สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลเกี่ยวกับวิธีการปรับเปลี่ยนรีจิสทรี ตรวจสอบให้แน่ใจว่าได้สำรองรีจิสทรีก่อนที่จะแก้ไข ตรวจสอบให้แน่ใจว่า คุณทราบวิธีการคืนค่ารีจิสทรีหากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูล เรียกคืน และการปรับเปลี่ยนรีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
256986คำอธิบายของรีจิสทรีของ Microsoft Windows
อาการ
เมื่อความปลอดภัยทางอินเทอร์เน็ตของ Microsoft และเซิร์ฟเวอร์ไฟร์ 2004 คอมพิวเตอร์กำลังทำงานภายใต้เงื่อนไขที่อัปโหลด คุณอาจพบการใช้ CPU สูง ตัวอย่างเช่น ใช้ CPU บนคอมพิวเตอร์เซิร์ฟเวอร์ ISA อาจมีมากกว่า 50 เปอร์เซ็นต์
สาเหตุ
ลักษณะการทำงานนี้อาจเกิดขึ้นเนื่องจาก TCP/IP สูงสุดหน่วยการส่งผ่าน (MTU) การตั้งค่าที่จะใช้ในระหว่างการติดตั้งเซิร์ฟเวอร์ ISA
เพื่อป้องกันการโจมตีจากการเปลี่ยนค่า MTU, ISA Server 2004 ปิดใช้งานการค้นพบเส้นทาง MTU (PMTU) การตั้งค่านี้แสดงรายละเอียดอยู่ในกระดานข่าวความปลอดภัยของ Microsoft MS05-019 เมื่อต้องการดูกระดานข่าวนี้ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxหมายเหตุ
-
โดยค่าเริ่มต้น Windows ใช้การตั้งค่า MTU 1480 ไบต์ และยอมรับข้อความโพรโทคอลข้อความตัวควบคุมของอินเทอร์เน็ต (ICMP) ที่ร้องขอขนาดแพ็คเก็ตที่มีขนาดเล็กลง
-
ถ้าการค้นพบ MTU ถูกปิดใช้งานบนเซิร์ฟเวอร์ที่ใช้ Windows เซิร์ฟเวอร์ใช้การตั้งค่า MTU 576 ไบต์
การแก้ปัญหา
คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง โดยใช้ Registry Editor หรือ โดยใช้วิธีอื่น ปัญหาเหล่านี้อาจกำหนดให้คุณต้องติดตั้งระบบปฏิบัติการของคุณ Microsoft ไม่สามารถรับประกันว่า ปัญหาเหล่านี้จะสามารถแก้ไข ปรับเปลี่ยนรีจิสทรีคุณต้องเสี่ยง
เมื่อต้องการแก้ไขลักษณะการทำงานที่เกิดจากการตั้งค่า MTU ที่มีการกำหนดค่าในระหว่างการติดตั้งเซิร์ฟเวอร์ ISA ให้ทำตามขั้นตอนเหล่านี้
สิ่งสำคัญ คุณต้องแก้ไขรีจิสทรีนี้เปลี่ยนแปลงได้ถ้าคุณได้ติดตั้ง Windows Server 2003 Service Pack 1 (SP1) หรือโปรแกรมแก้ไขด่วนที่อธิบายไว้ในบทความฐานความรู้ของ Microsoft ต่อไปนี้:
898060เวิร์กระหว่างไคลเอนต์และเซิร์ฟเวอร์อาจล้มเหลวหลังจากที่คุณติดตั้งการปรับปรุงความปลอดภัย MS05-019 หรือ Windows Server 2003 Service Pack 1
-
คลิกเริ่มคลิกเรียกใช้พิมพ์regeditแล้ว คลิ กตกลง
-
ค้นหา และจากนั้น คลิกขวาที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
ชนิดมูลค่า: REG_DWORD
ค่า: 0, 1 (False, True)
ค่าเริ่มต้นของ ISA: 0 (เท็จ)
หมายเหตุ ถ้าไม่มีรายการEnablePMTUDiscoveryสร้างรายการ -
ถ้าเหมาะสม การตั้งค่า หรือเปลี่ยนแปลงค่าตามข้อมูลต่อไปนี้:
-
ค่า = 1
เมื่อคุณกำหนดEnablePMTUDiscoveryเป็น 1, TCP พยายามค้นหา MTU หรือขนาดแพ็คเก็ตสูงสุดในเส้นทางของโฮสต์ระยะไกล TCP สามารถเอาการกระจายตัวของข้อมูลที่เราเตอร์ในเส้นทางที่เชื่อมต่อกับเครือข่ายที่ใช้ MTUs ที่แตกต่างกัน TCP ไม่นี้ โดยการค้นหาเส้นทาง MTU และจำกัดเซ็กเมนต์ TCP ถึงขนาดนี้ การกระจายตัวของผลมีผลต่ออัตราความเร็วของ TCP -
ค่า = 0
เมื่อคุณตั้งค่าEnablePMTUDiscovery 0, MTU 576 ไบต์ถูกใช้สำหรับการเชื่อมต่อทั้งหมดที่ไม่เกี่ยวข้องกับโฮสต์คอมพิวเตอร์ในเครือข่ายย่อยท้องถิ่น ถ้าคุณไม่ได้ตั้งค่านี้เป็น 0 ผู้จู่โจมอาจบังคับใช้ค่า MTU กับค่าขนาดเล็กมาก และ overwork กองซ้อน
หมายเหตุ-
เมื่อคุณตั้งค่าEnablePMTUDiscovery 0 ประสิทธิภาพการทำงานของ TCP/IP และอัตราความเร็วจะมีผลกระทบ คุณต้องทราบทั้งหมดของอัตราความเร็วในประสิทธิภาพการทำงานก่อนที่คุณตั้งค่านี้เป็น 0
-
เมื่อคุณติดตั้ง ISA Server 2004 หรือ ISA Server 2004 Service Pack 1 ค่านี้ยังตั้งค่าเป็น 0
-
ISA Server 2004 Service Pack 2 ไม่เปลี่ยนแปลงค่าของEnablePMTUDiscovery
-
-
-
เมื่อต้องการเข้าร่วมในกระบวนการค้นหา สร้างกฎการเข้าถึง ICMP MTU สำหรับเซิร์ฟเวอร์ ISA เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนต่าง ๆ ที่อธิบายไว้ในส่วนต่อไปนี้ ขึ้นอยู่กับการตั้งค่าคอนฟิกของคุณ
-
ออกจากตัวแก้ไขรีจิสทรี และจากนั้น รีสตาร์ทเครื่องคอมพิวเตอร์
เซิร์ฟเวอร์ ISA 2004, Standard Edition
-
คลิกเริ่มชี้ไปที่โปรแกรมชี้ไปที่Microsoft ISA Serverแล้ว คลิ กจัดการเซิร์ฟเวอร์ ISA
-
ในบานหน้าต่างด้านซ้าย ขยายArrayNameและจากนั้น คลิกนโยบายไฟร์วอลล์
-
ในบานหน้าต่างงาน ให้คลิกที่แท็บเครื่องมือแล้ว คลิ กโพรโทคอล
-
ภายใต้โพรโทคอลคลิกสร้างแล้ว คลิ กโพรโทคอล
-
ในกล่องชื่อข้อกำหนดโพรโทคอลพิมพ์การค้นพบ ICMP MTUและจากนั้น คลิกถัดไป
-
คลิกสร้างและจากนั้น คลิกICMPในรายการชนิดของโพรโทคอล
-
ในรายการทิศทางคลิกส่งรับ
-
พิมพ์4ในกล่องรหัส ICMPพิมพ์3ลงในกล่องชนิด ICMPและจากนั้น คลิกตกลง
-
คลิกถัดไปคลิกเสร็จสิ้นแล้ว คลิ กนำไปใช้
-
ในบานหน้าต่างด้านซ้าย คลิกขวาที่นโยบายไฟร์วอลล์คลิกสร้างแล้ว คลิ กกฎการเข้าถึง
-
ในกล่องชื่อของกฎเข้าพิมพ์อนุญาตให้มีการค้นพบ MTU ICMPและจากนั้น คลิกถัดไป
-
คลิก'อนุญาตและจากนั้น คลิกถัดไป
-
ในรายการใช้กับกฎนี้คลิกโพรโทคอลที่เลือกและจากนั้น คลิกเพิ่ม
-
ในรายการโพรโทคอลขยายผู้ใช้กำหนดเอง
-
คลิกการค้นพบ ICMP MTUคลิกเพิ่มคลิกปิดแล้ว คลิ กถัดไป
-
คลิก เพิ่ม
-
ในรายการเอนทิตีเครือข่ายขยายเครือข่าย
-
คลิกที่ภายนอกและจากนั้น คลิกเพิ่ม
-
ภายในคลิก คลิกเพิ่มคลิกปิดและจากนั้น คลิกถัดไป
-
คลิก เพิ่ม
-
ในรายการเอนทิตีเครือข่ายขยายเครือข่าย
-
คลิกโฮสต์ท้องถิ่นคลิกเพิ่มคลิกปิดแล้ว คลิกNextสองครั้ง
-
คลิกเสร็จสิ้นแล้ว คลิ กนำไปใช้
ISA Server 2004, Edition องค์กร
สำหรับ ISA Server 2004, Edition องค์กรเข้าร่วมในกระบวนการค้นพบ ICMP MTU สร้างโพรโทคอล ICMP ที่ระดับองค์กร จากนั้น ให้สร้างกฎการเข้าถึง ICMP MTU ในระดับอาร์เรย์
วิธีการสร้างโพรโทคอล ICMP ที่ระดับองค์กร
-
คลิกเริ่มชี้ไปที่โปรแกรมชี้ไปที่Microsoft ISA Serverแล้ว คลิ กจัดการเซิร์ฟเวอร์ ISA
-
ในบานหน้าต่างด้านซ้าย ขยายองค์กรและจากนั้น คลิกนโยบายองค์กร
-
ในบานหน้าต่างงาน ให้คลิกที่แท็บเครื่องมือแล้ว คลิ กโพรโทคอล
-
ภายใต้โพรโทคอลคลิกสร้างแล้ว คลิ กโพรโทคอล
-
ในกล่องชื่อข้อกำหนดโพรโทคอลพิมพ์การค้นพบ ICMP MTUและจากนั้น คลิกถัดไป
-
คลิกสร้างและจากนั้น คลิกICMPในรายการชนิดของโพรโทคอล
-
พิมพ์4ในกล่องรหัส ICMPพิมพ์3ลงในกล่องชนิด ICMPและจากนั้น คลิกตกลง
-
คลิกถัดไปคลิกเสร็จสิ้นแล้ว คลิ กนำไปใช้
หมายเหตุ ไม่สามารถสร้างกฎการเข้าถึงองค์กรสำหรับโพรโทคอ ICMP ที่ผู้ใช้กำหนดเองเมื่อคุณใช้ตัวช่วยสร้างกฎ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้โพรโทคอ ICMP ที่ผู้ใช้กำหนดเองใน ISA Server 2004, Edition องค์กรนโยบาย คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
902348โพรโทคอล ICMP ที่ผู้ใช้กำหนดเองจะไม่แสดงในแบบใหม่เข้าถึงตัวช่วยสร้างกฎใน ISA Server 2004 องค์กรอิดิชั่น
วิธีการสร้างกฎการเข้าถึง ICMP MTU ด้วยตนเองถ้าคุณมีอาร์เรย์เดียวในเครือข่าย
-
คลิกเริ่มชี้ไปที่โปรแกรมชี้ไปที่Microsoft ISA Serverแล้ว คลิ กจัดการเซิร์ฟเวอร์ ISA
-
ในบานหน้าต่างด้านซ้าย ขยายอาร์เรย์และจากนั้น ขยายArrayName
-
คลิกขวาที่นโยบายไฟร์วอลล์คลิกสร้างและจากนั้น คลิกกฎการเข้าถึง
-
ในกล่องชื่อของกฎเข้าพิมพ์อนุญาตให้มีการค้นพบ MTU ICMPและจากนั้น คลิกถัดไป
-
คลิก'อนุญาตและจากนั้น คลิกถัดไป
-
ในรายการใช้กับกฎนี้คลิกโพรโทคอลที่เลือกและจากนั้น คลิกเพิ่ม
-
ในรายการโพรโทคอลขยายผู้ใช้กำหนดเอง
-
คลิกการค้นพบ ICMP MTUคลิกเพิ่มคลิกปิดแล้ว คลิ กถัดไป
-
คลิก เพิ่ม
-
ในรายการเอนทิตีเครือข่ายขยายเครือข่าย
-
คลิกที่ภายนอกและจากนั้น คลิกเพิ่ม
-
ภายในคลิก คลิกเพิ่มคลิกปิดและจากนั้น คลิกถัดไป
-
คลิก เพิ่ม
-
ในรายการเอนทิตีเครือข่ายขยายเครือข่าย
-
คลิกโฮสต์ท้องถิ่นคลิกเพิ่มคลิกปิดแล้ว คลิกNextสองครั้ง
-
คลิกเสร็จสิ้นแล้ว คลิ กนำไปใช้
วิธีการสร้างกฎการเข้าถึง ICMP MTU ถ้าคุณมีอาร์เรย์หลายสมาชิกในเครือข่าย
วิธีที่ 1
-
สร้างกฎการเข้าถึง ICMP MTU ด้วยตนเองในอาร์เรย์แรก เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนต่าง ๆ ที่อธิบายไว้ในการสร้างกฎการเข้าถึงสำหรับอาร์เรย์แบบเดียว
-
คัดลอกกฎการเข้าถึง ICMP MTU เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
-
คลิกเริ่มชี้ไปที่โปรแกรมชี้ไปที่Microsoft ISA Serverแล้ว คลิ กจัดการเซิร์ฟเวอร์ ISA
-
ในบานหน้าต่างด้านซ้าย ขยายอาร์เรย์และจากนั้น ขยายArrayName
ArrayNameคืออาร์เรย์แรกที่คุณสร้างกฎการเข้าถึง ICMP MTU -
คลิกนโยบายไฟร์วอลล์คลิกขวาที่กฎการค้นพบ ICMP MTU ที่อนุญาตภายใต้กฎนโยบายไฟร์วอลล์และจากนั้น คลิกคัดลอก
-
-
วางกฎการเข้าถึง ICMP MTU ลงในแต่ละแถว เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
-
ในการ ISA Server จัดการ Microsoft Management Console (MMC), ขยายอาร์เรย์ที่คุณต้องการวางกฎการเข้าถึง ICMP MTU และจากนั้น คลิกนโยบายไฟร์วอลล์
-
ในบานหน้าต่าง center คลิกขวากฎนโยบายอาร์เรย์ที่คุณต้องการที่ทำตามกฎการเข้าถึง ICMP MTU ทันที และคลิกที่วาง
หมายเหตุ ถ้าไม่มีกฎนโยบายของอาร์เรย์ที่มีอยู่ คุณต้องสร้างกฎนโยบายอาร์เรย์ใหม่ก่อนที่คุณสามารถวางกฎการเข้าถึง ICMP MTU เป็นนโยบายอาร์เรย์ -
คลิกนำไปใช้
-
-
ทำซ้ำขั้นตอน 3a ถึง 3c จนกว่าคุณคัดลอกกฎการเข้าถึง ICMP MTU สำหรับสมาชิกอาร์เรย์ทั้งหมด
วิธีที่ 2
-
สร้างกฎการเข้าถึง ICMP MTU ด้วยตนเองในอาร์เรย์แรก เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนต่าง ๆ ที่อธิบายไว้ในการสร้างกฎการเข้าถึง ICMP MTU สำหรับอาร์เรย์แบบเดียว
-
ส่งออกกฎการเข้าถึง ICMP MTU เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
-
ใน MMC จัดการ ISA Server ขยายอาร์เรย์ที่คุณสร้างกฎการเข้าถึง ICMP MTU และจากนั้น คลิกนโยบายไฟร์วอลล์
-
คลิกขวาที่กฎการค้นพบ ICMP MTU ที่อนุญาตภายใต้กฎนโยบายไฟร์วอลล์และคลิกส่งออกที่เลือก
-
ในตัวช่วยสร้างการส่งออกคลิกถัดไป
-
บนหน้าการส่งออกการกำหนดลักษณะคลิกถัดไป
-
บนหน้าตำแหน่งที่ตั้งแฟ้มที่ส่งออกคลิกเรียกดู
-
เลือกตำแหน่งที่คุณจะส่งออกกฎการค้นพบ ICMP MTU พิมพ์MtuDiscoveryRuleในกล่องชื่อแฟ้มและคลิกเปิด
-
คลิกถัดไปและจากนั้น คลิกเสร็จสิ้นเพื่อออกจากตัวช่วยสร้าง
-
คลิกตกลงเมื่อตัวบ่งชี้ความคืบหน้าแสดงข้อความว่า โครงแบบได้ถูกส่งเรียบร้อยแล้ว
-
-
นำเข้ากฎการเข้าถึง ICMP MTU ในแต่ละแถว เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
-
ใน MMC จัดการ ISA Server ขยายอาร์เรย์ที่คุณต้องการนำเข้ากฎการเข้าถึง ICMP MTU และจากนั้น คลิกขวาที่นโยบายไฟร์วอลล์
-
คลิกนำเข้า
-
ในตัวช่วยสร้างการนำเข้า คลิกถัดไป
-
คลิกเรียกดูและจากนั้น ค้นหาโฟลเดอร์ที่คุณบันทึกแฟ้มMtuDiscoveryRuleในขั้นตอน 2f
-
คลิกที่แฟ้มMtuDiscoveryRuleและจากนั้น คลิกเปิด
-
คลิกถัดไปสองครั้ง
-
คลิกเสร็จสิ้น
-
คลิกตกลงเมื่อตัวบ่งชี้ความคืบหน้าแสดงข้อความว่า โครงแบบได้ถูกนำเข้าเสร็จเรียบร้อยแล้ว
-
คลิกนำไปใช้
-
ข้อมูลอ้างอิง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่ารีจิสทรีค้นพบ PMTU ใน Microsoft Windows 2000 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
วิธีการ315669การแกร่งสแต็ค TCP/IP กับโจมบริการใน Windows 2000
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่ารีจิสทรีค้นพบ PMTU ใน Microsoft Windows Server 2003 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
324270วิธีแกร่งสแต็ค TCP/IP กับโจมบริการใน Windows Server 2003