Использование процессора может быть более 50 процентов, когда компьютер ISA Server 2004 работает в условиях большой нагрузки

Важно Эта статья содержит информацию о том, как изменить реестр. Убедитесь в том, чтобы создать резервную перегоняем резервную перебежку, прежде чем изменить его. Убедитесь, что вы знаете, как восстановить реестр, если возникает проблема. Для получения дополнительной информации о том, как создать резервную базу, восстановить и изменить реестр, нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

256986 Описание реестра Microsoft Windows

Симптомы

Когда компьютер Microsoft Internet Security and Acceleration Server (ISA) 2004 работает в условиях большой нагрузки, вы можете столкнуться с высоким уровнем использования процессора. Например, использование процессора на компьютере ISA Server может состоевать более 50 процентов.

Причина

Такое поведение может произойти из-за настройки блока максимальной передачи TCP/IP (MTU), которая применяется при установке ISA Server. Чтобы не допустить изменения значения MTU, ISA Server 2004 отменяет обнаружение пути MTU (PMTU). Эта настройка задокументирована в бюллетене безопасности Корпорации Майкрософт MS05-019. Чтобы увидеть этот бюллетень, посетите следующий веб-сайт Майкрософт:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxПримечания.

  • По умолчанию Windows использует настройку MTU в 1480 байт и принимает сообщения протокола интернет-сообщения управления интернетом (ICMP), которые запрашивают меньшие размеры пакетов.

  • Если открытие MTU отключено на сервере на базе Windows, сервер использует настройку MTU в 576 байтов.

Решение

Предупреждение Серьезные проблемы могут возникнуть, если вы измените реестр неправильно, используя редактор реестра или с помощью другого метода. Эти проблемы могут потребовать, чтобы вы переустановить операционную систему. Корпорация Майкрософт не может гарантировать, что эти проблемы могут быть решены. Измените реестр на свой страх и риск. Чтобы разрешить поведение, вызванное настройкой MTU, настроенной во время установки ISA Server, выполните следующие действия. Важно Вы должны внести изменения в реестр, если вы установили Windows Server 2003 Service Pack 1 (SP1) или hotfix, который описан в следующей статье Базы знаний Microsoft:

898060 Подключение к сети между клиентами и серверами может вывести из строя после установки обновления безопасности MS05-019 или Windows Server 2003 Service Pack 1

  1. Нажмите Кнопка Начало,нажмите Run,введите regedit, а затем нажмите OK.

  2. Найдите, а затем нажмите правой кнопкой ниже следующий реестр подключ:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryТип значения: REG_DWORDValue: 0, 1 (Ложное, Истинное)ISA значение по умолчанию: 0 (ложное)Примечание Если запись EnablePMTUDiscovery недоступна, создайте запись.

  3. При необходимости установите или измените значение в соответствии со следующей информацией:

    • Значение 1 При установке EnablePMTUDiscovery до 1, TCP пытается обнаружить либо MTU, либо самый большой размер пакета на пути удаленного узла. TCP может удалить фрагментацию на маршрутизаторах в пути, который соединяет сети, которые используют различные МТУ. TCP делает это, открывая путь MTU и ограничивая сегменты TCP до этого размера. Фрагментация отрицательно влияет на пропускную стоимость TCP.

    • Значение 0 евро При установке EnablePMTUDiscovery до 0 для всех подключений, не связанных с хостами в локальной подсети, используется MTU из 576 байтов. Если вы не установите это значение до 0, злоумышленник может заставить значение MTU к очень небольшому значению и переутомиться стек. Заметки

      • При установке EnablePMTUDiscovery до 0, tCP / IP производительность и пропускная способность страдают. Вы должны быть полностью осведомлены о производительности пропускной способности, прежде чем установить это значение до 0.

      • При установке ISA Server 2004 или ISA Server 2004 Service Pack 1 это значение также сбрасывается до 0.

      • ISA Server 2004 Service Pack 2 не изменяет значение EnablePMTUDiscovery.

  4. Чтобы принять участие в процессе обнаружения, создайте правило доступа ICMP MTU для ISA Server. Для этого выполните следующие действия, описанные в следующих разделах, в зависимости от конфигурации.

  5. Закройте редактор реестра и перезагрузите компьютер.

ISA Server 2004, Стандартное издание

  1. Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.

  2. В левом стеле расширьте ArrayName,а затем нажмите на политику брандмауэра.

  3. В панели задач щелкните вкладку Toolbox, а затем нажмите Протоколы.

  4. В соответствии с протоколами,нажмите Новый, а затем нажмите Протокол.

  5. В поле определения протокола, введите ICMP MTU Discovery, а затем нажмите Далее.

  6. Нажмите новый, а затем нажмите ICMP в списке типов протокола.

  7. В списке Направления нажмите Отправить Получить.

  8. Тип 4 в коробке кода ICMP, введите 3 в коробке типа ICMP, а затем нажмите OK.

  9. Нажмите далее,нажмите Закончить,а затем нажмите Применить.

  10. В левой панели, правой кнопкой мыши Firewall политики, нажмите Новый, а затем нажмите кнопку Правила доступа.

  11. В поле имени правила доступа введите Разрешить ICMP MTU Discovery,а затем нажмите Далее.

  12. Нажмите Разрешить, а затем нажмите Далее.

  13. В этом правиле применяется к списку, нажмите Выбранные протоколы,а затем нажмите Добавить.

  14. В списке Протоколов расширьте User-Defined.

  15. Нажмите ICMP MTU Discovery, нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.

  16. Нажмите кнопку Добавить.

  17. В списке объектов Сети расширяйте сети.

  18. Нажмите Внешний, а затем нажмите Добавить.

  19. Нажмите внутренний,нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.

  20. Нажмите кнопку Добавить.

  21. В списке объектов Сети расширяйте сети.

  22. Нажмите локальный хост,нажмите Добавить,нажмите Закрыть, а затем нажмите Следующая два раза.

  23. Нажмите Закончить, а затем нажмите Применить.

ISA Server 2004, Enterprise Edition

Для ISA Server 2004 компания Enterprise Edition примет участие в процессе обнаружения ICMP MTU, создаст протокол ICMP на корпоративном уровне, а затем создаст правило доступа ICMP MTU на уровне массива.

Как создать протокол ICMP на корпоративном уровне

  1. Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.

  2. В левой панели расширьте Enterprise,а затем нажмите Корпоративные политики.

  3. В панели задач щелкните вкладку Toolbox, а затем нажмите Протоколы.

  4. В соответствии с протоколами,нажмите Новый, а затем нажмите Протокол.

  5. В поле определения протокола, введите ICMP MTU Discovery, а затем нажмите Далее.

  6. Нажмите новый, а затем нажмите ICMP в списке типов протокола.

  7. Тип 4 в коробке кода ICMP, введите 3 в коробке типа ICMP, а затем нажмите OK.

  8. Нажмите далее,нажмите Закончить,а затем нажмите Применить. Заметка Правило доступа Enterprise не может быть создано для протоколов ICMP, определяемых пользователями, при использовании мастера создания правил.

Для получения дополнительной информации о том, как использовать пользовательские протоколы ICMP в ISA Server 2004, политиках Enterprise Edition, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

902348 Протоколы ICMP, определяемые пользователями, не отображаются в Новом Волшебнике Правила Доступа в корпоративном издании ISA Server 2004 Enterprise Edition

Как вручную создать правило доступа ICMP MTU, если в сети есть единый массив

  1. Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.

  2. В левом стеле расширьте Arrays,а затем расширьте ArrayName.

  3. Право нажмите брандмауэр политики, нажмите новый, а затем нажмите кнопку Правила доступа.

  4. В поле имени правила доступа введите Разрешить ICMP MTU Discovery,а затем нажмите Далее.

  5. Нажмите Разрешить, а затем нажмите Далее.

  6. В этом правиле применяется к списку, нажмите Выбранные протоколы,а затем нажмите Добавить.

  7. В списке Протоколов расширьте User-Defined.

  8. Нажмите ICMP MTU Discovery, нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.

  9. Нажмите кнопку Добавить.

  10. В списке объектов Сети расширяйте сети.

  11. Нажмите Внешний, а затем нажмите Добавить.

  12. Нажмите внутренний,нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.

  13. Нажмите кнопку Добавить.

  14. В списке объектов Сети расширяйте сети.

  15. Нажмите локальный хост,нажмите Добавить,нажмите Закрыть, а затем нажмите Следующая два раза.

  16. Нажмите Закончить, а затем нажмите Применить.

Как создать правило доступа ICMP MTU, если в сети много членов массива

Способ 1

  1. Вручную создайте правило доступа ICMP MTU на первом массиве. Для этого выполните описанные шаги для создания правила доступа для одного массива.

  2. Копирование правила доступа ICMP MTU. Для этого выполните следующие действия:

    1. Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.

    2. В левом стеле расширьте Arrays,а затем расширьте ArrayName.ArrayName — это первый массив, для которого было создано правило доступа ICMP MTU.

    3. Нажмите Firewall политики, право-нажмите кнопку Разрешить ICMP MTU Discovery правило в соответствии с правилами политики брандмауэра, а затем нажмите Копия.

  3. Вставьте правило доступа ICMP MTU в каждый массив. Для этого выполните следующие действия:

    1. В консоли управления серверами ISA Microsoft Management Console (MMC) расширьте массив, где требуется вставить правило доступа ICMP MTU, а затем нажмите на политику брандмауэра.

    2. В центральной панели, правой щелкните правило политики массива, что вы хотите немедленно следовать правилу доступа ICMP MTU, а затем нажмите Вставить. Заметка Если не существует правил политики массива, необходимо создать новое правило политики массива, прежде чем вставить правило доступа ICMP MTU в политику массива.

    3. Нажмите Применить.

  4. Повторите шаги 3a через 3c, пока вы не скопируете правило доступа ICMP MTU для всех членов массива.

Способ 2

  1. Вручную создайте правило доступа ICMP MTU на первом массиве. Для этого выполните описанные шаги для создания правила доступа ICMP MTU для одного массива.

  2. Экспорт icMP MTU правило доступа. Для этого выполните следующие действия:

    1. В IsA Server Management MMC расширьте массив, для которого было создано правило доступа ICMP MTU, а затем нажмите на политику брандмауэра.

    2. Нажмите правой кнопкой Разрешить ICMP MTU Discovery правило в соответствии с правилами политики брандмауэра, а затем нажмите Экспорт Выбранный.

    3. В Мастере Экспорта нажмите далее.

    4. На странице Экспортные Предпочтения нажмите далее.

    5. На странице местоположение экспортного файла нажмите «Просмотрите».

    6. Выберите место, где вы будете экспортировать правило ICMP MTU Discovery, введите MtuDiscoveryRule в поле имени файла, а затем нажмите Open.

    7. Нажмите далее,а затем нажмите Закончить, чтобы выйти из мастера.

    8. Нажмите OK, когда индикатор хода отображает сообщение об успешном экспорте конфигурации.

  3. Импортируйте правило доступа ICMP MTU в каждый массив. Для этого выполните следующие действия:

    1. В MMC управления серверами ISA расширьте массив, в котором требуется импортировать правило доступа ICMP MTU, а затем нажмите кнопку Firewall Policy.

    2. Нажмите Импорт.

    3. В Мастере импорта нажмите далее.

    4. Нажмите Просмотр, а затем найти папку, где вы сохранили файл MtuDiscoveryRule в шаге 2f.

    5. Нажмите на файл MtuDiscoveryRule, а затем нажмите Открыть.

    6. Нажмите следующее два раза.

    7. Нажмите кнопку Завершить.

    8. Нажмите OK, когда индикатор хода отображает сообщение об успешном импорте конфигурации.

    9. Нажмите Применить.

Ссылки

Для получения дополнительной информации о настройках реестра открытий PMTU в Microsoft Windows 2000, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

315669 Как укрепить стек TCP/IP от атак отказа в обслуживании в Windows 2000Для получения дополнительной информации о настройках реестра открытий PMTU в Microsoft Windows Server 2003, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

324270 Как укрепить стек TCP/IP от атак отказа в обслуживании в Windows Server 2003

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?

Что повлияло на вашу оценку?

Добавите что-нибудь? Это необязательно

Спасибо за ваш отзыв!

×