Streszczenie
Aktualizacja zabezpieczeń MS05-019 modyfikuje sposób sprawdzania przez system operacyjny poprawności żądań protokołu ICMP (Internet Control Message Protocol). Ta aktualizacja zabezpieczeń zapobiega atakom sieciowym opartym na protokole ICMP. W szczególnych okolicznościach ta aktualizacja zabezpieczeń może jednak powodować utratę połączeń sieciowych komputera. W tym artykule opisano trzy metody ułatwiające zapobieganie utracie połączeń sieciowych komputera po zainstalowaniu aktualizacji zabezpieczeń MS05-019.
Wprowadzenie
W tym artykule opisano zalecane ustawienia protokołu TCP/IP dla łączy sieci rozległej (WAN) z rozmiarem maksymalnej jednostki transmisji (MTU, Maximum Transmission Unit) mniejszym niż 576 bajtów.
Więcej informacji
Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować wystąpienie poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w wypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003 Aktualizacja zabezpieczeń MS05-019 modyfikuje sposób sprawdzania przez system operacyjny żądań protokołu ICMP (Internet Control Message Protocol). Ta aktualizacja zabezpieczeń ogranicza najmniejszy rozmiar jednostki MTU do 576 bajtów. Rozmiar jednostki MTU jest ograniczany w celu zapobiegania atakowi sieciowemu opartemu na protokole ICMP. W przypadku ataku sieciowego opartego na protokole ICMP rozmiar jednostki MTU może zostać zmniejszony do bardzo małej wartości. Bardzo mała wartość rozmiaru jednostki MTU może być przyczyną poważnego ograniczenia wydajności. Ograniczenie rozmiaru jednostki MTU do 576 bajtów może jednak wpływać na określone scenariusze sieci WAN, takie jak łącza satelitarne. W takich scenariuszach sieci WAN rozmiar jednostki MTU może być mniejszy niż 576 bajtów. W tych scenariuszach sieci WAN może nastąpić utrata połączeń sieciowych. Korzystając z narzędzi takich jak Monitor sieci, można ustalić, czy występują scenariusze tego typu, analizując zdarzenia sieciowe. Jeżeli dla lokalizacji docelowych, do których prowadziły utracone połączenia sieciowe, zgłoszono komunikaty protokołu ICMP informujące o niedostępności lokalizacji docelowej przy wartości MTU dla następnego skoku mniejszej niż 576 bajtów, oznacza to, że scenariusze tego typu nie występują. W szczególnych okolicznościach tego typu należy rozważyć możliwość skorzystania z jednego z następujących zaleceń. Uwaga: Nie należy korzystać z przedstawionych zaleceń, jeżeli na danym komputerze nie występują opisane scenariusze. Następujące zalecenia mogą być związane z ograniczeniem przepustowości sieci.
Metoda 1. Włączenie funkcji wykrywania „czarnych dziur ” PMTU
W przypadku włączenia funkcji wykrywania „czarnych dziur” PMTU (Path Maximum Transfer Unit — maksymalna jednostka transmisji ścieżki) protokół TCP będzie podejmował próby wysyłania segmentów, które nie mają ustawionego bitu Nie fragmentuj (Don't fragment). Protokół TCP będzie usiłował wysyłać te segmenty, jeżeli kilka ponownych transmisji segmentu nie zostanie potwierdzonych. Jeżeli segment zostanie potwierdzony, maksymalny rozmiar segmentu (MSS) zostanie zredukowany, a bit Don't Fragment (Nie fragmentuj) zostanie ustawiony w przyszłych pakietach w danym połączeniu.
Jest to preferowana metoda, ponieważ rozmiar pakietu jest zmniejszany tylko dla problematycznego segmentu. Funkcja wykrywania „czarnych dziur” zwiększa maksymalną liczbę ponownych transmisji dla określonego segmentu. Aby włączyć funkcję wykrywania „czarnych dziur” dla jednostek PMTU, wykonaj następujące kroki:-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
-
Zlokalizuj następujący klucz w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz EnablePMTUBHDetect, a następnie naciśnij klawisz ENTER.
-
W menu Edycja kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość 1, a następnie kliknij przycisk OK.
-
Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
Metoda 2. Wyłączenie funkcji wykrywania PMTU
W przypadku wyłączenia funkcji wykrywania PMTU protokół TCP będzie wysyłał tylko pakiety o maksymalnym rozmiarze jednostki (MTU) 576, które nie mają ustawionego bitu Nie fragmentuj (Don't Fragment). Takie rozwiązanie umożliwia routerom fragmentowanie pakietu i wysyłanie go poprzez sieci.
Ta metoda wpływa na pakiety wysyłane do wszystkich lokalizacji docelowych. W większości wypadków poziom wydajności będzie dostateczny przy rozmiarze pakietu równym 576 bajtów. Wydajność będzie jednak niższa niż wówczas, gdy funkcja odnajdywania jest włączona dla jednostek PMTU, a dla ścieżki jest obsługiwany rozmiar jednostki MTU większy niż 576 bajtów. Aby wyłączyć funkcję odnajdywania dla jednostek PMTU, wykonaj następujące kroki:-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
-
Zlokalizuj następujący klucz w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz EnablePMTUDiscovery, a następnie naciśnij klawisz ENTER.
-
W menu Edycja kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.
-
Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
Metoda 3. Ręczne ustawienie rozmiaru MTU dla interfejsu sieciowego
W przypadku ręcznego ustawienia rozmiaru MTU dla interfejsu sieciowego ustawienie to zastępuje domyślną wartość MTU dla interfejsu sieciowego. Rozmiar jednostki MTU jest maksymalnym rozmiarem pakietu transmitowanego przez warstwę transportu sieci podanym w bajtach.
Ta metoda wpływa na pakiety wysyłane do wszystkich lokalizacji docelowych i może w znacznym stopniu wpływać na wydajność zależnie od ustawionego rozmiaru jednostki MTU. Aby ustawić rozmiar jednostki MTU dla interfejsu sieciowego, wykonaj następujące kroki:-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
-
Zlokalizuj następujący klucz w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
-
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz MTU, a następnie naciśnij klawisz ENTER.
-
W menu Edycja kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość rozmiaru jednostki MTU, a następnie kliknij przycisk OK.
-
Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
Materiały referencyjne
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
898060 Połączenia sieciowe między klientami i serwerami mogą przestać działać po zainstalowaniu aktualizacji zabezpieczeń MS05-019 lub dodatku Service Pack 1 dla systemu Windows Server 2003 Aby uzyskać więcej informacji dotyczących protokołu TCP/IP, odwiedź następującą witrynę TechNet firmy Microsoft w sieci Web:
Omówienie pracy w sieci i protokołu TCP/IPhttp://technet.microsoft.com/pl-pl/library/cc739443(en-us).aspx