanym w bajtach), którego transport jest przesyłany przez daną sieć. Rozmiar zawiera nagłówek transportu. Datagram IP może obejmować kilka pakietów. Podanie wartości większej niż domyślna dla danej sieci spowoduje wykorzystanie przez transport domyślnej wartości MTU sieci. Podanie wartości mniejszej niż 68 spowoduje wykorzystanie przez transport jednostki MTU równej 68.

Klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\identyfikator_karty
Typ wartości: REG_DWORD — liczba
Zakres prawidłowych wartości: 68 – maksymalna jednostka transmisji (MTU) podstawowej sieci
Wartość domyślna: 0xFFFFFFFF

Uwaga: Symbol zastępczy identyfikator_karty oznacza kartę sieciową, z którą jest powiązany protokół TCP/IP. Aby ustalić relację między identyfikatorem karty i połączeniem sieciowym, należy sprawdzić klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\identyfikator_karty\Connection. Nazwa wartości w tych kluczach to przyjazna nazwa połączenia sieciowego, która jest używana w folderze Połączenia sieciowe. Wartości w tych kluczach są zależne od karty. Parametry, które mają wartość skonfigurowaną przez protokół DHCP i statycznie skonfigurowaną wartość, mogą nie istnieć. Ich istnienie zależy od tego, czy komputer lub karta jest konfigurowana przez protokół DHCP i czy są określone statyczne wartości zastępowania.

Problem przedstawiono na przykładzie poniższych wyników śledzenia sieci.
001 CLIENT TRMSRV TCP Control Bits: ....S., len:  0, seq:1962957351-1962957352, ack:     0, win:65535, src: 1083 dst: 3389 002 TRMSRV CLIENT TCP Control Bits: .A..S., len:  0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389 dst: 1083 003 TRMSRV CLIENT TCP Control Bits: .A..S., len:  0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389 dst: 1083 004 CLIENT TRMSRV TCP Control Bits: .A...., len:  0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083 dst: 3389 005 CLIENT TRMSRV TCP Control Bits: .AP..., len:  39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083 dst: 3389 006 TRMSRV CLIENT TCP Control Bits: .AP..., len:  11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389 dst: 1083 007 CLIENT TRMSRV TCP Control Bits: .A...., len: 280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083 dst: 3389 008 TRMSRV CLIENT TCP Control Bits: .A...., len:  0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389 dst: 1083 009 CLIENT TRMSRV TCP Control Bits: .AP..., len: 132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083 dst: 3389 010 TRMSRV CLIENT TCP Control Bits: .AP..., len: 333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389 dst: 1083 011 ROUTER TRMSRV ICMP Destination Unreachable: 10.102.45.12 (See frame 009) Inside 011: Zwróć uwagę na to, że parametr Next Hop MTU jest coraz mniejszy, a router żąda od nadawcy podzielenia na fragmenty pakietu 10. ICMP: Destination Unreachable: 10.102.45.12 (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set    <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                 <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012 CLIENT TRMSRV TCP Control Bits: .AP..., len: 132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083 dst: 3389 013 TRMSRV CLIENT TCP Control Bits: .A...., len:  0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389 dst: 1083 014 TRMSRV CLIENT TCP Control Bits: .AP..., len: 333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389 dst: 1083 TRMSRV ignoruje pakiet ICMP 11 i wysyła ponownie ten sam pakiet 10 bez dzielenia na fragmenty 015 ROUTER TRMSRV ICMP Destination Unreachable: 10.102.45.12 (See frame 014) 016 TRMSRV CLIENT TCP Control Bits: .AP..., len: 333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389 dst: 1083 017 ROUTER TRMSRV ICMP Destination Unreachable: 10.102.45.12 (See frame 016) 018 TRMSRV CLIENT TCP Control Bits: .AP..., len: 333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389 dst: 1083 019 ROUTER TRMSRV ICMP Destination Unreachable: 10.102.45.12 (See frame 017) 020 CLIENT TRMSRV TCP Control Bits: .AP..., len:  9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083 dst: 3389 021 CLIENT TRMSRV TCP Control Bits: .A...F, len:  0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083 dst: 3389 022 TRMSRV CLIENT TCP Control Bits: .A...., len:  0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389 dst: 1083 023 TRMSRV CLIENT TCP Control Bits: .A.R.., len:  0, seq:3814299788-3814299788, ack:1962957813, win:  0, src: 3389 dst: 1083 024 CLIENT TRMSRV TCP Control Bits: .A...., len:  0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083 dst: 3389 025 TRMSRV CLIENT TCP Control Bits: ...R.., len:  0, seq:3814299455-3814299455, ack:3814299455, win:  0, src: 3389 dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25.
Produkty omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.
Materiały referencyjne
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
900926 Zalecane ustawienia protokołu TCP/IP dla łączy WAN z rozmiarem jednostki MTU mniejszym niż 576 bajtów
Właściwości

Identyfikator artykułu: 898060 — ostatni przegląd: 08/12/2008 12:24:42 — zmiana: 15.4

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Home Edition SP1, Microsoft Windows XP Home Edition SP2, Microsoft Windows XP Professional SP1, Microsoft Windows XP Professional SP2, Microsoft Windows 2000 Advanced Server SP3, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Server SP4, Microsoft Windows XP Professional x64 Edition

 • kbresolve atdownload kbwinserv2003sp2fix kbqfe kbsecurity kbprb KB898060
Opinia