Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Quan trọng Bài viết này chứa thông tin về cách sửa đổi sổ đăng ký. Hãy chắc chắn sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Đảm bảo rằng bạn biết cách khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu, khôi phục và sửa đổi sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

256986 về Microsoft Windows registry

Triệu chứng

Khi Microsoft Internet Security và Acceleration Server (ISA) 2004 dựa trên máy tính đang hoạt động trong điều kiện tải nặng, bạn có thể trải nghiệm sử dụng CPU cao. Ví dụ: sử dụng CPU trên máy tính ISA Server có hơn 50%.

Nguyên nhân

Hiện tượng này có thể xảy ra do TCP/IP tối đa truyền đơn vị (MTU) đặt đã được áp dụng trong quá trình cài đặt ISA Server.

Để ngăn chặn kẻ tấn công thay đổi giá trị MTU, ISA Server 2004 vô hiệu hoá đường dẫn MTU (PMTU) phát hiện. Thiết đặt này được ghi lại trong bản tin bảo mật Microsoft MS05-019. Để xem thông báo này, hãy ghé thăm Web site sau của Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspxLưu ý:

  • Theo mặc định, Windows sử dụng một cài đặt MTU 1.480 byte và chấp nhận thông báo giao thức thông báo điều khiển Internet (ICMP) yêu cầu gói kích thước nhỏ hơn.

  • Nếu phát hiện MTU bị tắt trên máy chủ chạy Windows, máy chủ sử dụng một cài đặt MTU 576 byte.

Giải pháp

Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng bằng cách sử dụng Registry Editor hoặc bằng cách sử dụng phương pháp khác. Các sự cố này có thể yêu cầu bạn phải cài đặt lại hệ điều hành. Microsoft không thể đảm bảo rằng các vấn đề có thể giải quyết. Sửa đổi sổ đăng ký rủi ro của riêng bạn.

Để khắc phục hiện tượng do cài đặt MTU được cấu hình trong khi cài đặt ISA Server, hãy làm theo các bước sau.

Quan trọng Bạn phải thực hiện đăng ký này thay đổi nếu bạn đã cài đặt Windows Server 2003 Gói Dịch vụ 1 (SP1) hoặc các hotfix được mô tả trong bài viết sau trong cơ sở kiến thức Microsoft:

898060 kết nối mạng giữa máy khách và máy chủ có thể không thành công sau khi bạn cài đặt bản Cập Nhật bảo mật MS05 019 hoặc Windows Server 2003 Gói Dịch vụ 1

  1. Bấm bắt đầu, bấm chạy, gõ regedit, và sau đó bấm OK.

  2. Định vị và sau đó bấm chuột phải vào khoá con đăng ký sau:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Giá trị loại: REG_DWORD
    Giá trị: 0, 1 (False, True)
    Giá trị mặc định ISA: 0 (False)

    Lưu ý Nếu không có mục EnablePMTUDiscovery , tạo mục đó.

  3. Nếu phù hợp, thiết lập hoặc thay đổi giá trị theo thông tin sau:

    • Giá trị = 1
      Khi bạn đặt EnablePMTUDiscovery 1, TCP cố gắng khám phá MTU hoặc kích thước gói lớn nhất trong đường dẫn của máy chủ từ xa. TCP có thể loại bỏ phân mảnh vào bộ định tuyến trong đường kết nối mạng sử dụng MTUs khác nhau. TCP này thực hiện việc khám phá đường MTU và giới hạn TCP đoạn kích thước này. Phân mảnh bất lợi ảnh hưởng đến thông qua TCP.

    • Giá trị = 0
      Khi bạn đặt EnablePMTUDiscovery 0, một MTU 576 byte được sử dụng cho tất cả các kết nối không liên quan đến lưu trữ trên mạng phụ cục bộ. Nếu bạn không đặt giá trị này thành 0, kẻ tấn công có thể áp dụng giá trị MTU giá trị nhỏ và làm việc quá sức ngăn xếp.

      Lưu ý:

      • Khi bạn đặt EnablePMTUDiscovery 0, TCP/IP hoạt động và thông lượng bị ảnh hưởng. Bạn phải nhận thức đầy đủ lượng hoạt động trước khi bạn đặt giá trị này là 0.

      • Khi bạn cài đặt ISA Server 2004 hoặc ISA Server 2004 gói dịch vụ 1, giá trị này cũng lại về 0.

      • ISA Server 2004 gói dịch vụ 2 không thay đổi giá trị EnablePMTUDiscovery.

  4. Tham gia vào quá trình khám phá, tạo quy tắc truy cập ICMP MTU ISA Server. Để thực hiện việc này, hãy làm theo các bước được mô tả trong phần sau, tùy thuộc vào cấu hình của bạn.

  5. Thoát khỏi Registry Editor, và sau đó khởi động lại máy tính.

ISA Server 2004, Enterprise Edition

  1. Bấm bắt đầu, trỏ chuột vào chương trình, điểm đến Microsoft ISA Serverrồi sau đó bấm ISA Server quản lý.

  2. Trong ngăn bên trái, mở rộng ArrayName, và sau đó nhấp vào Chính sách tường lửa.

  3. Trong ngăn tác vụ, nhấp vào tab công cụ và sau đó nhấp vào giao thức.

  4. Trong giao thức, bấm mớivà sau đó nhấp vào giao thức.

  5. Trong hộp danh sách tên giao thức nhập ICMP MTU khám phávà sau đó nhấp vào tiếp theo.

  6. Bấm mớivà sau đó bấm ICMP trong danh sách loại giao thức .

  7. Trong danh sách hướng , nhấp vào Gửi nhận được.

  8. Nhập 4 hộp ICMP mã , gõ 3 ICMP loại hộp và sau đó bấm OK.

  9. Bấm tiếp theo, bấm kết thúc, và sau đó bấm vào áp dụng.

  10. Trong ngăn bên trái, bấm chuột phải vào Chính sách tường lửa, bấm mới, và sau đó bấm vào Quy tắc truy cập.

  11. Trong hộp tên quy tắc truy cập nhập Cho phép ICMP MTU khám phárồi sau đó bấm tiếp theo.

  12. Bấm cho phép, và sau đó nhấp vào tiếp theo.

  13. Trong danh sách này quy tắc áp dụng , bấm chọn giao thức, và bấm Thêm.

  14. Trong danh sách các giao thức , mở rộng Quy định người dùng.

  15. Bấm ICMP MTU phát hiện, bấm Thêm, bấm đóng, và sau đó bấm tiếp theo.

  16. Bấm vào Thêm.

  17. Trong danh sách mạng thực thể , mở rộng mạng.

  18. Nhấp vào bên ngoài, và bấm Thêm.

  19. Bấm nội, bấm Thêm, bấm đóng, và sau đó nhấp vào tiếp theo.

  20. Bấm vào Thêm.

  21. Trong danh sách mạng thực thể , mở rộng mạng.

  22. Bấm Lưu trữ cục bộ, bấm Thêm, bấm đóng, và sau đó nhấp vào tiếp theo hai lần.

  23. Bấm kết thúc, và sau đó bấm vào áp dụng.

ISA Server 2004, Enterprise Edition

Cho ISA Server 2004, Enterprise Edition tham gia trong quá trình khám phá ICMP MTU, tạo giao thức ICMP ở cấp độ doanh nghiệp và sau đó tạo quy tắc truy cập ICMP MTU độ mảng.

Làm thế nào để tạo giao thức ICMP ở cấp độ doanh nghiệp

  1. Bấm bắt đầu, trỏ chuột vào chương trình, điểm đến Microsoft ISA Serverrồi sau đó bấm ISA Server quản lý.

  2. Trong ngăn bên trái, mở rộng doanh nghiệp, và sau đó nhấp vào Chính sách doanh nghiệp.

  3. Trong ngăn tác vụ, nhấp vào tab công cụ và sau đó nhấp vào giao thức.

  4. Trong giao thức, bấm mớivà sau đó nhấp vào giao thức.

  5. Trong hộp danh sách tên giao thức nhập ICMP MTU khám phávà sau đó nhấp vào tiếp theo.

  6. Bấm mớivà sau đó bấm ICMP trong danh sách loại giao thức .

  7. Nhập 4 hộp ICMP mã , gõ 3 ICMP loại hộp và sau đó bấm OK.

  8. Bấm tiếp theo, bấm kết thúc, và sau đó bấm vào áp dụng.

    Lưu ý Không thể tạo quy tắc truy cập doanh nghiệp để xác định người sử dụng giao thức ICMP khi bạn sử dụng thuật sĩ tạo quy tắc.

Để biết thêm thông tin về cách sử dụng giao thức ICMP người dùng xác định trong ISA Server 2004, Enterprise Edition chính sách, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

902348 giao thức ICMP người dùng xác định không được hiển thị trong thuật sỹ quy tắc truy cập mới trong ISA Server 2004 Enterprise Edition

Làm thế nào để tự tạo quy tắc truy cập ICMP MTU nếu bạn có một mảng duy nhất trong mạng

  1. Bấm bắt đầu, trỏ chuột vào chương trình, điểm đến Microsoft ISA Serverrồi sau đó bấm ISA Server quản lý.

  2. Trong ngăn bên trái, mở rộng mảng, và sau đó mở rộng ArrayName.

  3. Bấm chuột phải vào Chính sách tường lửa, bấm mới, và sau đó bấm vào Quy tắc truy cập.

  4. Trong hộp tên quy tắc truy cập nhập Cho phép ICMP MTU khám phárồi sau đó bấm tiếp theo.

  5. Bấm cho phép, và sau đó nhấp vào tiếp theo.

  6. Trong danh sách này quy tắc áp dụng , bấm chọn giao thức, và bấm Thêm.

  7. Trong danh sách các giao thức , mở rộng Quy định người dùng.

  8. Bấm ICMP MTU phát hiện, bấm Thêm, bấm đóng, và sau đó bấm tiếp theo.

  9. Bấm vào Thêm.

  10. Trong danh sách mạng thực thể , mở rộng mạng.

  11. Nhấp vào bên ngoài, và bấm Thêm.

  12. Bấm nội, bấm Thêm, bấm đóng, và sau đó nhấp vào tiếp theo.

  13. Bấm vào Thêm.

  14. Trong danh sách mạng thực thể , mở rộng mạng.

  15. Bấm Lưu trữ cục bộ, bấm Thêm, bấm đóng, và sau đó nhấp vào tiếp theo hai lần.

  16. Bấm kết thúc, và sau đó bấm vào áp dụng.

Làm thế nào để tạo quy tắc truy cập ICMP MTU nếu bạn có nhiều mảng thành viên trong mạng

Phương pháp 1

  1. Tự tạo quy tắc truy cập ICMP MTU trên đầu tiên. Để thực hiện việc này, hãy làm theo các bước được mô tả để tạo quy tắc truy cập cho một mảng duy nhất.

  2. Sao chép quy tắc truy cập ICMP MTU. Để thực hiện việc này, hãy làm theo các bước sau:

    1. Bấm bắt đầu, trỏ chuột vào chương trình, điểm đến Microsoft ISA Serverrồi sau đó bấm ISA Server quản lý.

    2. Trong ngăn bên trái, mở rộng mảng, và sau đó mở rộng ArrayName.
      ArrayName là mảng đầu tiên mà bạn đã tạo quy tắc truy cập ICMP MTU.

    3. Bấm Chính sách tường lửa, bấm chuột phải vào các quy tắc Cho phép ICMP MTU khám phá theo Quy tắc chính sách tường lửavà sau đó bấm sao.

  3. Dán quy tắc truy cập ICMP MTU từng mảng. Để thực hiện việc này, hãy làm theo các bước sau:

    1. Trong phần ISA Server quản lý Microsoft Management Console (MMC), mở rộng mảng mà bạn muốn dán quy tắc truy cập ICMP MTU, và bấm Chính sách tường lửa.

    2. Trong cửa sổ Trung tâm, bấm chuột phải vào quy tắc chính sách mảng mà bạn muốn ngay lập tức theo quy tắc truy cập ICMP MTU, và bấm dán.

      Lưu ý Nếu không có quy tắc chính sách mảng tồn tại, bạn phải tạo một mảng chính sách quy tắc mới trước khi bạn có thể dán ICMP MTU quy tắc truy cập vào chính sách mảng.

    3. Bấm vào Áp dụng.

  4. Lặp lại các bước từ 3a đến 3c cho đến khi bạn sao chép quy tắc truy cập ICMP MTU cho tất cả các thành viên của mảng.

Phương pháp 2

  1. Tự tạo quy tắc truy cập ICMP MTU trên đầu tiên. Để thực hiện việc này, hãy làm theo các bước được mô tả để tạo quy tắc truy cập ICMP MTU cho một mảng duy nhất.

  2. Xuất chuyển quy tắc truy cập ICMP MTU. Để thực hiện việc này, hãy làm theo các bước sau:

    1. MMC quản lý máy chủ ISA, mở rộng mảng mà bạn đã tạo quy tắc truy cập ICMP MTU, và sau đó nhấp vào Chính sách tường lửa.

    2. Bấm chuột phải vào các quy tắc Cho phép ICMP MTU khám phá theo Quy tắc chính sách tường lửa, và bấm Xuất chọn.

    3. Trong thuật sỹ xuất , bấm vào tiếp theo.

    4. Trên trang Xuất tuỳ chọn , bấm vào tiếp theo.

    5. Trên trang Xuất vị trí tệp , bấm duyệt.

    6. Chọn vị trí nơi bạn sẽ xuất quy tắc ICMP MTU khám phá, gõ MtuDiscoveryRule vào hộp tên tệp , sau đó nhấp vào mở.

    7. Bấm tiếp theo, và sau đó bấm kết thúc để thoát khỏi thuật sĩ.

    8. Bấm vào OK khi chỉ báo tiến độ hiển thị thông báo rằng cấu hình đã được xuất chuyển thành công.

  3. Chuyển nhập quy tắc truy cập ICMP MTU vào từng mảng. Để thực hiện việc này, hãy làm theo các bước sau:

    1. ISA Server MMC quản lý, mở rộng mảng mà bạn muốn chuyển nhập quy tắc truy cập ICMP MTU, và sau đó bấm chuột phải vào Chính sách tường lửa.

    2. Nhấp vào nhập.

    3. Trong thuật sĩ nhập, bấm vào tiếp theo.

    4. Nhấp vào trình duyệtvà sau đó xác định thư mục nơi bạn lưu tệp MtuDiscoveryRule trong bước 2f.

    5. Bấm vào tệp MtuDiscoveryRule và sau đó nhấp vào mở.

    6. Bấm vào tiếp theo hai lần.

    7. Bấm Hoàn tất.

    8. Bấm vào OK khi chỉ báo tiến độ hiển thị thông báo cấu hình đã được nhập thành công.

    9. Bấm vào Áp dụng.

Tham khảo

Để biết thêm thông tin về PMTU phát hiện thiết đặt đăng ký trong Microsoft Windows 2000, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

315669 cách cứng lại ngăn xếp TCP/IP chống lại từ chối dịch vụ tấn công trong Windows 2000


Để biết thêm thông tin về PMTU phát hiện thiết đặt đăng ký trong Microsoft Windows Server 2003, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

324270 cách cứng lại ngăn xếp TCP/IP chống lại từ chối dịch vụ tấn công trong Windows Server 2003

Facebook LinkedIn Email

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×