結論
MS05-019 安全性更新修改作業系統驗證「網際網路控制訊息通訊協定」(ICMP) 要求的方式。此安全性更新可以避免遭受 ICMP 攻擊。然而,在特殊情況下,此安全性更新可能造成電腦失去網路連線。本文將告訴您,在安裝 MS05-019 安全性更新之後,可以用來防止電腦失去網路連線的三種方法。
簡介
本文將告訴您,建議傳輸單元最大值 (MTU) 大小小於 576 的廣域網路 (WAN) 連結使用的 TCP/IP 設定。
其他相關資訊
重要 本節、方法或工作所包含的步驟會告訴您如何修改登錄。然而,如果不當修改登錄,可能會造成嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756 如何在 Windows 中備份及還原登錄
MS05-019 安全性更新修改了作業系統驗證「網際網路控制訊息通訊協定」(ICMP) 要求的方式。此安全性更新限制 MTU 大小至少設定為 576 個位元組。限制 MTU 大小可以避免遭受 ICMP 攻擊。ICMP 攻擊可能會使 MTU 大小降為非常低的值。如此小的 MTU 大小可能會嚴重影響效能。
不過,將 MTU 大小限制為 576 個位元組可能會影響特定 WAN 案例,例如附屬連結。在這些 WAN 案例中,MTU 大小可能小於 576,而這樣的案例可能會失去網路連線。 您可以利用「網路監視器」等工具來分析網路追蹤,以偵測您是否遭遇這樣的案例。如果失去網路連線的目的地具有下一個躍點的 MTU 值小於 576 且無法送達之郵件的任何 ICMP 目的地,表示您正遭遇這樣的案例。
在這些特殊情況下,請考慮使用下列其中一種建議方法。
注意 如果您並未遭遇這裡所述的任何一種案例,請勿使用下列建議方法。下列建議方法可能會降低網路輸送量。
方法 1:啟用「路徑最大傳輸單位」(PMTU) 黑洞偵測
如果您啟用「路徑最大傳輸單位」(PMTU) 黑洞偵測功能,TCP 將嘗試傳送不具有 Don't Fragment 位元組的區段。如果一個區段的數次重新傳輸 TCP 不被認收,TCP 將嘗試傳送這些區段。如果區段最後被認收,則最大區段大小 (MSS) 將會減少,而且 Don't Fragment 位元將設入連線上的未來封包。
由於封包大小已縮小為只包含有問題的區段,因此,建議採用這個方法。黑洞偵測增加指定區段的最大重新傳輸執行數目。
如果要啟用 PMTU 黑洞偵測,請依照下列步驟執行:
-
按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]。
-
在登錄中找到下列機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 EnablePMTUBHDetect,然後按下 ENTER。
-
在 [編輯] 功能表上,按一下 [修改]。
-
在 [數值資料] 方塊中,輸入 1,然後按一下 [確定]。
-
結束 [登錄編輯程式],然後重新啟動電腦。
方法 2:停用 PMTU Discovery
如果停用 PMTU Discovery,TCP 將只會傳送 MTU 大小為 576 位元組且不具有 Don't Fragment 位元組的封包。這會啟用路由器,以分段封包並透過網路傳送封包。
這個方法會影響傳送給所有目的地的封包。大多時候,效能會處於以可接受的等級傳送 576 大小的封包。不過,如果啟用 PMTU Discovery 且路徑支援 576 以上的 MTU 大小,效能將會更加降低。
如果要停用 PMTU Discovery,請依照下列步驟執行:
-
按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]。
-
在登錄中找到下列機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 EnablePMTUDiscovery,然後按下 ENTER。
-
在 [編輯] 功能表上,按一下 [修改]。
-
在 [數值資料] 方塊中,輸入 0,然後按一下 [確定]。
-
結束 [登錄編輯程式],然後重新啟動電腦。
方法 3:手動設定網路介面的 MTU 大小
如果您手動設定網路介面的 MTU 大小,此設定會覆寫網路介面的預設 MTU。MTU 大小是傳輸站將在網路上傳輸的最大封包大小 (以位元組為單位)。
這個方法會影響傳送給所有目的地的封包,並且可能嚴重影響效能 (視您設定的 MTU 大小而定)。
如果要設定網路介面的 MTU 大小,請依照下列步驟執行:
-
按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]。
-
在登錄中找到下列機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
-
在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 MTU,然後按下 ENTER。
-
在 [編輯] 功能表上,按一下 [修改]。
-
在 [數值資料] 方塊中,輸入 MTU 大小的值,然後按一下 [確定]。
-
結束 [登錄編輯程式],然後重新啟動電腦。
参考
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
898060 在安裝安全性更新 MS05-019 或 Windows Server 2003 Service Pack 1 後,用戶端與伺服器之間的網路連線可能會失敗。
如需更多有關 TCP/IP 的資訊,請造訪下列 Microsoft TechNet 網站:
網路與 TCP/IP 的概觀
http://technet.microsoft.com/zh-tw/library/cc739443(en-us).aspx
