Importante Este artigo contém informações sobre como modificar o registo. Certifique-se efectuar cópias de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança, restaurar e modificar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

256986 descrição do registo do Microsoft Windows

Sintomas

Quando um Microsoft Internet Security and Acceleration Server (ISA) 2004 com base no computador está a funcionar em condições de sobrecarga, poderá detectar utilização da CPU elevada. Por exemplo, a utilização da CPU no computador do ISA Server pode ser mais do que 50 por cento.

Causa

Este comportamento pode ocorrer devido a TCP/IP máximo unidade de transmissão (MTU) que é aplicada durante a instalação do ISA Server.Para impedir que um intruso altere o valor de MTU, o ISA Server 2004 desactiva a descoberta do caminho MTU (PMTU). Esta definição está documentada no boletim de segurança Microsoft MS05-019. Para ver este boletim, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxNotas

  • Por predefinição, o Windows utiliza uma definição de MTU de 1.480 bytes e aceita mensagens de Internet Control Message Protocol (ICMP) que peçam tamanhos de pacote mais pequenos.

  • Se a identificação da MTU é desactivada num servidor baseado no Windows, o servidor utiliza uma definição de MTU de 576 bytes.

Resolução

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.Para resolver o comportamento é causado pela definição MTU configurado durante a instalação do ISA Server, siga estes passos.Importante Tem de efectuar esta alteração se tiver instalado o Windows Server 2003 Service Pack 1 (SP1) ou a correcção que é descrita no seguinte artigo da Base de dados de conhecimento da Microsoft do registo:

O 898060 conectividade de rede entre clientes e servidores poderá falhar depois de instalar a actualização de segurança MS05-019 ou do Windows Server 2003 Service Pack 1

  1. Clique em Iniciar, clique em Executar, escreva regedite, em seguida, clique em OK.

  2. Localize e, em seguida, faça duplo clique na seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery Tipo de valor: REG_DWORDValor: 0, 1 (FALSO ou verdadeiro)Valor predefinido ISA: 0 (FALSO)Nota Se o movimento de EnablePMTUDiscovery estiver disponível, crie a entrada.

  3. Se for caso disso, definir ou alterar o valor de acordo com as seguintes informações:

    • Valor = 1Quando definir EnablePMTUDiscovery como 1, o TCP tenta descobrir a MTU ou o maior tamanho de pacote no caminho de um anfitrião remoto. O TCP pode eliminar a fragmentação nos routers no caminho que liga redes que utilizam diferentes MTU. TCP fá-lo por descobrir a MTU do caminho e limitando os segmentos TCP a este tamanho. A fragmentação afecta negativamente o débito do TCP.

    • Valor = 0Quando definir EnablePMTUDiscovery como 0, é utilizada uma MTU de 576 bytes para todas as ligações que não estão relacionadas com a anfitriões na sub-rede local. Se não definir este valor como 0, um intruso poderá forçar o valor de MTU para um valor muito pequeno e sobrecarregar a pilha.Notas

      • Quando definir EnablePMTUDiscovery como 0, o desempenho de TCP/IP e o débito são afectados. Tem de ser consciência do débito de desempenho antes de definir este valor como 0.

      • Quando instala o ISA Server 2004 ou ISA Server 2004 Service Pack 1, este valor também repõe a 0.

      • O ISA Server 2004 Service Pack 2 não altera o valor de EnablePMTUDiscovery.

  4. Para participar no processo de identificação, crie uma regra de acesso da MTU do ICMP para o ISA Server. Para tal, siga os passos descritos nas secções seguintes, dependendo da configuração.

  5. Saia do Editor de registo e, em seguida, reinicie o computador.

O ISA Server 2004 Standard Edition

  1. Clique em Iniciar, aponte para programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.

  2. No painel da esquerda, expanda nomematrize, em seguida, clique em Política de Firewall.

  3. No painel de tarefas, clique no separador da caixa de ferramentas e, em seguida, clique em protocolos.

  4. Em protocolos, clique em Novoe, em seguida, clique em protocolo.

  5. Na caixa de nome de definição de protocolo , escreva a Identificação da MTU do ICMPe, em seguida, clique em seguinte.

  6. Clique em Novoe, em seguida, clique em ICMP na lista tipo de protocolo .

  7. Na lista de direcção , clique em Enviar receber.

  8. Tipo 4 na caixa Código de ICMP , escreva 3 na caixa Tipo de ICMP e, em seguida, clique em OK.

  9. Clique em seguinte, clique em Concluire, em seguida, clique em Aplicar.

  10. No painel da esquerda, Política de Firewallcom o botão direito, clique em Novoe, em seguida, faça clique sobre a Regra de acesso.

  11. Na caixa nome da regra de acesso , escreva a Permitir a identificação da MTU do ICMPe, em seguida, clique em seguinte.

  12. Clique em Permitire, em seguida, clique em seguinte.

  13. Na lista Isto regras aplica-se a , clique em protocolos seleccionadase, em seguida, clique em Adicionar.

  14. Na lista de protocolos , expanda Definido pelo utilizador.

  15. Faça clique sobre a Identificação da MTU do ICMP, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte.

  16. Clique em Adicionar.

  17. Na lista de entidades de rede , expanda redes.

  18. Clique externose, em seguida, clique em Adicionar.

  19. Clique em interno, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte.

  20. Clique em Adicionar.

  21. Na lista de entidades de rede , expanda redes.

  22. Faça clique sobre o Anfitrião Local, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte duas vezes.

  23. Clique em Concluire, em seguida, clique em Aplicar.

O ISA Server 2004 Enterprise Edition

Para o ISA Server 2004 Enterprise Edition para participar no processo de identificação MTU do ICMP, crie o protocolo ICMP ao nível da empresa e, em seguida, crie a regra de acesso da MTU do ICMP ao nível da matriz.

Como criar o protocolo ICMP ao nível da empresa

  1. Clique em Iniciar, aponte para programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.

  2. No painel da esquerda, expanda a empresae, em seguida, faça clique sobre As políticas da empresa.

  3. No painel de tarefas, clique no separador da caixa de ferramentas e, em seguida, clique em protocolos.

  4. Em protocolos, clique em Novoe, em seguida, clique em protocolo.

  5. Na caixa de nome de definição de protocolo , escreva a Identificação da MTU do ICMPe, em seguida, clique em seguinte.

  6. Clique em Novoe, em seguida, clique em ICMP na lista tipo de protocolo .

  7. Tipo 4 na caixa Código de ICMP , escreva 3 na caixa Tipo de ICMP e, em seguida, clique em OK.

  8. Clique em seguinte, clique em Concluire, em seguida, clique em Aplicar.Nota Não é possível criar uma regra de acesso da empresa para protocolos ICMP definidas pelo utilizador quando utiliza o Assistente de criação da regra.

Para mais informações sobre como utilizar o protocolo ICMP definidas pelo utilizador no ISA Server 2004, as políticas de Enterprise Edition, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

902348 protocolos ICMP definidas pelo utilizador não são apresentados o novo Assistente de regras de acesso no ISA Server 2004 Enterprise Edition

Como criar manualmente a regra de acesso da MTU do ICMP, se tiver uma única matriz na rede

  1. Clique em Iniciar, aponte para programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.

  2. No painel da esquerda, expanda matrizese, em seguida, expanda nomematriz.

  3. Política de Firewallcom o botão direito, clique em Novoe, em seguida, faça clique sobre a Regra de acesso.

  4. Na caixa nome da regra de acesso , escreva a Permitir a identificação da MTU do ICMPe, em seguida, clique em seguinte.

  5. Clique em Permitire, em seguida, clique em seguinte.

  6. Na lista Isto regras aplica-se a , clique em protocolos seleccionadase, em seguida, clique em Adicionar.

  7. Na lista de protocolos , expanda Definido pelo utilizador.

  8. Faça clique sobre a Identificação da MTU do ICMP, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte.

  9. Clique em Adicionar.

  10. Na lista de entidades de rede , expanda redes.

  11. Clique externose, em seguida, clique em Adicionar.

  12. Clique em interno, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte.

  13. Clique em Adicionar.

  14. Na lista de entidades de rede , expanda redes.

  15. Faça clique sobre o Anfitrião Local, clique em Adicionar, clique em Fechare, em seguida, clique em seguinte duas vezes.

  16. Clique em Concluire, em seguida, clique em Aplicar.

Como criar a regra de acesso da MTU do ICMP, se tiver vários membros da matriz na rede

Método 1

  1. Crie manualmente a regra de acesso da MTU do ICMP na primeira matriz. Para tal, siga os passos descritos para criar a regra de acesso para uma única matriz.

  2. Copie a regra de acesso da MTU do ICMP. Para tal, siga estes passos:

    1. Clique em Iniciar, aponte para programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.

    2. No painel da esquerda, expanda matrizese, em seguida, expanda nomematriz.Nomematriz é a primeira matriz para o qual criou a regra de acesso da MTU do ICMP.

    3. Clique em Política de Firewall, com o botão direito na regra de Permitir a identificação da MTU do ICMP com As regras de política de Firewalle, em seguida, clique em Copiar.

  3. Cole cada matriz a regra de acesso da MTU do ICMP. Para tal, siga estes passos:

    1. No ISA Server consola de gestão Microsoft Management (MMC), expanda a matriz em que pretende colar a regra de acesso da MTU do ICMP e, em seguida, clique em Política de Firewall.

    2. No painel central, a regra de política de matriz que pretende imediatamente a seguir a regra de acesso da MTU do ICMP com o botão direito e, em seguida, clique em Colar.Nota Se existirem regras de política sem matriz, tem de criar uma nova regra de política de matriz antes de poder colar a regra de acesso da MTU do ICMP para a política de matriz.

    3. Clique em Aplicar.

  4. Repita os passos 3a a 3c até copiar a regra de acesso da MTU do ICMP para todos os membros da matriz.

Método 2

  1. Crie manualmente a regra de acesso da MTU do ICMP na primeira matriz. Para tal, siga os passos descritos para criar a regra de acesso da MTU do ICMP para uma única matriz.

  2. Exporte a regra de acesso da MTU do ICMP. Para tal, siga estes passos:

    1. Na MMC de gestão do ISA Server, expanda a matriz para o qual criou a regra de acesso da MTU do ICMP e, em seguida, clique em Política de Firewall.

    2. Botão direito do rato na regra de Permitir a identificação da MTU do ICMP com As regras de política de Firewalle, em seguida, clique em Exportar seleccionados.

    3. No Assistente de exportação , clique em seguinte.

    4. Na página Exportar preferências , clique em seguinte.

    5. Na página Exportar localização do ficheiro , clique em Procurar.

    6. Seleccione uma localização onde irá exportar a regra de identificação da MTU do ICMP, escreva MtuDiscoveryRule na caixa nome do ficheiro e, em seguida, clique em Abrir.

    7. Clique em seguintee, em seguida, clique em Concluir para sair do assistente.

    8. Clique em ' OK ' quando o indicador de progresso mostra uma mensagem que a configuração foi exportada com êxito.

  3. Importe a regra de acesso da MTU do ICMP para cada matriz. Para tal, siga estes passos:

    1. Na MMC de gestão do ISA Server, expandir a matriz em que pretende importar a regra de acesso da MTU do ICMP e, em seguida, clique em Política de Firewall.

    2. Clique em Importar.

    3. No Assistente para importar, clique em seguinte.

    4. Clique em Procurare, em seguida, localize a pasta onde guardou o ficheiro MtuDiscoveryRule no passo 2f.

    5. Clique no ficheiro MtuDiscoveryRule e, em seguida, clique em Abrir.

    6. Clique em seguinte duas vezes.

    7. Clique em Concluir.

    8. Clique em ' OK ' quando o indicador de progresso mostra uma mensagem que foi importada com êxito a configuração.

    9. Clique em Aplicar.

Referências

Para mais informações sobre definições de registo de detecção PMTU no Microsoft Windows 2000, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

315669 como proteger a pilha de TCP/IP contra ataques denial of service no Windows 2000Para mais informações sobre definições de registo de detecção PMTU no Microsoft Windows Server 2003, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

324270 como proteger a pilha de TCP/IP contra ataques denial of service no Windows Server 2003

Facebook LinkedIn E-mail

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade