Využitie Procesora môže byť viac ako 50 percent, keď ISA Server 2004 počítač pracuje podmienok vysokého zaťaženia

Dôležité upozornenie: Tento článok obsahuje informácie o úprave databázy registry. Nezabudnite pred úpravou databázu registry zálohovať. Uistite sa, že viete, ako obnoviť databázu registry, ak sa vyskytne problém. Ďalšie informácie o tom, ako zálohovať a obnoviť databázu registry, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

256986 Popis databázy registry Microsoft Windows

Príznaky

Keď Microsoft Internet Security and Acceleration Server (ISA) 2004 systémom pracuje podmienok vysokého zaťaženia, môžu sa vyskytnúť vysoké využitie Procesora. Napríklad využitie Procesora v počítači ISA Server môže byť viac ako 50 percent.

Príčina

Takáto situácia môže nastať kvôli TCP/IP maximálnej jednotky prenosu (MTU) nastavenie sa použije počas inštalácie ISA Server.

Zabrániť útočníkovi zmeníte hodnotu položky MTU, ISA Server 2004 vypne zisťovania cesta MTU (PMTU). Toto nastavenie je zdokumentovaná v Microsoft security bulletin MS05-019. Ak chcete zobraziť tento bulletin, nájdete na webovej lokalite spoločnosti Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxPoznámky

  • Predvolene Windows používa nastavenie jednotky MTU 1480 bajtov a prijímať správy hlásenie protokolu ICMP (Internet Control), ktoré vyžadujú menšie veľkosti paketu.

  • Ak MTU zisťovania je zakázané na serveri so systémom Windows, server používa nastavenie jednotky MTU 576 bajtov.

Riešenie

Upozornenie: Ak databázu registry upravíte nesprávne pomocou editora databázy Registry alebo iným spôsobom, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Microsoft nemôže zaručiť odstránenie týchto problémov. Databázu registry upravujete na vlastné riziko.

Na odstránenie problému, ktorá je spôsobená nastavenie jednotky MTU nastavená počas inštalácie ISA Server, postupujte nasledovne.

Dôležité upozornenie: Musíte sa táto databáza registry zmeniť, ak ste nainštalovali systém Windows Server 2003 Service Pack 1 (SP1) alebo rýchlu opravu, ktorá je popísaná v nasledujúcom článku databázy Microsoft Knowledge Base:

898060 sieťové pripojenie medzi klientmi a servermi môžu zlyhať po nainštalovaní aktualizácie zabezpečenia MS05-019 alebo Windows Server 2003 Service Pack 1

  1. Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz regedita kliknite na tlačidlo OK.

  2. Vyhľadajte a kliknite pravým tlačidlom na nasledujúci podkľúč databázy registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Typ hodnoty: REG_DWORD
    Hodnota: 0, 1 (False, True)
    ISA predvolená hodnota: 0 (False)

    Poznámka: Ak sa položka EnablePMTUDiscovery nie je k dispozícii, vytvorte ju.

  3. V prípade potreby nastaviť alebo zmeniť hodnotu podľa nasledujúce informácie:

    • Hodnota = 1
      Ak nastavíte EnablePMTUDiscovery na hodnotu 1, TCP sa pokúša zistiť MTU alebo najväčšia veľkosť paketu v ceste vzdialeného hostiteľa. TCP môžete odstrániť fragmentácia v cestu, pripojenie siete, ktoré používajú rôzne hodnotami MTU. TCP to objavovanie cesta MTU a obmedzenie TCP segmenty. Fragmentácia negatívne ovplyvňuje TCP priepustnosť.

    • Hodnota = 0
      Ak nastavíte EnablePMTUDiscovery 0, MTU 576 bajtov sa používa pre všetky pripojenia, ktoré nesúvisia s hostiteľom v lokálnej podsieti. Ak je táto hodnota 0, útočník môže vynútiť hodnotu položky MTU veľmi malú hodnotu a prepracovanie zásobníka.

      Poznámky

      • Ak nastavíte EnablePMTUDiscovery 0, ovplyvní TCP/IP výkon a priepustnosť. Ako nastaviť túto hodnotu na 0, musíte byť vedomí priepustnosť výkon.

      • Keď nainštalujete ISA Server 2004 alebo ISA Server 2004 Service Pack 1, táto hodnota tiež obnoví 0.

      • ISA Server 2004 Service Pack 2 zmeniť hodnotu EnablePMTUDiscovery.

  4. Zúčastniť procesu zisťovania vytvorenie pravidla prístup ICMP MTU ISA Server. Postupujte podľa pokynov, ktoré sú popísané v nasledujúcich sekciách v závislosti od konfigurácie.

  5. Zatvorte Editor databázy Registry a potom reštartujte počítač.

ISA Server 2004, Standard Edition

  1. Kliknite na tlačidlo Štart, ukážte na položku programy, ukážte na Microsoft ISA Servera kliknite na tlačidlo ISA Server Management.

  2. Na ľavej table rozbaľte ArrayNamea kliknite na položku Brána Firewall politiky.

  3. Na table úloh kliknite na kartu Nástroje a kliknite na tlačidlo protokoly.

  4. Protokoly, kliknite na novéa kliknite na tlačidlo protokol.

  5. Do poľa názov definície protokolu zadajte ICMP MTU zisťovaniaa kliknite na tlačidlo ďalej.

  6. Kliknite na novéa kliknite na tlačidlo ICMP typ protokolu .

  7. Smer , kliknite Odoslať Zobraziť.

  8. Zadajte 4 v ICMP kód typu 3 ICMP zadajte a kliknite na tlačidlo OK.

  9. Kliknite na tlačidlo ďalej, kliknite na tlačidlo Dokončiťa kliknite na tlačidlo Apply.

  10. Na ľavej table pravým Firewall politiky, kliknite na novéa kliknite na tlačidlo Prístup pravidlo.

  11. Do poľa názov pravidla prístup zadajte Povoliť ICMP MTU zisťovaniaa kliknite na tlačidlo ďalej.

  12. Kliknite na položku Povoliť, a kliknite na tlačidlo ďalej.

  13. V zozname to pravidiel sa kliknite vybraté protokolya kliknite na tlačidlo Pridať.

  14. V zozname protokoly , rozbaľte Používateľom.

  15. Kliknite MTU zisťovania protokolu ICMP, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa kliknite na tlačidlo ďalej.

  16. Kliknite na tlačidlo Pridať.

  17. V zozname sieťové entity rozšíriť siete.

  18. Kliknite na externéa kliknite na tlačidlo Pridať.

  19. Kliknite na vnútornej, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa kliknite na tlačidlo ďalej.

  20. Kliknite na tlačidlo Pridať.

  21. V zozname sieťové entity rozšíriť siete.

  22. Kliknite na Lokálny hostiteľ, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa potom dvakrát kliknite na tlačidlo ďalej .

  23. Kliknite na tlačidlo Dokončiťa kliknite na tlačidlo Apply.

ISA Server 2004, Enterprise Edition

ISA Server 2004, Enterprise Edition zúčastniť procesu zisťovania protokolu ICMP MTU vytvoriť protokolu ICMP na úrovni enterprise a potom vytvorte pravidlo ICMP MTU prístup na úrovni poľa.

Vytvorenie protokolu ICMP na úrovni enterprise

  1. Kliknite na tlačidlo Štart, ukážte na položku programy, ukážte na Microsoft ISA Servera kliknite na tlačidlo ISA Server Management.

  2. Na ľavej table rozbaľte Enterprisea kliknite na tlačidlo Podnikovej politiky.

  3. Na table úloh kliknite na kartu Nástroje a kliknite na tlačidlo protokoly.

  4. Protokoly, kliknite na novéa kliknite na tlačidlo protokol.

  5. Do poľa názov definície protokolu zadajte ICMP MTU zisťovaniaa kliknite na tlačidlo ďalej.

  6. Kliknite na novéa kliknite na tlačidlo ICMP typ protokolu .

  7. Zadajte 4 v ICMP kód typu 3 ICMP zadajte a kliknite na tlačidlo OK.

  8. Kliknite na tlačidlo ďalej, kliknite na tlačidlo Dokončiťa kliknite na tlačidlo Apply.

    Poznámka: Enterprise prístup pravidlo sa nedá vytvoriť protokolov ICMP používateľom pri používaní sprievodcu Vytvorenie pravidla.

Ďalšie informácie o používaní používateľom protokolov ICMP ISA Server 2004, Enterprise Edition politík, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

902348 protokolov ICMP používateľom sa nezobrazujú v sprievodcu nové pravidlo prístupu ISA Server 2004 Enterprise Edition

Manuálne vytvorenie ICMP MTU prístup pravidlo, ak pole v sieti

  1. Kliknite na tlačidlo Štart, ukážte na položku programy, ukážte na Microsoft ISA Servera kliknite na tlačidlo ISA Server Management.

  2. Na ľavej table rozbaľte pole, a potom rozbaľte ArrayName.

  3. Pravým Firewall politiky, kliknite naa kliknite na tlačidlo Prístup pravidlo.

  4. Do poľa názov pravidla prístup zadajte Povoliť ICMP MTU zisťovaniaa kliknite na tlačidlo ďalej.

  5. Kliknite na položku Povoliť, a kliknite na tlačidlo ďalej.

  6. V zozname to pravidiel sa kliknite vybraté protokolya kliknite na tlačidlo Pridať.

  7. V zozname protokoly , rozbaľte Používateľom.

  8. Kliknite MTU zisťovania protokolu ICMP, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa kliknite na tlačidlo ďalej.

  9. Kliknite na tlačidlo Pridať.

  10. V zozname sieťové entity rozšíriť siete.

  11. Kliknite na externéa kliknite na tlačidlo Pridať.

  12. Kliknite na vnútornej, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa kliknite na tlačidlo ďalej.

  13. Kliknite na tlačidlo Pridať.

  14. V zozname sieťové entity rozšíriť siete.

  15. Kliknite na Lokálny hostiteľ, kliknite na tlačidlo Pridať, kliknite na tlačidlo Zavrieťa potom dvakrát kliknite na tlačidlo ďalej .

  16. Kliknite na tlačidlo Dokončiťa kliknite na tlačidlo Apply.

Vytvorenie ICMP MTU prístup pravidlo, ak máte viac členov pole v sieti

Metóda 1

  1. Manuálne vytvorenie ICMP MTU prístup pravidlo na prvé pole. Postupujte podľa krokov popísaných vytvoriť prístup pravidlo pre pole.

  2. Skopírujte ho ICMP MTU prístup. Ak to chcete urobiť, postupujte nasledovne:

    1. Kliknite na tlačidlo Štart, ukážte na položku programy, ukážte na Microsoft ISA Servera kliknite na tlačidlo ISA Server Management.

    2. Na ľavej table rozbaľte pole, a potom rozbaľte ArrayName.
      ArrayName je prvé pole, pre ktoré ste vytvorili pravidlo na prístup k MTU protokolu ICMP.

    3. Kliknite na položku Brána Firewall politiky, kliknite pravým tlačidlom myši na pravidlo Povoliť zisťovanie MTU ICMP pravidiel Firewall politikya kliknite na tlačidlo kópia.

  3. Pravidlo prístupu ICMP MTU prilepenie každé pole. Ak to chcete urobiť, postupujte nasledovne:

    1. V ISA Server Management Microsoft Management Console (MMC), rozbaľte pole, kde chcete prilepiť ICMP MTU prístup pravidlo a kliknite na tlačidlo Brána Firewall politiky.

    2. Centrum table pravým tlačidlom myši kliknite na pole politiky pravidlo, ktoré chcete nasleduje ICMP MTU prístup pravidlo a kliknite na položku Prilepiť.

      Poznámka: Ak pole politika predpisy neexistujú, musíte vytvoriť nové pravidlo politiky polí chcete prilepiť prístup pravidlo ICMP MTU do poľa politiky.

    3. Kliknite na tlačidlo použiť.

  4. Opakujte kroky 3a až 3c skopírujete ICMP MTU prístup pravidlo pre pole členov.

Metóda 2

  1. Manuálne vytvorenie ICMP MTU prístup pravidlo na prvé pole. Postupujte podľa krokov popísaných vytvoriť ICMP MTU prístup pravidlo pre pole.

  2. Exportovať prístup pravidlo MTU protokolu ICMP. Ak to chcete urobiť, postupujte nasledovne:

    1. ISA Server Management MMC, rozbaliť pole, pre ktoré ste vytvorili pravidlo na prístup k ICMP MTU a kliknite na tlačidlo Politika brány Firewall.

    2. Kliknite pravým tlačidlom myši na pravidlo Povoliť zisťovanie MTU ICMP pravidiel Firewall politikya kliknite na tlačidlo Exportovať vybraté.

    3. V Sprievodcovi pre Export kliknite na tlačidlo ďalej.

    4. Na stránke Export preferencie kliknite na tlačidlo ďalej.

    5. Na stránke Export umiestnenie súboru , kliknite na tlačidlo Prehľadávať.

    6. Vyberte umiestnenie, kde sa exportovať pravidlo zisťovania MTU ICMP, do poľa názov súboru zadajte MtuDiscoveryRule a kliknite na tlačidlo Otvoriť.

    7. Kliknite na tlačidlo ďaleja potom kliknite na tlačidlo Dokončiť ukončíte sprievodcu.

    8. Keď indikátor priebehu sa zobrazuje hlásenie úspešne exportovať konfiguráciu, kliknite na tlačidlo OK .

  3. Pravidlo prístupu ICMP MTU importovať každé pole. Ak to chcete urobiť, postupujte nasledovne:

    1. Konzoly MMC správy servera ISA rozbaliť pole, ak chcete importovať pravidlo prístupu ICMP MTU a kliknite pravým tlačidlom myši Politiky brány Firewall.

    2. Kliknite na položku importovať.

    3. V sprievodcovi kliknite na tlačidlo ďalej.

    4. Kliknite na tlačidlo Prehľadávaťa vyhľadajte priečinok, ktorý ste uložili súbor MtuDiscoveryRule v kroku 2f.

    5. Kliknite na súbor MtuDiscoveryRule a kliknite na tlačidlo Otvoriť.

    6. Dvakrát kliknite na tlačidlo ďalej .

    7. Kliknite na tlačidlo Dokončiť.

    8. Keď indikátor priebehu sa zobrazuje správa, konfigurácia bola úspešne importované, kliknite na tlačidlo OK .

    9. Kliknite na tlačidlo použiť.

Odkazy

Ďalšie informácie o PMTU zisťovanie nastavenia databázy registry v systéme Microsoft Windows 2000 nájdete po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

315669 zvýšení odolnosti zásobníka protokolu TCP/IP proti útokom denial of service v systéme Windows 2000


Ďalšie informácie o PMTU zisťovanie nastavenia databázy registry v systéme Microsoft Windows Server 2003 získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

324270 zvýšení odolnosti voči útokom denial of service v systéme Windows Server 2003 zásobník protokolu TCP/IP

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

×