Önemli Bu makalede, kayıt defterinin nasıl değiştirilen hakkında bilgi içerir. Değiştirmeden önce kayıt defterini yedeklediğinizden emin olun. Bir sorun oluşursa kayıt defterini nasıl geri yükleyin bildiğinizden emin olun. Kayıt defterini yedekleme, geri yükleme ve değiştirme hakkında daha fazla bilgi için, makaleyi Microsoft Bilgi Bankası'nda görüntülemek için aşağıdaki makale numarasını tıklatın:
256986 Microsoft Windows kayıt defterinin açıklaması
Belirtiler
Microsoft Internet Security and Acceleration Server (ISA) 2004 tabanlı bir bilgisayar ağır yük koşullarında çalışıyorsa, yüksek CPU kullanımı yla karşılaşabilirsiniz. Örneğin, ISA Server bilgisayarındaki CPU kullanımı yüzde 50'den fazla olabilir.
Neden
Bu davranış, ISA Server yüklemesi sırasında uygulanan TCP/IP maksimum iletim birimi (MTU) ayarı nedeniyle oluşabilir. Bir saldırganın MTU değerini değiştirmesini önlemek için ISA Server 2004 yolu MTU (PMTU) keşfini devre dışı kılabilir. Bu ayar, Microsoft güvenlik bülteniMS05-019'da belgelenmiştir. Bu bülteni görmek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxNotlar
-
Varsayılan olarak, Windows 1.480 baytlık bir MTU ayarı kullanır ve daha küçük paket boyutları isteyen Internet Control Message Protocol (ICMP) iletilerini kabul eder.
-
MTU bulma Windows tabanlı bir sunucuda devre dışı bırakılırsa, sunucu 576 baytlık bir MTU ayarı kullanır.
Çözüm
Uyarı Kayıt Defteri Düzenleyicisi'ni kullanarak veya başka bir yöntem kullanarak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini kendi riskiniz altında değiştirin. ISA Server yüklemesi sırasında yapılandırılan MTU ayarı nedeniyle oluşan davranışı gidermek için aşağıdaki adımları izleyin. Önemli Windows Server 2003 Hizmet Paketi 1 'i (SP1) veya aşağıdaki Microsoft Bilgi Bankası makalesinde açıklanan düzeltmeyi yüklediyseniz, bu kayıt defteri değişikliğini yapmalısınız:
Ms05-019 veya Windows Server 2003 Service Pack 1 güvenlik güncelleştirmesi yükledikten sonra istemciler ve sunucular arasındaki 898060 Ağ bağlantısı başarısız olabilir
-
Başlat'ıtıklatın, Çalıştır'ıtıklatın, regedityazın ve ardından Tamam'ıtıklatın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun ve ardından anahtara sağ tıklayın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryDeğer Türü: REG_DWORDValue: REG_DWORDValue, 1 (Yanlış, Doğru)ISA varsayılan değeri: 0 (False)NotEnablePMTUDiscovery girişi kullanılamıyorsa, girişi oluşturun.
-
Uygunsa, değeri aşağıdaki bilgilere göre ayarlayın veya değiştirin:
-
Değer = 1EnablePMTUDiscovery'yi 1 olarak ayarladığınızda, TCP uzak bir ana bilgisayar yolundaki MTU'yu veya en büyük paket boyutunu keşfetmeye çalışır. TCP, farklı MTUs kullanan ağları birbirine bağlayan yoldaki yönlendiricilerde parçalanmayı kaldırabilir. TCP bunu, MTU yolunu keşfederek ve TCP segmentlerini bu boyutla sınırlayarak yapar. Parçalanma TCP iş buzunu olumsuz etkiler.
-
Değer = 0EnablePMTUDiscovery'yi 0 olarak ayarladığınızda, yerel alt ağdaki ana bilgisayarlarla ilgili olmayan tüm bağlantılar için 576 baytlık mtu kullanılır. Bu değeri 0 olarak ayarlamazsanız, saldırgan MTU değerini çok küçük bir değere zorlayabilir ve yığını fazla çalışmaya zorlayabilir. Notlar
-
EnablePMTUDiscovery'yi 0 olarak ayarladığınızda, TCP/IP performansı ve iş çıktısı etkilenir. Bu değeri 0 olarak ayarlamadan önce performans işlerinin tamamen farkında olmalısınız.
-
ISA Server 2004 veya ISA Server 2004 Service Pack 1'i yüklediğinizde, bu değer de 0'a sıfırlanır.
-
ISA Server 2004 Servis Paketi 2 EnablePMTUDiscoverydeğerini değiştirmez.
-
-
-
Bulma işlemine katılmak için ISA Server için bir ICMP MTU erişim kuralı oluşturun. Bunu yapmak için, yapılandırmanıza bağlı olarak aşağıdaki bölümlerde açıklanan adımları izleyin.
-
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
ISA Server 2004, Standart Sürüm
-
Başlat'ıtıklatın, Programlaraişaret edin, Microsoft ISA Server'ıişaret edin ve ardından ISA Server Management'ıtıklatın.
-
Sol bölmede ArrayName'yigenişletin ve ardından Güvenlik Duvarı İlkesi'nitıklatın.
-
Görev bölmesinde, Araç Kutusu sekmesini tıklatın ve ardından Protokoller'itıklatın.
-
Protokolleraltında, Yeni'yitıklatın ve ardından Protokol'etıklayın.
-
Protokol tanımı ad kutusunda ICMP MTU Bulmayazın ve sonra İleri'yitıklatın.
-
Yeni'yitıklatın ve ardından Protokol türü listesinde ICMP'yi tıklatın.
-
Yön listesinde, Gönder'itıklatın.
-
ICMP Kodu kutusuna 4 yazın, ICMP Türü kutusuna 3 yazın ve ardından Tamam'ıtıklatın.
-
İleri'yitıklatın, Bitir'itıklatın ve sonra Uygula'yıtıklatın.
-
Sol bölmede, Güvenlik Duvarı İlkesi'nisağ tıklatın, Yeni'yitıklatın ve ardından Erişim Kuralı'nıtıklatın.
-
Access kural adkutusunda, ICMP MTU Bulma İzin ver'iyazın ve sonra İleri'yitıklatın.
-
İzin Ver'itıklatın ve sonra İleri'yitıklatın.
-
Bu kurallar da liste için geçerlidir,Seçili protokolleritıklatın ve sonra Ekle'yitıklatın.
-
Protokoller listesinde, Kullanıcı Tanımlı'yı genişletin.
-
ICMP MTU Bulma'yıtıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra İleri'yitıklatın.
-
Ekle'ye tıklayın.
-
Ağ varlıklarılistesinde, Ağlarıgenişletin.
-
Dış'ıtıklatın ve sonra Ekle'yitıklatın.
-
İçerde'yitıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra İleri'yitıklatın.
-
Ekle'ye tıklayın.
-
Ağ varlıklarılistesinde, Ağlarıgenişletin.
-
Yerel Ana Bilgisayar'ıtıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra Sonraki'yi iki kez tıklatın.
-
Bitir'itıklatın ve sonra Uygula'yıtıklatın.
ISA Server 2004, Kurumsal Sürüm
ISA Server 2004 için Enterprise Edition'ın ICMP MTU bulma işlemine katılması, kurumsal düzeyde ICMP protokolü oluşturması ve ardından dizi düzeyinde ICMP MTU erişim kuralını oluşturması.
KURUMSAL düzeyde ICMP protokolü nasıl oluşturulur?
-
Başlat'ıtıklatın, Programlaraişaret edin, Microsoft ISA Server'ıişaret edin ve ardından ISA Server Management'ıtıklatın.
-
Sol bölmede, Enterprise'ıgenişletin ve ardından Kurumsal İlkeler'itıklatın.
-
Görev bölmesinde, Araç Kutusu sekmesini tıklatın ve ardından Protokoller'itıklatın.
-
Protokolleraltında, Yeni'yitıklatın ve ardından Protokol'etıklayın.
-
Protokol tanımı ad kutusunda ICMP MTU Bulmayazın ve sonra İleri'yitıklatın.
-
Yeni'yitıklatın ve ardından Protokol türü listesinde ICMP'yi tıklatın.
-
ICMP Kodu kutusuna 4 yazın, ICMP Türü kutusuna 3 yazın ve ardından Tamam'ıtıklatın.
-
İleri'yitıklatın, Bitir'itıklatın ve sonra Uygula'yıtıklatın. Not Kural oluşturma sihirbazı kullandığınızda kullanıcı tanımlı ICMP iletişim kuralları için Kurumsal erişim kuralı oluşturulamaz.
ISA Server 2004, Enterprise Edition ilkelerinde kullanıcı tanımlı ICMP protokollerinin nasıl kullanılacağı hakkında daha fazla bilgi için, Makaleyi Microsoft Bilgi Bankası'nda görüntülemek için aşağıdaki makale numarasını tıklatın:
902348 Kullanıcı tanımlı ICMP protokolleri ISA Server 2004 Enterprise Edition'daki Yeni Erişim Kuralı Sihirbazı'nda görüntülenmez
Ağda tek bir dizi varsa ICMP MTU erişim kuralını el ile oluşturma
-
Başlat'ıtıklatın, Programlaraişaret edin, Microsoft ISA Server'ıişaret edin ve ardından ISA Server Management'ıtıklatın.
-
Sol bölmede, Dizilerigenişletin ve arrayname'yigenişletin.
-
Sağ tıklatın Güvenlik Duvarı İlkesi, Yeni'yitıklatın ve sonra Erişim Kuralı'nıtıklatın.
-
Access kural adkutusunda, ICMP MTU Bulma İzin ver'iyazın ve sonra İleri'yitıklatın.
-
İzin Ver'itıklatın ve sonra İleri'yitıklatın.
-
Bu kurallar da liste için geçerlidir,Seçili protokolleritıklatın ve sonra Ekle'yitıklatın.
-
Protokoller listesinde, Kullanıcı Tanımlı'yı genişletin.
-
ICMP MTU Bulma'yıtıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra İleri'yitıklatın.
-
Ekle'ye tıklayın.
-
Ağ varlıklarılistesinde, Ağlarıgenişletin.
-
Dış'ıtıklatın ve sonra Ekle'yitıklatın.
-
İçerde'yitıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra İleri'yitıklatın.
-
Ekle'ye tıklayın.
-
Ağ varlıkları listesinde, Ağlarıgenişletin.
-
Yerel Ana Bilgisayar'ıtıklatın, Ekle'yitıklatın, Kapat'ıtıklatın ve sonra Sonraki'yi iki kez tıklatın.
-
Bitir'itıklatın ve sonra Uygula'yıtıklatın.
Ağda birden çok dizi üyeniz varsa ICMP MTU erişim kuralı nasıl oluşturulur?
Yöntem 1
-
İlk dizideki ICMP MTU erişim kuralını el ile oluşturun. Bunu yapmak için, tek bir dizi için erişim kuralını oluşturmak için açıklanan adımları izleyin.
-
ICMP MTU erişim kuralını kopyalayın. Bunu yapmak için aşağıdaki adımları izleyin:
-
Başlat'ıtıklatın, Programlaraişaret edin, Microsoft ISA Server'ıişaret edin ve ardından ISA Server Management'ıtıklatın.
-
Sol bölmede, Dizilerigenişletin ve arrayname'yigenişletin. ArrayName, ICMP MTU erişim kuralını oluşturduğunuz ilk dizidir.
-
Güvenlik Duvarı İlkesi'nitıklatın, Güvenlik Duvarı İlkesi Kurallarıaltında ICMP MTU Discovery kuralına izin ver'i sağ tıklatın ve ardından Kopyala'yıtıklatın.
-
-
ICMP MTU erişim kuralını her diziye yapıştırın. Bunu yapmak için aşağıdaki adımları izleyin:
-
ISA Server Management Microsoft Management Console'da (MMC), ICMP MTU erişim kuralını yapıştırmak istediğiniz diziyi genişletin ve ardından Güvenlik Duvarı İlkesi'nitıklatın.
-
Orta bölmede, ICMP MTU erişim kuralını hemen izlemek istediğiniz dizi ilkesi kuralını sağ tıklatın ve ardından Yapıştır'ıtıklatın. Not Dizi ilkesi kuralları yoksa, ICMP MTU erişim kuralını dizi ilkesine yapıştırmadan önce yeni bir dizi ilkesi oluşturmanız gerekir.
-
Uygula'yıtıklatın.
-
-
Tüm dizi üyeleri için ICMP MTU erişim kuralını kopyalayıncaya kadar 3a'dan 3c'ye kadar adımları yineleyin.
Yöntem 2
-
İlk dizideki ICMP MTU erişim kuralını el ile oluşturun. Bunu yapmak için, tek bir dizi için ICMP MTU erişim kuralını oluşturmak için açıklanan adımları izleyin.
-
ICMP MTU erişim kuralını dışa aktarın. Bunu yapmak için aşağıdaki adımları izleyin:
-
ISA Server Management MMC'de, ICMP MTU erişim kuralını oluşturduğunuz diziyi genişletin ve ardından Güvenlik Duvarı İlkesi'nitıklatın.
-
Güvenlik Duvarı İlkesi Kurallarıaltında ICMP MTU Discovery kuralına izin ver'i sağ tıklatın ve ardından Seçili Dışa Aktar'ıtıklatın.
-
Dışa Aktarma Sihirbazı'nda İleri'yitıklatın.
-
Dışa Aktarma Tercihleri sayfasında İleri'yitıklatın.
-
Dışa Aktar Dosya Konumu sayfasında Gözat'ıtıklatın.
-
ICMP MTU Bulma kuralını dışa aktaracağınız bir konum seçin, Dosya adıkutusuna MtuDiscoveryRule yazın ve sonra Aç'ıtıklatın.
-
İleri'yitıklatın ve ardından sihirbazdan çıkmak için Bitir'i tıklatın.
-
İlerleme göstergesi yapılandırmanın başarıyla dışa aktarıldığına dair bir ileti görüntülediğinde Tamam'ı tıklatın.
-
-
HER diziye ICMP MTU erişim kuralını aktarın. Bunu yapmak için aşağıdaki adımları izleyin:
-
ISA Server Management MMC'de, ICMP MTU erişim kuralını almak istediğiniz diziyi genişletin ve ardından Güvenlik Duvarı İlkesi'nisağ tıklatın.
-
İçe Aktar'ıtıklatın.
-
Alma Sihirbazı'nda İleri'yitıklatın.
-
Gözat'ıtıklatın ve ardından Adım 2f'de MtuDiscoveryRule dosyasını kaydettiğiniz klasörü bulun.
-
MtuDiscoveryRule dosyasını tıklatın ve sonra Aç'ıtıklatın.
-
İleri'yi iki kez tıklatın.
-
Son'a tıklayın.
-
İlerleme göstergesi yapılandırmanın başarıyla aktarıldığına dair bir ileti görüntülediğinde Tamam'ı tıklatın.
-
Uygula'yıtıklatın.
-
Başvurular
Microsoft Windows 2000'deki PMTU bulma kayıt defteri ayarları hakkında daha fazla bilgi için, makaleyi Microsoft Bilgi Bankası'nda görüntülemek için aşağıdaki makale numarasını tıklatın:
315669 Windows 2000'deki hizmet reddi saldırılarına karşı TCP/IP yığını nasıl sertleşir?Microsoft Windows Server 2003'teki PMTU bulma kayıt defteri ayarları hakkında daha fazla bilgi için, makaleyi Microsoft Bilgi Bankası'nda görüntülemek için aşağıdaki makale numarasını tıklatın:
324270 Windows Server 2003'te hizmet reddi saldırılarına karşı TCP/IP yığını nasıl sertleştirilir?