Użycie procesora może być więcej niż 50 procent, gdy komputer z programem ISA Server 2004 działa w warunkach dużego obciążenia

Ważne Ten artykuł zawiera informacje dotyczące sposobu modyfikowania rejestru. Upewnij się, że kopię zapasową rejestru przed przystąpieniem do modyfikacji. Upewnij się, że wiesz, jak przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji dotyczących sposobu kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

256986 Opis rejestru systemu Microsoft Windows

Symptomy

Gdy komputer z systemem Microsoft Internet Security and Acceleration Server (ISA) 2004 działa w warunkach dużego obciążenia, może wystąpić wysokie użycie procesora CPU. Na przykład użycie procesora na komputerze z programem ISA Server może wynosić więcej niż 50 procent.

Przyczyna

To zachowanie może wystąpić z powodu ustawienia maksymalnej jednostki transmisji (MTU) protokołu TCP/IP, która jest stosowana podczas instalacji programu ISA Server. Aby uniemożliwić osobie atakującej zmianę wartości MTU, program ISA Server 2004 wyłącza odnajdywanie ścieżki MTU (PMTU). To ustawienie jest udokumentowane w biuletynie zabezpieczeń firmy Microsoft MS05-019. Aby zobaczyć ten biuletyn, odwiedź następującą witrynę firmy Microsoft w sieci Web:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxUwagi

  • Domyślnie system Windows używa ustawienia MTU 1 480 bajtów i akceptuje komunikaty protokołu ICMP (Internet Control Message Protocol), które Żądaj mniejszych rozmiarów pakietów.

  • Jeśli odnajdowanie MTU jest wyłączone na serwerze z systemem Windows, serwer używa ustawienia MTU 576 bajtów.

Rozwiązanie

Ostrzeżeniem Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub przy użyciu innej metody może spowodować poważne problemy. Te problemy mogą wymagać ponownej instalacji systemu operacyjnego. Firma Microsoft nie może zagwarantować, że te problemy zostaną rozwiązane. Modyfikowanie rejestru na własne ryzyko. Aby rozwiązać problem spowodowany ustawieniem jednostki MTU skonfigurowanym podczas instalacji programu ISA Server, wykonaj następujące kroki. Ważne Należy wprowadzić tę zmianę rejestru, jeśli zainstalowano system Windows Server 2003 z dodatkiem Service Pack 1 (SP1) lub poprawkę opisaną w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

898060 łączność sieciowa między klientami a serwerami może się nie powieść po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 dla systemu Windows Server 2003

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

  2. Zlokalizuj i kliknij prawym przyciskiem myszy następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryTyp wartości: REG_DWORDValue: 0,1 (FAŁSZ, prawda) domyślna wartość ISA: 0 (FAŁSZ)Uwaga Jeśli wpis EnablePMTUDiscovery jest niedostępny, Utwórz wpis.

  3. W razie potrzeby ustaw lub zmień wartość zgodnie z następującymi informacjami:

    • Wartość = 1 Po ustawieniu EnablePMTUDiscovery na 1, TCP próbuje wykryć MTU lub największy rozmiar pakietu w ścieżce hosta zdalnego. Protokół TCP może usunąć fragmentację na routerach w ścieżce łączącej sieci, które używają różnych jednostek MTU. TCP robi to poprzez odkrywanie MTU ścieżki i ograniczając segmenty TCP do tego rozmiaru. Fragmentacja niekorzystnie wpływa na przepustowość protokołu TCP.

    • Wartość = 0 Po ustawieniu EnablePMTUDiscovery na 0, MTU 576 bajtów jest używany dla wszystkich połączeń, które nie są związane z hostami w podsieci lokalnej. Jeśli ta wartość nie zostanie ustawiona na 0, osoba atakująca może wymusić wartość MTU na bardzo małą wartość i przepracować stosu. Notatki

      • Po ustawieniu EnablePMTUDiscovery na 0, wpływ na wydajność TCP/IP i przepustowość. Musisz być w pełni świadomi przepływności wydajności, zanim ustawisz tę wartość na 0.

      • Po zainstalowaniu programu ISA Server 2004 lub dodatku Service Pack 1 dla programu ISA Server 2004 ta wartość jest również resetowany do 0.

      • Dodatek Service Pack 2 dla programu ISA Server 2004 nie zmienia wartości parametru EnablePMTUDiscovery.

  4. Aby uczestniczyć w procesie odnajdywania, należy utworzyć regułę dostępu MTU protokołu ICMP dla programu ISA Server. Aby to zrobić, wykonaj kroki opisane w poniższych sekcjach, w zależności od konfiguracji.

  5. Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.

Program ISA Server 2004, wersja standardowa

  1. Kliknij przycisk Start, wskaż polecenie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.

  2. W lewym okienku rozwiń węzeł arrayName, a następnie kliknij pozycję zasady zapory.

  3. W okienku zadań kliknij kartę Przybornik , a następnie kliknij przycisk Protokoły.

  4. W obszarze Protokołykliknij pozycję Nowy, a następnie kliknij pozycję Protokół.

  5. W polu Nazwa definicji protokołu wpisz odnajdowanie MTU protokołu ICMP, a następnie kliknij przycisk dalej.

  6. Kliknij przycisk Nowy, a następnie kliknij przycisk ICMP na liście Typ protokołu .

  7. Na liście kierunek kliknij pozycję Wyślij odbieranie.

  8. Wpisz 4 w polu Kod ICMP wpisz 3 w polu Typ protokołu ICMP , a następnie kliknij przycisk OK.

  9. Kliknij przycisk dalej, kliknij przycisk Zakończ, a następnie kliknij przycisk Zastosuj.

  10. W lewym okienku kliknij prawym przyciskiem myszy pozycję zasady zapory, kliknij polecenie Nowy, a następnie kliknij polecenie reguła dostępu.

  11. W polu Nazwa reguły dostępu wpisz Zezwalaj na ODNAJDOWANIE MTU protokołu ICMP, a następnie kliknij przycisk dalej.

  12. Kliknij przycisk Zezwalaj, a następnie kliknij przycisk dalej.

  13. W tej reguły dotyczy listy, kliknij przycisk wybrane protokoły, a następnie kliknij przycisk Dodaj.

  14. W Protokoły listy, rozwiń węzeł zdefiniowany przez użytkownika.

  15. Kliknij pozycję odnajdowanie MTU protokołu ICMP, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej.

  16. Kliknij pozycję Dodaj.

  17. Na liście jednostki sieciowe rozwiń gałąź sieci.

  18. Kliknij przycisk zewnętrzne, a następnie kliknij przycisk Dodaj.

  19. Kliknij przycisk wewnętrzny, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej.

  20. Kliknij pozycję Dodaj.

  21. Na liście jednostki sieciowe rozwiń gałąź sieci.

  22. Kliknij przycisk host lokalny, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej dwa razy.

  23. Kliknij przycisk Zakończ, a następnie kliknij przycisk Zastosuj.

Program ISA Server 2004, wersja Enterprise Edition

W przypadku programu ISA Server 2004, Enterprise Edition, aby uczestniczyć w procesie odnajdowania MTU protokołu ICMP, Utwórz protokół ICMP na poziomie przedsiębiorstwa, a następnie utwórz regułę dostępu MTU protokołu ICMP na poziomie macierzy.

Jak utworzyć protokół ICMP na poziomie przedsiębiorstwa

  1. Kliknij przycisk Start, wskaż polecenie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.

  2. W lewym okienku rozwiń węzeł Enterprise, a następnie kliknij przycisk zasady przedsiębiorstwa.

  3. W okienku zadań kliknij kartę Przybornik , a następnie kliknij przycisk Protokoły.

  4. W obszarze Protokołykliknij pozycję Nowy, a następnie kliknij pozycję Protokół.

  5. W polu Nazwa definicji protokołu wpisz odnajdowanie MTU protokołu ICMP, a następnie kliknij przycisk dalej.

  6. Kliknij przycisk Nowy, a następnie kliknij przycisk ICMP na liście Typ protokołu .

  7. Wpisz 4 w polu Kod ICMP wpisz 3 w polu Typ protokołu ICMP , a następnie kliknij przycisk OK.

  8. Kliknij przycisk dalej, kliknij przycisk Zakończ, a następnie kliknij przycisk Zastosuj. Uwaga Nie można utworzyć reguły dostępu dla przedsiębiorstw dla protokołów ICMP zdefiniowanych przez użytkownika, korzystając z Kreatora tworzenia reguł.

Aby uzyskać więcej informacji na temat używania protokołów ICMP zdefiniowanych przez użytkownika w programie ISA Server 2004, Enterprise Edition zasady, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

902348 zdefiniowane przez użytkownika protokoły ICMP nie są wyświetlane w Kreatorze nowej reguły dostępu w programie ISA Server 2004 Enterprise Edition

Jak ręcznie utworzyć regułę dostępu MTU protokołu ICMP, jeśli masz pojedynczą tablicę w sieci

  1. Kliknij przycisk Start, wskaż polecenie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.

  2. W lewym okienku rozwiń węzeł tablice, a następnie rozwiń węzeł arrayName.

  3. Kliknij prawym przyciskiem myszy pozycję zasady zapory, kliknij polecenie Nowy, a następnie kliknij polecenie reguła dostępu.

  4. W polu Nazwa reguły dostępu wpisz Zezwalaj na ODNAJDOWANIE MTU protokołu ICMP, a następnie kliknij przycisk dalej.

  5. Kliknij przycisk Zezwalaj, a następnie kliknij przycisk dalej.

  6. W tej reguły dotyczy listy, kliknij przycisk wybrane protokoły, a następnie kliknij przycisk Dodaj.

  7. W Protokoły listy, rozwiń węzeł zdefiniowany przez użytkownika.

  8. Kliknij pozycję odnajdowanie MTU protokołu ICMP, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej.

  9. Kliknij pozycję Dodaj.

  10. Na liście jednostki sieciowe rozwiń gałąź sieci.

  11. Kliknij przycisk zewnętrzne, a następnie kliknij przycisk Dodaj.

  12. Kliknij przycisk wewnętrzny, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej.

  13. Kliknij pozycję Dodaj.

  14. Na liście jednostki sieciowe rozwiń gałąź sieci.

  15. Kliknij przycisk host lokalny, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk dalej dwa razy.

  16. Kliknij przycisk Zakończ, a następnie kliknij przycisk Zastosuj.

Jak utworzyć regułę dostępu MTU protokołu ICMP, jeśli masz wiele elementów członkowskich macierzy w sieci

Metoda 1

  1. Ręcznie Utwórz regułę dostępu MTU protokołu ICMP na pierwszej tablicy. Aby to zrobić, wykonaj kroki opisane w celu utworzenia reguły dostępu dla pojedynczej macierzy.

  2. Skopiuj regułę dostępu MTU protokołu ICMP. Aby to zrobić, wykonaj następujące kroki:

    1. Kliknij przycisk Start, wskaż polecenie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.

    2. W lewym okienku rozwiń węzeł tablice, a następnie rozwiń węzeł arrayName. Arraynamejest pierwszą tablicą, dla której utworzono regułę dostępu MTU protokołu ICMP.

    3. Kliknij pozycję zasady zapory, kliknij prawym przyciskiem myszy regułę Zezwalaj na ODNAJDOWANIE MTU protokołu ICMP w obszarze reguły zasad zapory, a następnie kliknij polecenie Kopiuj.

  3. Wklej regułę dostępu MTU protokołu ICMP do każdej macierzy. Aby to zrobić, wykonaj następujące kroki:

    1. W programie ISA Server Management Microsoft Management Console (MMC) rozwiń tablicę, w której chcesz wkleić regułę dostępu MTU protokołu ICMP, a następnie kliknij pozycję zasady zapory.

    2. W środkowym okienku kliknij prawym przyciskiem myszy regułę macierzy, która ma być natychmiast przestrzegaj reguły dostępu MTU protokołu ICMP, a następnie kliknij polecenie Wklej. Uwaga Jeśli nie istnieją żadne reguły zasad tablicowych, przed wklejeniem reguły dostępu MTU protokołu ICMP do zasad macierzy należy utworzyć nową regułę zasad tablicy.

    3. Kliknij przycisk Apply (Zastosuj).

  4. Powtórz kroki od 3a do 3C, dopóki nie skopiujesz reguły dostępu MTU protokołu ICMP dla wszystkich członków macierzy.

Metoda 2

  1. Ręcznie Utwórz regułę dostępu MTU protokołu ICMP na pierwszej tablicy. Aby to zrobić, wykonaj kroki opisane w celu utworzenia reguły dostępu MTU protokołu ICMP dla pojedynczej macierzy.

  2. Eksportowanie reguły dostępu MTU protokołu ICMP. Aby to zrobić, wykonaj następujące kroki:

    1. W programie ISA Server Management MMC rozwiń tablicę, dla której utworzono regułę dostępu MTU protokołu ICMP, a następnie kliknij pozycję zasady zapory.

    2. Kliknij prawym przyciskiem myszy Zezwalaj na regułę odnajdywania MTU protokołu ICMP w obszarze reguły zapory, a następnie kliknij przycisk Eksportuj zaznaczone.

    3. W kreatorze eksportu kliknij przycisk dalej.

    4. Na stronie Preferencje eksportu kliknij przycisk dalej.

    5. Na stronie Lokalizacja pliku eksportu kliknij przycisk Przeglądaj.

    6. Wybierz lokalizację, w której zostanie wyeksportowana reguła odnajdowania MTU protokołu ICMP, wpisz Mtudiscoveryrule w polu Nazwa pliku , a następnie kliknij przycisk Otwórz.

    7. Kliknij przycisk dalej, a następnie kliknij przycisk Zakończ , aby zakończyć pracę kreatora.

    8. Kliknij przycisk OK , gdy wskaźnik postępu wyświetla komunikat, że konfiguracja została pomyślnie wyeksportowana.

  3. Zaimportuj regułę dostępu MTU protokołu ICMP do każdej macierzy. Aby to zrobić, wykonaj następujące kroki:

    1. W programie ISA Server Management MMC rozwiń tablicę, w której chcesz zaimportować regułę dostępu MTU protokołu ICMP, a następnie kliknij prawym przyciskiem myszy pozycję zasady zapory.

    2. Kliknij przycisk Importuj.

    3. W Kreatorze importu kliknij przycisk dalej.

    4. Kliknij przycisk Przeglądaj, a następnie zlokalizuj folder, w którym zapisano plik Mtudiscoveryrule w kroku 2f.

    5. Kliknij plik Mtudiscoveryrule , a następnie kliknij przycisk Otwórz.

    6. Kliknij przycisk dalej dwa razy.

    7. Kliknij przycisk Zakończ.

    8. Kliknij przycisk OK , gdy wskaźnik postępu wyświetla komunikat, że konfiguracja została pomyślnie zaimportowana.

    9. Kliknij przycisk Apply (Zastosuj).

Informacje

Aby uzyskać więcej informacji na temat ustawień rejestru odnajdywania PMTU w systemie Microsoft Windows 2000 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

315669 jak twardnieje stosu TCP/IP przed atakami typu odmowa usługi w systemie Windows 2000Aby uzyskać więcej informacji na temat ustawień rejestru odnajdywania PMTU w systemie Microsoft Windows Server 2003 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

324270 jak twardnieje stosu TCP/IP przed atakami typu odmowa usługi w systemie Windows Server 2003

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jak zadowalająca jest jakość tłumaczenia?

Co wpłynęło na Twoje wrażenia?

Czy chcesz przekazać jakieś inne uwagi? (Opcjonalnie)

Dziękujemy za opinię!

×