Важно Эта статья содержит информацию о том, как изменить реестр. Убедитесь в том, чтобы создать резервную перегоняем резервную перебежку, прежде чем изменить его. Убедитесь, что вы знаете, как восстановить реестр, если возникает проблема. Для получения дополнительной информации о том, как создать резервную базу, восстановить и изменить реестр, нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Симптомы
Когда компьютер Microsoft Internet Security and Acceleration Server (ISA) 2004 работает в условиях большой нагрузки, вы можете столкнуться с высоким уровнем использования процессора. Например, использование процессора на компьютере ISA Server может состоевать более 50 процентов.
Причина
Такое поведение может произойти из-за настройки блока максимальной передачи TCP/IP (MTU), которая применяется при установке ISA Server. Чтобы не допустить изменения значения MTU, ISA Server 2004 отменяет обнаружение пути MTU (PMTU). Эта настройка задокументирована в бюллетене безопасности Корпорации Майкрософт MS05-019. Чтобы увидеть этот бюллетень, посетите следующий веб-сайт Майкрософт:
http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxПримечания.
-
По умолчанию Windows использует настройку MTU в 1480 байт и принимает сообщения протокола интернет-сообщения управления интернетом (ICMP), которые запрашивают меньшие размеры пакетов.
-
Если открытие MTU отключено на сервере на базе Windows, сервер использует настройку MTU в 576 байтов.
Решение
Предупреждение Серьезные проблемы могут возникнуть, если вы измените реестр неправильно, используя редактор реестра или с помощью другого метода. Эти проблемы могут потребовать, чтобы вы переустановить операционную систему. Корпорация Майкрософт не может гарантировать, что эти проблемы могут быть решены. Измените реестр на свой страх и риск. Чтобы разрешить поведение, вызванное настройкой MTU, настроенной во время установки ISA Server, выполните следующие действия. Важно Вы должны внести изменения в реестр, если вы установили Windows Server 2003 Service Pack 1 (SP1) или hotfix, который описан в следующей статье Базы знаний Microsoft:
898060 Подключение к сети между клиентами и серверами может вывести из строя после установки обновления безопасности MS05-019 или Windows Server 2003 Service Pack 1
-
Нажмите Кнопка Начало,нажмите Run,введите regedit, а затем нажмите OK.
-
Найдите, а затем нажмите правой кнопкой ниже следующий реестр подключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryТип значения: REG_DWORDValue: 0, 1 (Ложное, Истинное)ISA значение по умолчанию: 0 (ложное)Примечание Если запись EnablePMTUDiscovery недоступна, создайте запись.
-
При необходимости установите или измените значение в соответствии со следующей информацией:
-
Значение 1 При установке EnablePMTUDiscovery до 1, TCP пытается обнаружить либо MTU, либо самый большой размер пакета на пути удаленного узла. TCP может удалить фрагментацию на маршрутизаторах в пути, который соединяет сети, которые используют различные МТУ. TCP делает это, открывая путь MTU и ограничивая сегменты TCP до этого размера. Фрагментация отрицательно влияет на пропускную стоимость TCP.
-
Значение 0 евро При установке EnablePMTUDiscovery до 0 для всех подключений, не связанных с хостами в локальной подсети, используется MTU из 576 байтов. Если вы не установите это значение до 0, злоумышленник может заставить значение MTU к очень небольшому значению и переутомиться стек. Заметки
-
При установке EnablePMTUDiscovery до 0, tCP / IP производительность и пропускная способность страдают. Вы должны быть полностью осведомлены о производительности пропускной способности, прежде чем установить это значение до 0.
-
При установке ISA Server 2004 или ISA Server 2004 Service Pack 1 это значение также сбрасывается до 0.
-
ISA Server 2004 Service Pack 2 не изменяет значение EnablePMTUDiscovery.
-
-
-
Чтобы принять участие в процессе обнаружения, создайте правило доступа ICMP MTU для ISA Server. Для этого выполните следующие действия, описанные в следующих разделах, в зависимости от конфигурации.
-
Закройте редактор реестра и перезагрузите компьютер.
ISA Server 2004, Стандартное издание
-
Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.
-
В левом стеле расширьте ArrayName,а затем нажмите на политику брандмауэра.
-
В панели задач щелкните вкладку Toolbox, а затем нажмите Протоколы.
-
В соответствии с протоколами,нажмите Новый, а затем нажмите Протокол.
-
В поле определения протокола, введите ICMP MTU Discovery, а затем нажмите Далее.
-
Нажмите новый, а затем нажмите ICMP в списке типов протокола.
-
В списке Направления нажмите Отправить Получить.
-
Тип 4 в коробке кода ICMP, введите 3 в коробке типа ICMP, а затем нажмите OK.
-
Нажмите далее,нажмите Закончить,а затем нажмите Применить.
-
В левой панели, правой кнопкой мыши Firewall политики, нажмите Новый, а затем нажмите кнопку Правила доступа.
-
В поле имени правила доступа введите Разрешить ICMP MTU Discovery,а затем нажмите Далее.
-
Нажмите Разрешить, а затем нажмите Далее.
-
В этом правиле применяется к списку, нажмите Выбранные протоколы,а затем нажмите Добавить.
-
В списке Протоколов расширьте User-Defined.
-
Нажмите ICMP MTU Discovery, нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.
-
Нажмите кнопку Добавить.
-
В списке объектов Сети расширяйте сети.
-
Нажмите Внешний, а затем нажмите Добавить.
-
Нажмите внутренний,нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.
-
Нажмите кнопку Добавить.
-
В списке объектов Сети расширяйте сети.
-
Нажмите локальный хост,нажмите Добавить,нажмите Закрыть, а затем нажмите Следующая два раза.
-
Нажмите Закончить, а затем нажмите Применить.
ISA Server 2004, Enterprise Edition
Для ISA Server 2004 компания Enterprise Edition примет участие в процессе обнаружения ICMP MTU, создаст протокол ICMP на корпоративном уровне, а затем создаст правило доступа ICMP MTU на уровне массива.
Как создать протокол ICMP на корпоративном уровне
-
Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.
-
В левой панели расширьте Enterprise,а затем нажмите Корпоративные политики.
-
В панели задач щелкните вкладку Toolbox, а затем нажмите Протоколы.
-
В соответствии с протоколами,нажмите Новый, а затем нажмите Протокол.
-
В поле определения протокола, введите ICMP MTU Discovery, а затем нажмите Далее.
-
Нажмите новый, а затем нажмите ICMP в списке типов протокола.
-
Тип 4 в коробке кода ICMP, введите 3 в коробке типа ICMP, а затем нажмите OK.
-
Нажмите далее,нажмите Закончить,а затем нажмите Применить. Заметка Правило доступа Enterprise не может быть создано для протоколов ICMP, определяемых пользователями, при использовании мастера создания правил.
Для получения дополнительной информации о том, как использовать пользовательские протоколы ICMP в ISA Server 2004, политиках Enterprise Edition, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
902348 Протоколы ICMP, определяемые пользователями, не отображаются в Новом Волшебнике Правила Доступа в корпоративном издании ISA Server 2004 Enterprise Edition
Как вручную создать правило доступа ICMP MTU, если в сети есть единый массив
-
Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.
-
В левом стеле расширьте Arrays,а затем расширьте ArrayName.
-
Право нажмите брандмауэр политики, нажмите новый, а затем нажмите кнопку Правила доступа.
-
В поле имени правила доступа введите Разрешить ICMP MTU Discovery,а затем нажмите Далее.
-
Нажмите Разрешить, а затем нажмите Далее.
-
В этом правиле применяется к списку, нажмите Выбранные протоколы,а затем нажмите Добавить.
-
В списке Протоколов расширьте User-Defined.
-
Нажмите ICMP MTU Discovery, нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.
-
Нажмите кнопку Добавить.
-
В списке объектов Сети расширяйте сети.
-
Нажмите Внешний, а затем нажмите Добавить.
-
Нажмите внутренний,нажмите Добавить,нажмите Закрыть, а затем нажмите Далее.
-
Нажмите кнопку Добавить.
-
В списке объектов Сети расширяйте сети.
-
Нажмите локальный хост,нажмите Добавить,нажмите Закрыть, а затем нажмите Следующая два раза.
-
Нажмите Закончить, а затем нажмите Применить.
Как создать правило доступа ICMP MTU, если в сети много членов массива
Способ 1
-
Вручную создайте правило доступа ICMP MTU на первом массиве. Для этого выполните описанные шаги для создания правила доступа для одного массива.
-
Копирование правила доступа ICMP MTU. Для этого выполните следующие действия:
-
Нажмите "Старт",укажите на программы,укажите на сервер Microsoft ISA,а затем нажмите ISA Server Management.
-
В левом стеле расширьте Arrays,а затем расширьте ArrayName.ArrayName — это первый массив, для которого было создано правило доступа ICMP MTU.
-
Нажмите Firewall политики, право-нажмите кнопку Разрешить ICMP MTU Discovery правило в соответствии с правилами политики брандмауэра, а затем нажмите Копия.
-
-
Вставьте правило доступа ICMP MTU в каждый массив. Для этого выполните следующие действия:
-
В консоли управления серверами ISA Microsoft Management Console (MMC) расширьте массив, где требуется вставить правило доступа ICMP MTU, а затем нажмите на политику брандмауэра.
-
В центральной панели, правой щелкните правило политики массива, что вы хотите немедленно следовать правилу доступа ICMP MTU, а затем нажмите Вставить. Заметка Если не существует правил политики массива, необходимо создать новое правило политики массива, прежде чем вставить правило доступа ICMP MTU в политику массива.
-
Нажмите Применить.
-
-
Повторите шаги 3a через 3c, пока вы не скопируете правило доступа ICMP MTU для всех членов массива.
Способ 2
-
Вручную создайте правило доступа ICMP MTU на первом массиве. Для этого выполните описанные шаги для создания правила доступа ICMP MTU для одного массива.
-
Экспорт icMP MTU правило доступа. Для этого выполните следующие действия:
-
В IsA Server Management MMC расширьте массив, для которого было создано правило доступа ICMP MTU, а затем нажмите на политику брандмауэра.
-
Нажмите правой кнопкой Разрешить ICMP MTU Discovery правило в соответствии с правилами политики брандмауэра, а затем нажмите Экспорт Выбранный.
-
В Мастере Экспорта нажмите далее.
-
На странице Экспортные Предпочтения нажмите далее.
-
На странице местоположение экспортного файла нажмите «Просмотрите».
-
Выберите место, где вы будете экспортировать правило ICMP MTU Discovery, введите MtuDiscoveryRule в поле имени файла, а затем нажмите Open.
-
Нажмите далее,а затем нажмите Закончить, чтобы выйти из мастера.
-
Нажмите OK, когда индикатор хода отображает сообщение об успешном экспорте конфигурации.
-
-
Импортируйте правило доступа ICMP MTU в каждый массив. Для этого выполните следующие действия:
-
В MMC управления серверами ISA расширьте массив, в котором требуется импортировать правило доступа ICMP MTU, а затем нажмите кнопку Firewall Policy.
-
Нажмите Импорт.
-
В Мастере импорта нажмите далее.
-
Нажмите Просмотр, а затем найти папку, где вы сохранили файл MtuDiscoveryRule в шаге 2f.
-
Нажмите на файл MtuDiscoveryRule, а затем нажмите Открыть.
-
Нажмите следующее два раза.
-
Нажмите кнопку Завершить.
-
Нажмите OK, когда индикатор хода отображает сообщение об успешном импорте конфигурации.
-
Нажмите Применить.
-
Ссылки
Для получения дополнительной информации о настройках реестра открытий PMTU в Microsoft Windows 2000, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:
315669 Как укрепить стек TCP/IP от атак отказа в обслуживании в Windows 2000Для получения дополнительной информации о настройках реестра открытий PMTU в Microsoft Windows Server 2003, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:
324270 Как укрепить стек TCP/IP от атак отказа в обслуживании в Windows Server 2003