Viktiga Den här artikeln innehåller information om hur du ändrar registret. Se till att säkerhetskopiera registret innan du ändrar det. Se till att du vet hur du återställer registret om det uppstår problem. Mer information om hur du säkerhetskopierar, återställer och ändrar registret klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

256986 Beskrivning av Microsoft Windows-registret

Symptom

När en Microsoft Internet Security and Acceleration Server (ISA) 2004-baserad dator körs under tung belastning, kan det uppstå hög CPU-användning. CPU-användning på ISA Server-datorn kan till exempel vara mer än 50 procent.

Orsak

Det här problemet kan uppstå på grund av TCP/IP-inställningen för maximal överföringsenhet (MTU) som tillämpas under ISA Server-installationen. För att förhindra att en angripare ändrar MTU-värdet, inaktiverar ISA Server 2004 Path MTU (PMTU) Discovery. Den här inställningen dokumenteras i Microsoft-säkerhetsbulletinen MS05-019. Den här bulletinen finns på följande Microsoft-webbplats:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxKommentarer

  • Som standard använder Windows en MTU-inställning på 1 480 byte och accepterar ICMP-meddelanden (Internet Control Message Protocol) som begär mindre paketstorlekar.

  • Om MTU-identifiering är inaktiverat på en Windows-baserad server använder servern en MTU-inställning på 576 byte.

Lösning

Varning Allvarliga problem kan uppstå om du ändrar registret felaktigt med hjälp av Registereditorn eller med en annan metod. Dessa problem kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att dessa problem kan lösas. Ändra registret på egen risk. Följ dessa steg för att lösa problemet som orsakas av MTU-inställningen som konfigureras under ISA Server-installationen. Viktiga Du måste göra den här registerändringen om du har installerat Windows Server 2003 Service Pack 1 (SP1) eller snabbkorrigeringen som beskrivs i följande artikel i Microsoft Knowledge Base:

898060 nätverksanslutningen mellan klienter och servrar kan misslyckas efter installation av säkerhetsuppdatering MS05-019 eller Windows Server 2003 Service Pack 1

  1. Klicka på Start, klicka på Kör, Skriv regedit, och klicka sedan på OK.

  2. Leta upp och högerklicka på följande registerundernyckel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryVärde typ: REG_DWORDValue: 0,1 (falskt, sant) ISA-standardvärde: 0 (falskt) om EnablePMTUDiscovery -posten inte är tillgängligskapar du posten .

  3. Om det är lämpligt, ange eller ändra värdet enligt följande information:

    • Värde = 1 När du anger EnablePMTUDiscovery till 1 försöker TCP identifiera antingen MTU eller den största paketstorleken i sökvägen till en fjärrvärd. TCP kan ta bort fragmentering på routrar i sökvägen som ansluter nätverk som använder olika MTU. TCP gör detta genom att identifiera Path MTU och genom att begränsa TCP-segment till den här storleken. Fragmentering påverkar TCP-genomflödet negativt.

    • Värde = 0 När du anger EnablePMTUDiscovery till 0, används en MTU på 576 byte för alla anslutningar som inte är relaterade till värdar i det lokala undernätet. Om du inte anger det här värdet till 0 kan angriparen tvinga MTU-värdet till ett mycket litet värde och överarbeta stacken. Anmärkningar

      • När du anger EnablePMTUDiscovery till 0 påverkas TCP/IP-prestanda och dataflöde. Du måste vara fullt medveten om prestanda genomströmningen innan du anger det här värdet till 0.

      • När du installerar ISA Server 2004 eller ISA Server 2004 Service Pack 1 återställs det här värdet även till 0.

      • ISA Server 2004 Service Pack 2 ändrar inte värdet för EnablePMTUDiscovery.

  4. Om du vill delta i identifieringsprocessen skapar du en ICMP MTU-åtkomstregel för ISA Server. Genom att följa stegen som beskrivs i följande avsnitt, beroende på din konfiguration.

  5. Avsluta Registereditorn och starta om datorn.

ISA Server 2004, Standard utgåva

  1. Klicka på Start, peka på program, peka på Microsoft ISA Serveroch klicka sedan på ISA Server Management.

  2. Expandera ArrayNamei den vänstra rutan och klicka sedan på brandväggsprincip.

  3. Klicka på fliken verktygslåda i åtgärdsfönstret och klicka sedan på protokoll.

  4. Klicka på nyttunder protokolloch sedan på protokoll.

  5. Skriv ICMP MTU Discoveryi rutan protokoll definitions namn och klicka sedan på Nästa.

  6. Klicka på nyttoch sedan på ICMP i listan protokolltyp .

  7. Klicka på Skicka ta emoti listan riktning .

  8. Skriv 4 i rutan ICMP-kod , Skriv 3 i rutan ICMP-typ och klicka sedan på OK.

  9. Klicka på Nästa, Slutföroch sedan på Verkställ.

  10. Högerklicka på brandväggsprincipi den vänstra rutan, klicka på nyoch klicka sedan på åtkomstregel.

  11. Skriv Tillåt ICMP MTU Discoveryi rutan åtkomstregel namn och klicka sedan på Nästa.

  12. Klicka på Tillåtoch sedan på Nästa.

  13. Klicka på markerade protokolli listan regler gäller och klicka sedan på Lägg till.

  14. I listan över protokoll expanderar du användardefinierad.

  15. Klicka på ICMP-MTU-identifiering, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa.

  16. Klicka på Lägg till.

  17. Expandera nätverki listan nätverksentiteter .

  18. Klicka på externoch sedan på Lägg till.

  19. Klicka på internt, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa.

  20. Klicka på Lägg till.

  21. Expandera nätverki listan nätverksentiteter .

  22. Klicka på lokal värd, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa två gånger.

  23. Klicka på Slutföroch sedan på Verkställ.

ISA Server 2004, Enterprise Edition

För ISA Server 2004, Enterprise Edition för att delta i ICMP MTU Discovery-processen, skapa ICMP-protokollet på företagsnivå, och sedan skapa ICMP MTU-åtkomstregeln på mat ris nivå.

Så här skapar du ICMP-protokollet på företagsnivå

  1. Klicka på Start, peka på program, peka på Microsoft ISA Serveroch klicka sedan på ISA Server Management.

  2. Expandera företagiden vänstra rutan och klicka sedan på företagsprinciper.

  3. Klicka på fliken verktygslåda i åtgärdsfönstret och klicka sedan på protokoll.

  4. Klicka på nyttunder protokolloch sedan på protokoll.

  5. Skriv ICMP MTU Discoveryi rutan protokoll definitions namn och klicka sedan på Nästa.

  6. Klicka på nyttoch sedan på ICMP i listan protokolltyp .

  7. Skriv 4 i rutan ICMP-kod , Skriv 3 i rutan ICMP-typ och klicka sedan på OK.

  8. Klicka på Nästa, Slutföroch sedan på Verkställ. Notera Det går inte att skapa en företagsåtkomst regel för användardefinierade ICMP-protokoll när du använder guiden Skapa regel.

Om du vill veta mer om hur du använder användardefinierade ICMP-protokoll i ISA Server 2004, Enterprise Edition-principer, klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

902348 användardefinierade ICMP-protokoll visas inte i guiden Ny åtkomstregel i ISA Server 2004 Enterprise Edition

Hur du manuellt skapar ICMP-åtkomstregeln för MTU om du har en enda matris i nätverket

  1. Klicka på Start, peka på program, peka på Microsoft ISA Serveroch klicka sedan på ISA Server Management.

  2. Expandera matriseri den vänstra rutan och expandera ArrayName.

  3. Högerklicka på brandväggsprincip, klicka på nyoch klicka sedan på åtkomstregel.

  4. Skriv Tillåt ICMP MTU Discoveryi rutan åtkomstregel namn och klicka sedan på Nästa.

  5. Klicka på Tillåtoch sedan på Nästa.

  6. Klicka på markerade protokolli listan regler gäller och klicka sedan på Lägg till.

  7. I listan över protokoll expanderar du användardefinierad.

  8. Klicka på ICMP-MTU-identifiering, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa.

  9. Klicka på Lägg till.

  10. Expandera nätverki listan nätverksentiteter .

  11. Klicka på externoch sedan på Lägg till.

  12. Klicka på internt, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa.

  13. Klicka på Lägg till.

  14. Expandera nätverki listan nätverksentiteter .

  15. Klicka på lokal värd, klicka på Lägg till, klicka på Stängoch klicka sedan på Nästa två gånger.

  16. Klicka på Slutföroch sedan på Verkställ.

Så här skapar du ICMP-åtkomstregeln för MTU om du har flera matrismedlemmar i nätverket

Metod 1

  1. Manuellt skapa ICMP-åtkomstregeln för MTU på den första matrisen. Genom att följa stegen som beskrivs för att skapa åtkomstregeln för en enskild matris.

  2. Kopiera ICMP-åtkomstregeln för MTU. Gör så här:

    1. Klicka på Start, peka på program, peka på Microsoft ISA Serveroch klicka sedan på ISA Server Management.

    2. Expandera matriseri den vänstra rutan och expandera ArrayName. ArrayName är den första matrisen som du skapade ICMP-ÅTKOMSTREGELN för MTU för.

    3. Klicka på brandväggsprincip, högerklicka på Tillåt ICMP-MTU-Identifieringsregel under Brandväggspolicy regleroch klicka sedan på Kopiera.

  3. Klistra in ICMP-åtkomstregeln för MTU i varje matris. Gör så här:

    1. I ISA Server Management Microsoft Management Console (MMC) expanderar du matrisen där du vill klistra in ICMP MTU-åtkomstregeln och klickar sedan på brandväggsprincip.

    2. I mittenfönstret högerklickar du på den mat ris policyregel som du vill ska följa ICMP MTU-åtkomstregeln direkt och klickar sedan på Klistra in. Notera Om det inte finns några mat ris policyregler måste du skapa en ny mat ris policyregel innan du kan klistra in ICMP MTU-åtkomstregeln i mat ris principen.

    3. Klicka på Verkställ.

  4. Upprepa steg 3a till 3c tills du kopierar ICMP MTU-åtkomstregeln för alla matrismedlemmar.

Metod 2

  1. Manuellt skapa ICMP-åtkomstregeln för MTU på den första matrisen. Det gör du genom att följa stegen som beskrivs för att skapa ICMP-åtkomstregeln för MTU för en enda matris.

  2. Exportera ICMP-åtkomstregeln för MTU. Gör så här:

    1. Expandera matrisen som du skapade ICMP MTU-åtkomstregeln för i ISA Server Management-MMC och klicka sedan på brandväggsprincip.

    2. Högerklicka på Tillåt ICMP MTU Discovery Rule under brandväggs policy regler, och klicka sedan på Exportera markerade.

    3. Klicka på Nästai export guiden.

    4. Klicka på Nästapå sidan export inställningar .

    5. Klicka på Bläddrapå sidan Exportera fil plats .

    6. Välj en plats där du ska exportera ICMP-MTU-identifieringsregeln, Skriv Mtudiscoveryrule i rutan filnamn och klicka sedan på Öppna.

    7. Klicka på Nästaoch sedan på Slutför för att avsluta guiden.

    8. Klicka på OK när förloppsindikatorn visar ett meddelande om att konfigurationen har exporterats.

  3. Importera ICMP MTU-åtkomstregeln till varje matris. Gör så här:

    1. I ISA Server Management-MMC expanderar du matrisen där du vill importera ICMP-åtkomstregeln för MTU och högerklickar sedan på brandväggsprincip.

    2. Klicka på Importera.

    3. Klicka på Nästai import guiden.

    4. Klicka på Bläddraoch leta upp mappen där du sparade Mtudiscoveryrule -filen i steg 2F.

    5. Klicka på filen Mtudiscoveryrule och klicka sedan på Öppna.

    6. Klicka på Nästa två gånger.

    7. Klicka på Slutför.

    8. Klicka på OK när förloppsindikatorn visar ett meddelande om att konfigurationen har importerats.

    9. Klicka på Verkställ.

Referenser

Mer information om registerinställningar för PMTU Discovery i Microsoft Windows 2000 klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

315669 hur du härda TCP/IP-stacken mot denial of Service-attacker i Windows 2000Mer information om registerinställningar för PMTU Discovery i Microsoft Windows Server 2003 klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

324270 hur du härda TCP/IP-stacken mot denial of Service-attacker i Windows Server 2003

Behöver du mer hjälp?

Utöka dina kunskaper

UTFORSKA UTBILDNING >

Få nya funktioner först

ANSLUT TILL MICROSOFT INSIDERS >

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×