Súhrn
Aktualizácie zabezpečenia MS05-019 upravuje spôsob systému overuje hlásenie protokolu ICMP (Internet Control) požiadavky. Táto aktualizácia zabraňuje útoku ICMP. Však osobitných, táto aktualizácia môže spôsobiť počítač k strate sieťového pripojenia. Tento článok popisuje tri spôsoby, ktoré môžete použiť na zabránenie počítača stratí pripojenie po nainštalovaní aktualizácie zabezpečenia MS05-019.
Úvod
Tento článok popisuje Odporúčané nastavenia protokolu TCP/IP wide area siete (WAN) prepojenia veľkosť jednotky MTU (Maximum Transmission) menej ako 576.
Ďalšie informácie
Dôležité upozornenie: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy registry v systéme Windows
Aktualizácie zabezpečenia MS05-019 upravuje spôsob systému overuje hlásenie protokolu ICMP (Internet Control) požiadavky. Táto aktualizácia obmedzuje najnižšej položky MTU 576 bajtov. MTU je obmedzený s cieľom zabrániť útoku ICMP. Útok ICMP môže znížiť hodnotu položky MTU veľmi nízke hodnoty. Veľmi nízke položky MTU môže spôsobiť závažné zníženie výkonu.
Veľkosť jednotky MTU, ktorý obmedzuje 576 bajtov však môže ovplyvniť niektoré WAN scenáre, napríklad satelitné pripojenia. Veľkosť jednotky MTU v WAN možno menej ako 576. V takomto WAN sieťové pripojenie sa zrejme prerušilo. Nástroje ako sledovanie siete môžete zistiť, či máte takýchto prípadoch analýzou sledovanie siete. Ak umiestnenia, do ktorého sa stratí sieťové pripojenie žiadne správy ICMP určenia unreachable s ďalší skok na inú hodnotu MTU menej ako 576, máte takýchto prípadoch.
Za týchto okolnosti, zvážte použitie jedného z nasledujúcich odporúčaní.
Poznámka: Nepoužívajte tieto odporúčania Ak nie máte niektorý z nasledujúcich prípadov. Tieto odporúčania môže znížiť výkon siete.
Metóda 1: Umožniť zistenie čiernymi dierami cesta Maximum Transfer jednotky (PMTU)
Ak zapnete funkciu zisťovania čiernymi dierami cesta Maximum Transfer jednotky (PMTU), protokol TCP sa pokúsi odoslať segmenty, ktoré nemajú Nechcem fragmentovať nastavený bit. TCP sa pokúsi odoslať segmenty, ak viacerých prenosoch segmentov Nefragmentovať. Ak uvedenia segment zníži segment maximálna veľkosť (členských) a Don't fragmentovať bitu bude nastavený v ďalších paketoch pripojenie.
Táto metóda je preferovaným, pretože veľkosť paketu klesá len problematické segment. Čierna diera detekcie zvyšuje maximálny počet opakovaných prenosov pre konkrétny segment.
Na detekciu PMTU čierna diera, postupujte nasledovne:
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz regedita kliknite na tlačidlo OK.
-
Vyhľadajte nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
V ponuke Úpravy ukážte na položku Nové a kliknite na položku Hodnota DWORD.
-
Zadajte EnablePMTUBHDetecta stlačte kláves ENTER.
-
V ponuke Upraviť kliknite na položku Upraviť.
-
Do poľa Údaj hodnoty zadajte hodnotu 1 a kliknite na tlačidlo OK.
-
Ukončite Editor databázy Registry a potom reštartujte počítač.
Metóda 2: Vypnutie PMTU zisťovania
Ak vypnete PMTU zisťovania, TCP len odošle pakety položky MTU 576, ktoré majú a ktoré nemajú Don't Fragment súboru. To umožňuje smerovače a fragment paket poslať paket siete.
Tento postup sa týka paketov na všetkých. Väčšinou výkon bude na prijateľnú úroveň veľkosť paketu 576. Výkon sa však ak povolená PMTU zisťovania a cesta podporované položky MTU väčšia ako 576.
Vypnúť PMTU vyhľadávanie, postupujte nasledovne:
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz regedita kliknite na tlačidlo OK.
-
Vyhľadajte nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
V ponuke Úpravy ukážte na položku Nové a kliknite na položku Hodnota DWORD.
-
Zadajte EnablePMTUDiscoverya stlačte kláves ENTER.
-
V ponuke Upraviť kliknite na položku Upraviť.
-
Do poľa údaj hodnoty zadajte hodnotu 0a kliknite na tlačidlo OK.
-
Ukončite Editor databázy Registry a potom reštartujte počítač.
Metóda 3: Manuálne nastavenie veľkosti jednotky MTU sieťového rozhrania
Ak nastavíte hodnotu položky MTU sieťového rozhrania manuálne, toto nastavenie prepíše predvolenú hodnotu MTU sieťového rozhrania. MTU je maximálna veľkosť paketu v bajtoch, ktorú odovzdá prenos prostredníctvom siete.
Tento postup ovplyvňuje paketov na všetkých a môže výrazne ovplyvniť výkon v závislosti od položky MTU nastavené.
Ak chcete nastaviť hodnotu položky MTU sieťového rozhrania, postupujte nasledovne:
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz regedita kliknite na tlačidlo OK.
-
Vyhľadajte nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ < identifikátor rozhrania siete >
-
V ponuke Úpravy ukážte na položku Nové a kliknite na položku Hodnota DWORD.
-
Typ MTUa stlačte kláves ENTER.
-
V ponuke Upraviť kliknite na položku Upraviť.
-
Do poľa údaj hodnoty zadajte hodnotu položky MTU a kliknite na tlačidlo OK.
-
Ukončite Editor databázy Registry a potom reštartujte počítač.
Odkazy
Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
898060 sieťové pripojenie medzi klientmi a servermi môžu zlyhať po nainštalovaní aktualizácie zabezpečenia MS05-019 alebo Windows Server 2003 Service Pack 1
Ďalšie informácie o TCP/IP, nájdete na nasledujúcej webovej lokalite Microsoft TechNet:
Prehľad siete a protokolu TCP/IP
http://technet.microsoft.com/en-us/library/cc739443(WS.10).aspx
