Sunday, January 28, 2024

Die CPU-Auslastung kann mehr als 50 Prozent betragen, wenn ein ISA Server 2004-Computer unter hoher Auslastung betrieben wird – Microsoft-Support

Wichtig: Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen können, wenn ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

256986 Beschreibung der Microsoft Windows-Registrierung

Symptome

Wenn ein Computer mit Microsoft Internet Security and Acceleration Server (ISA) 2004 unter hoher Auslastung arbeitet, kann es zu einer hohen CPU-Auslastung kommen. Beispielsweise kann die CPU-Auslastung auf dem ISA Server-Computer mehr als 50 Prozent betragen.

Ursache

Dieses Verhalten kann aufgrund der TCP/IP-MTU-Einstellung (Maximum Transmission Unit) auftreten, die während der ISA Server-Installation angewendet wird.

Um zu verhindern, dass ein Angreifer den MTU-Wert ändert, deaktiviert ISA Server 2004 die Pfad-MTU-Erkennung (PMTU). Diese Einstellung ist im Microsoft-Sicherheitsbulletin MS05-019 dokumentiert. Um dieses Bulletin anzuzeigen, besuchen Sie die folgende Microsoft-Website:

http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx Hinweise

  • Standardmäßig verwendet Windows eine MTU-Einstellung von 1.480 Byte und akzeptiert ICMP-Nachrichten (Internet Control Message Protocol), die kleinere Paketgrößen anfordern.

  • Wenn die MTU-Erkennung auf einem Windows-basierten Server deaktiviert ist, verwendet der Server eine MTU-Einstellung von 576 Byte.

Auflösung

Warnung: Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung mit dem Registrierungseditor oder einer anderen Methode falsch ändern. Diese Probleme erfordern möglicherweise eine Neuinstallation Ihres Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko.

Führen Sie die folgenden Schritte aus, um das Verhalten zu beheben, das durch die MTU-Einstellung verursacht wird, die während der ISA Server-Installation konfiguriert wird.

Wichtig Sie müssen diese Registrierungsänderung vornehmen, wenn Sie Windows Server 2003 Service Pack 1 (SP1) oder den Hotfix installiert haben, der im folgenden Artikel der Microsoft Knowledge Base beschrieben wird:

898060 Die Netzwerkkonnektivität zwischen Clients und Servern schlägt möglicherweise fehl, nachdem Sie das Sicherheitsupdate MS05-019 oder Windows Server 2003 Service Pack 1 installiert haben

  1. Klicken Sie auf Start , dann auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .

  2. Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie dann mit der rechten Maustaste darauf:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
    Werttyp: REG_DWORD
    Wert: 0, 1 (Falsch, Wahr)
    ISA-Standardwert: 0 (Falsch)

    Hinweis Wenn der Eintrag „EnablePMTUDiscovery" nicht verfügbar ist, erstellen Sie den Eintrag.

  3. Legen Sie gegebenenfalls den Wert gemäß den folgenden Informationen fest oder ändern Sie ihn:

    • Wert = 1
      Wenn Sie EnablePMTUDiscovery auf 1 setzen, versucht TCP, entweder die MTU oder die größte Paketgröße im Pfad eines Remote-Hosts zu ermitteln. TCP kann die Fragmentierung an Routern im Pfad beseitigen, der Netzwerke verbindet, die unterschiedliche MTUs verwenden. TCP tut dies, indem es die Pfad-MTU ermittelt und TCP-Segmente auf diese Größe begrenzt. Fragmentierung wirkt sich negativ auf den TCP-Durchsatz aus.

    • Wert = 0
      Wenn Sie EnablePMTUDiscovery auf 0 setzen, wird eine MTU von 576 Byte für alle Verbindungen verwendet, die nicht mit Hosts im lokalen Subnetz in Zusammenhang stehen. Wenn Sie diesen Wert nicht auf 0 setzen, kann ein Angreifer den MTU-Wert auf einen sehr kleinen Wert erzwingen und den Stack überlasten.

      Anmerkungen

      • Wenn Sie EnablePMTUDiscovery auf 0 setzen, werden die TCP/IP-Leistung und der Durchsatz beeinträchtigt. Sie müssen den Leistungsdurchsatz vollständig kennen, bevor Sie diesen Wert auf 0 setzen.

      • Wenn Sie ISA Server 2004 oder ISA Server 2004 Service Pack 1 installieren, wird dieser Wert ebenfalls auf 0 zurückgesetzt.

      • ISA Server 2004 Service Pack 2 ändert den Wert von EnablePMTUDiscovery nicht.

  4. Um am Erkennungsprozess teilzunehmen, erstellen Sie eine ICMP-MTU-Zugriffsregel für ISA Server. Befolgen Sie dazu je nach Konfiguration die Schritte, die in den folgenden Abschnitten beschrieben werden.

  5. Beenden Sie den Registrierungseditor und starten Sie den Computer neu.

ISA Server 2004, Standard Edition

  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Microsoft ISA Server und klicken Sie dann auf ISA Server-Verwaltung .

  2. Erweitern Sie im linken Bereich ArrayName und klicken Sie dann auf Firewall-Richtlinie .

  3. Klicken Sie im Aufgabenbereich auf die Registerkarte Toolbox und dann auf Protokolle .

  4. Klicken Sie unter „Protokolle" auf „Neu" und dann auf „Protokoll" .

  5. Geben Sie im Feld Name der Protokolldefinition ICMP MTU Discovery ein und klicken Sie dann auf Weiter .

  6. Klicken Sie auf Neu und dann in der Liste Protokolltyp auf ICMP .

  7. Klicken Sie in der Liste „Richtung" auf „Senden Empfangen" .

  8. Geben Sie 4 in das Feld ICMP-Code ein , geben Sie 3 in das Feld ICMP-Typ ein und klicken Sie dann auf OK .

  9. Klicken Sie auf Weiter , auf Fertig stellen und dann auf Übernehmen .

  10. Klicken Sie im linken Bereich mit der rechten Maustaste auf Firewall-Richtlinie , klicken Sie auf Neu und dann auf Zugriffsregel .

  11. Geben Sie im Feld „Zugriffsregelname" „ICMP MTU Discovery zulassen" ein und klicken Sie dann auf „Weiter" .

  12. Klicken Sie auf Zulassen und dann auf Weiter .

  13. Klicken Sie in der Liste „Diese Regeln gelten für" auf „Ausgewählte Protokolle" und dann auf „Hinzufügen" .

  14. Erweitern Sie in der Liste „Protokolle" den Eintrag „Benutzerdefiniert" .

  15. Klicken Sie auf ICMP MTU Discovery , klicken Sie auf Hinzufügen , klicken Sie auf Schließen und dann auf Weiter .

  16. Klicken Sie auf Hinzufügen .

  17. Erweitern Sie in der Liste der Netzwerkentitäten den Eintrag Netzwerke .

  18. Klicken Sie auf Extern und dann auf Hinzufügen .

  19. Klicken Sie auf Intern , klicken Sie auf Hinzufügen , klicken Sie auf Schließen und dann auf Weiter .

  20. Klicken Sie auf Hinzufügen .

  21. Erweitern Sie in der Liste der Netzwerkentitäten den Eintrag Netzwerke .

  22. Klicken Sie auf „Lokaler Host" , dann auf „Hinzufügen ", dann auf „Schließen " und dann zweimal auf „Weiter" .

  23. Klicken Sie auf Fertig stellen und dann auf Übernehmen .

ISA Server 2004, Enterprise Edition

Damit ISA Server 2004, Enterprise Edition am ICMP-MTU-Erkennungsprozess teilnehmen kann, erstellen Sie das ICMP-Protokoll auf Unternehmensebene und anschließend die ICMP-MTU-Zugriffsregel auf Array-Ebene.

So erstellen Sie das ICMP-Protokoll auf Unternehmensebene

  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Microsoft ISA Server und klicken Sie dann auf ISA Server-Verwaltung .

  2. Erweitern Sie im linken Bereich „Unternehmen" und klicken Sie dann auf „Unternehmensrichtlinien" .

  3. Klicken Sie im Aufgabenbereich auf die Registerkarte Toolbox und dann auf Protokolle .

  4. Klicken Sie unter „Protokolle" auf „Neu" und dann auf „Protokoll" .

  5. Geben Sie im Feld Name der Protokolldefinition ICMP MTU Discovery ein und klicken Sie dann auf Weiter .

  6. Klicken Sie auf Neu und dann in der Liste Protokolltyp auf ICMP .

  7. Geben Sie 4 in das Feld ICMP-Code ein , geben Sie 3 in das Feld ICMP-Typ ein und klicken Sie dann auf OK .

  8. Klicken Sie auf Weiter , auf Fertig stellen und dann auf Übernehmen .

    Hinweis Für benutzerdefinierte ICMP-Protokolle kann keine Enterprise-Zugriffsregel erstellt werden, wenn Sie den Regelerstellungsassistenten verwenden.

Für weitere Informationen zur Verwendung benutzerdefinierter ICMP-Protokolle in ISA Server 2004, Enterprise Edition-Richtlinien klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

902348 Benutzerdefinierte ICMP-Protokolle werden im Assistenten für neue Zugriffsregeln in ISA Server 2004 Enterprise Edition nicht angezeigt

So erstellen Sie die ICMP-MTU-Zugriffsregel manuell, wenn Sie über ein einzelnes Array im Netzwerk verfügen

  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Microsoft ISA Server und klicken Sie dann auf ISA Server-Verwaltung .

  2. Erweitern Sie im linken Bereich Arrays und dann ArrayName .

  3. Klicken Sie mit der rechten Maustaste auf Firewall-Richtlinie , klicken Sie auf Neu und dann auf Zugriffsregel .

  4. Geben Sie im Feld „Zugriffsregelname" „ICMP MTU Discovery zulassen" ein und klicken Sie dann auf „Weiter" .

  5. Klicken Sie auf Zulassen und dann auf Weiter .

  6. Klicken Sie in der Liste „Diese Regeln gelten für" auf „Ausgewählte Protokolle" und dann auf „Hinzufügen" .

  7. Erweitern Sie in der Liste „Protokolle" den Eintrag „Benutzerdefiniert" .

  8. Klicken Sie auf ICMP MTU Discovery , klicken Sie auf Hinzufügen , klicken Sie auf Schließen und dann auf Weiter .

  9. Klicken Sie auf Hinzufügen .

  10. Erweitern Sie in der Liste der Netzwerkentitäten den Eintrag Netzwerke .

  11. Klicken Sie auf Extern und dann auf Hinzufügen .

  12. Klicken Sie auf Intern , klicken Sie auf Hinzufügen , klicken Sie auf Schließen und dann auf Weiter .

  13. Klicken Sie auf Hinzufügen .

  14. Erweitern Sie in der Liste der Netzwerkentitäten den Eintrag Netzwerke .

  15. Klicken Sie auf „Lokaler Host" , dann auf „Hinzufügen ", dann auf „Schließen " und dann zweimal auf „Weiter" .

  16. Klicken Sie auf Fertig stellen und dann auf Übernehmen .

So erstellen Sie die ICMP-MTU-Zugriffsregel, wenn Sie mehrere Array-Mitglieder im Netzwerk haben

Methode 1

  1. Erstellen Sie die ICMP-MTU-Zugriffsregel manuell für das erste Array. Befolgen Sie dazu die beschriebenen Schritte zum Erstellen der Zugriffsregel für ein einzelnes Array.

  2. Kopieren Sie die ICMP-MTU-Zugriffsregel. Gehen Sie dazu folgendermaßen vor:

    1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Microsoft ISA Server und klicken Sie dann auf ISA Server-Verwaltung .

    2. Erweitern Sie im linken Bereich Arrays und dann ArrayName .
      ArrayName ist das erste Array, für das Sie die ICMP-MTU-Zugriffsregel erstellt haben.

    3. Klicken Sie auf „Firewall-Richtlinie" , klicken Sie mit der rechten Maustaste auf die Regel „ICMP-MTU-Erkennung zulassen" unter „Firewall-Richtlinienregeln" und klicken Sie dann auf „Kopieren" .

  3. Fügen Sie die ICMP-MTU-Zugriffsregel in jedes Array ein. Gehen Sie dazu folgendermaßen vor:

    1. Erweitern Sie in der Microsoft Management Console (MMC) der ISA Server-Verwaltung das Array, in das Sie die ICMP-MTU-Zugriffsregel einfügen möchten, und klicken Sie dann auf Firewall-Richtlinie .

    2. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf die Array-Richtlinienregel, der die ICMP-MTU-Zugriffsregel unmittelbar folgen soll, und klicken Sie dann auf Einfügen .

      Hinweis Wenn keine Array-Richtlinienregeln vorhanden sind, müssen Sie eine neue Array-Richtlinienregel erstellen, bevor Sie die ICMP-MTU-Zugriffsregel in die Array-Richtlinie einfügen können.

    3. Klicken Sie auf „Übernehmen" .

  4. Wiederholen Sie die Schritte 3a bis 3c, bis Sie die ICMP-MTU-Zugriffsregel für alle Array-Mitglieder kopiert haben.

Methode 2

  1. Erstellen Sie die ICMP-MTU-Zugriffsregel manuell für das erste Array. Befolgen Sie dazu die beschriebenen Schritte zum Erstellen der ICMP-MTU-Zugriffsregel für ein einzelnes Array.

  2. Exportieren Sie die ICMP-MTU-Zugriffsregel. Gehen Sie dazu folgendermaßen vor:

    1. Erweitern Sie in der ISA Server-Verwaltungs-MMC das Array, für das Sie die ICMP-MTU-Zugriffsregel erstellt haben, und klicken Sie dann auf Firewall-Richtlinie .

    2. Klicken Sie mit der rechten Maustaste auf die Regel „ICMP-MTU-Erkennung zulassen" unter „Firewall-Richtlinienregeln" und klicken Sie dann auf „Ausgewählte exportieren" .

    3. Klicken Sie im Export- Assistenten auf Weiter .

    4. Klicken Sie auf der Seite „Exporteinstellungen" auf „Weiter" .

    5. Klicken Sie auf der Seite „Speicherort der Exportdatei" auf „Durchsuchen" .

    6. Wählen Sie einen Speicherort aus, an den Sie die ICMP-MTU-Erkennungsregel exportieren möchten, geben Sie „MtuDiscoveryRule" in das Feld „Dateiname" ein und klicken Sie dann auf „Öffnen ".

    7. Klicken Sie auf Weiter und dann auf Fertig stellen , um den Assistenten zu beenden.

    8. Klicken Sie auf OK , wenn die Fortschrittsanzeige eine Meldung anzeigt, dass die Konfiguration erfolgreich exportiert wurde.

  3. Importieren Sie die ICMP-MTU-Zugriffsregel in jedes Array. Gehen Sie dazu folgendermaßen vor:

    1. Erweitern Sie in der ISA Server-Verwaltungs-MMC das Array, in das Sie die ICMP-MTU-Zugriffsregel importieren möchten, und klicken Sie dann mit der rechten Maustaste auf Firewall-Richtlinie .

    2. Klicken Sie auf Importieren .

    3. Klicken Sie im Import-Assistenten auf Weiter .

    4. Klicken Sie auf Durchsuchen und suchen Sie dann den Ordner, in dem Sie die MtuDiscoveryRule- Datei in Schritt 2f gespeichert haben.

    5. Klicken Sie auf die MtuDiscoveryRule- Datei und dann auf Öffnen .

    6. Klicken Sie zweimal auf Weiter .

    7. Klicken Sie auf Fertig stellen .

    8. Klicken Sie auf OK , wenn die Fortschrittsanzeige eine Meldung anzeigt, dass die Konfiguration erfolgreich importiert wurde.

    9. Klicken Sie auf „Übernehmen" .

Verweise

Weitere Informationen zu den Registrierungseinstellungen für die PMTU-Erkennung in Microsoft Windows 2000 erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

315669 So schützen Sie den TCP/IP-Stack gegen Denial-of-Service-Angriffe in Windows 2000


Weitere Informationen zu den Registrierungseinstellungen für die PMTU-Erkennung in Microsoft Windows Server 2003 erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

324270 So schützen Sie den TCP/IP-Stack gegen Denial-of-Service-Angriffe in Windows Server 2003

No comments:

Post a Comment