DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 898060 - Geändert am: Dienstag, 12. August 2008 - Version: 15.4

Auf dieser Seite

Problembeschreibung

Es kann passieren, dass ein Fehler bei Netzwerkverbindungen zwischen Clients und Servern auftritt. Dieser Fehler tritt nach der Installation von Sicherheitsupdate MS05-019 oder Microsoft Windows Server 2003 Service Pack 1 (SP1) auf. Es kann mindestens eines der folgenden Symptome auftreten:
  • Es kann keine Verbindung zu Terminalservern oder für den Dateifreigabezugriff hergestellt werden.
  • Bei der Domänencontrollerreplikation über WAN-Verbindungen tritt ein Fehler auf.
  • Servercomputer mit Microsoft Exchange können keine Verbindungen mit Domänencontrollern herstellen.
  • Bei Anforderungen an einen Server, der mit Microsoft Internet Information Services (IIS) arbeitet, kann entweder eine Zeitüberschreitung oder eine deutliche Verlangsamung auftreten.
Diese Symptome treten mit größerer Wahrscheinlichkeit in WAN- und LAN-Szenarien auf. Diese Szenarien bestehen in der Regel, wenn Router und Datenverbindungsprotokolle mit unterschiedlichen maximalen Übertragungseinheiten (Maximum Transmission Unit, MTU) über das Netzwerk verwendet werden. In diesem Szenario kann der sendende Host mehrere ICMP-Nachrichten (Internet Control Message Protocol) "Ziel nicht erreichbar" empfangen, die MTU-Updates für ein Ziel enthalten. Diese Symptome treten mit größerer Wahrscheinlichkeit auf, wenn die folgenden Bedingungen zutreffen:
  • Während des PathMTUDiscovery-Vorgangs senden zahlreiche Router auf der Route zum Ziel MTU-Updates an den Quellhost. Ein möglicher Grund hierfür kann sein, dass sich die Quell- und Zielhosts in unterschiedlichen WAN-Segmenten befinden. Darüber hinaus sind diese Segmente über einen Tunnel mit einer niedrigen maximalen Übertragungseinheit verbunden.
  • Es wird mit Netzwerklastenausgleich, dynamischem Routing oder beidem gearbeitet. In diesem Szenario gibt es mehrere mögliche Routen zu einem Ziel, bei dem sich die MTUs von der MTU des sendenden Subnetzes sowie untereinander unterscheiden. Daher kann das Ändern der Route von IP-Paketen über einen Zeitraum dazu führen, dass mehrere MTU-Updates an die Zieladresse gelangen.
Hinweis Möglicherweise gibt es noch andere, ähnliche Szenarien, in denen diese Symptome auftreten. Entsprechende Fälle können in der Regel diagnostiziert werden, indem der Netzwerkverkehr auf der Seite des Quellhosts oder an einem der zwischengeschalteten Netzwerkrouter verfolgt wird. Wenn für ein Ziel über einen Zeitraum mehrere ICMP-Meldungen "Ziel nicht erreichbar" gesendet werden, wird das Problem wahrscheinlich bei dem Quellhost mit dem Sicherheitsupdate MS05-019 bzw. mit Windows Server 2003 SP1 liegen.

Ursache

Dieses Problem tritt auf, weil der Code die Zahl der Hostrouten auf dem Computer nicht ordnungsgemäß inkrementell erweitert, wenn der Code die MTU-Größe einer Hostroute verändert. Die maximale Zahl der Hostrouten wird über den Registrierungswert in MaxIcmpHostRoutes gesteuert. Die Standardanzahl der Hostrouten ist 10.000. Durch die nicht ordnungsgemäße Inkrementierung erreicht die Anzahl der Hostrouten schließlich den Maximalwert. Nachdem der Maximalwert erreicht wurde, werden die ICMP-Pakete ignoriert.

Hinweis In der Originalversion dieses Artikels wurde die Standardanzahl der Hostrouten fälschlicherweise als 1.000 angegeben. Die Änderung der Standardzahl in 10.000 ist eine Korrektur, keine Codeänderung.

Lösung

Informationen zum Sicherheitsupdate

Installieren Sie zum Beheben des Problems das Sicherheitsupdate 913446 (Security Bulletin MS06-007). Weitere Informationen zu Bezugsquellen und Installation des Sicherheitsupdates 913446 finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-007.mspx (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-007.mspx)
Hinweis Das Sicherheitsupdate 913446 (Security Bulletin MS06-007) ersetzt diesen Hotfix (898060). Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
913446  (http://support.microsoft.com/kb/913446/ ) MS06-007: Sicherheitsanfälligkeiten in TCP/IP können zu einem Denial-of-Service-Angriff führen
Das Sicherheitsupdate 913446 ersetzt außerdem das Sicherheitsupdate 893066 (Security Bulletin MS05-019). Weitere Informationen zum Sicherheitsupdate 893066 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
893066  (http://support.microsoft.com/kb/893066/ ) MS05-019: Sicherheitsanfälligkeiten in TCP/IP können Remotecodeausführung und Denial-of-Service ermöglichen
Hinweis Zur Behebung dieses Problems bei der Originalversion von Windows Server 2003 wurde das Sicherheitsupdate 893066 aktualisiert. Sie müssen den Hotfix 898060 bzw. das Sicherheitsupdate 893066 nicht bereitstellen, wenn Sie das Sicherheitsupdate 913446 anwenden. Das Sicherheitsupdate 893066 gilt nicht für Windows Server 2003 mit Service Pack 1.

Hotfix-Informationen

Hinweis Die folgenden Hotfix-Informationen gelten nur für die x86-, Itanium- und x64-basierten Versionen von Windows Server 2003 mit Service Pack 1 sowie für die x64-basierten Versionen von Windows XP Professional.

Ein unterstützter Hotfix steht nun für den Download im Microsoft Download Center zur Verfügung.
Microsoft Windows Server 2003, x86-basierte Versionen mit Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0245532-0ACE-4B85-85BF-758E936173DF&displaylang=de (http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=a0245532-0ace-4b85-85bf-758e936173df)
Microsoft Windows Server 2003, Itanium-basierte Versionen mit Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=538F2EFC-215B-4907-AF17-22851A370F8C&displaylang=de (http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=538f2efc-215b-4907-af17-22851a370f8c)
Microsoft Windows Server 2003, x64-basierte Versionen
http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=de (http://www.microsoft.com/downloads/details.aspx?FamilyId=BAAFE288-9BC5-479B-88E5-EB7E06EAD443&displaylang=en)
Microsoft Windows XP, x64-basierte Versionen
http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=de (http://www.microsoft.com/downloads/details.aspx?FamilyId=E15C903D-8B6F-4B72-A8F3-BD58517AB156&displaylang=en)

Der Hotfix behebt das im vorliegenden Microsoft Knowledge Base-Artikel beschriebene Problem bei Netzwerkverbindungen. Es wird empfohlen, den Hotfix auf denjenigen Systemen zu installieren, bei denen das genannte Problem auftritt. Unter Umständen kann die Installation des Hotfixes auch sinnvoll sein, um ähnlich gelagerte Netzwerkverbindungsprobleme zu vermeiden.

Der aktualisierte Hotfix für Windows Server 2003 Service SP1 enthält eine Änderung zur Behebung eines Problems, das nur beim Ausführen von ISS-Produkten (Internet Security Systems) auftritt.

Dateiinformationen

Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter "Datum und Uhrzeit" mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.
x86-basierte Versionen von Microsoft Windows Server 2003 mit Service Pack 1
   Datum        Zeit   Version         Größe       Dateiname  Plattform Ordner
   --------------------------------------------------------------------------
   26.05.2005  01:06  5.2.3790.2453   333.312     Tcpip.sys  x86       SP1GDR
   26.05.2005  01:10  5.2.3790.2453   333.312     Tcpip.sys  x86       SP1QFE
Microsoft Windows Server 2003, Itanium-basierte Versionen mit Service Pack 1
   Datum        Zeit   Version         Größe       Dateiname  Plattform Ordner
   --------------------------------------------------------------------------
   26.05.2005  02:17  5.2.3790.2453   1.116.160  Tcpip.sys  IA-64     SP1GDR
   26.05.2005  02:17  5.2.3790.2453   1.116.160  Tcpip.sys  IA-64     SP1QFE
Microsoft Windows Server 2003, x64-basierte Versionen
   Datum        Zeit   Version         Größe       Dateiname  Plattform Ordner
   --------------------------------------------------------------------------
   26.05.2005  02:32:00  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1GDR
   26.05.2005  02:32  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1QFE
Microsoft Windows XP, x64-basierte Versionen
   Datum        Zeit   Version         Größe       Dateiname  Plattform Ordner
   --------------------------------------------------------------------------
   26.05.2005  02:32:00  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1GDR
   26.05.2005  02:32  5.2.3790.2453   702.976     Tcpip.sys  x64       SP1QFE
Hinweis Für die x64-basierten Versionen von Microsoft Windows Server 2003 und die x64-basierten Versionen von Microsoft Windows XP sind die Dateiinformationen identisch.

Abhilfe

Um das Problem zu umgehen, setzen Sie die standardmäßige MTU-Größe auf den höchsten Wert, den die Router verarbeiten können. Der tatsächliche MTU-Wert, der zur Umgehung dieses Problems notwendig ist, hängt von der Netzwerkkonfiguration ab. Mit einem MTU-Wert von 576 sollte sich das Problem entschärfen lassen, da Router im Internet in der Lage sein sollten, Pakete dieser Größe ohne Fragmentierung zu verarbeiten. Sie müssen den Computer neu starten, damit diese Registrierungsänderung wirksam wird. Weitere Informationen dazu, wie Sie Änderungen an den MTU-Registrierungseinstellungen vornehmen, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
120642  (http://support.microsoft.com/kb/120642/ ) TCP/IP- und NetBT-Konfigurationsparameter für Windows 2000 und Windows NT
314053  (http://support.microsoft.com/kb/314053/ ) TCP/IP- und NBT-Konfigurationsparameter für Windows XP
Wichtig Abhängig davon, wie das Netzwerk konfiguriert ist und welche Netzwerkanwendungen üblicherweise verwendet werden, kann ein niedriger standardmäßiger MTU-Wert zu einer Verschlechterung der Netzwerkleistung führen.

Weitere Informationen

Dieser MTU-Parameter überschreibt die Standard-MTU (Maximum Transmission Unit) für eine Netzwerkschnittstelle. Die MTU ist die maximale Paketgröße in Byte, die über ein Netzwerk übertragen werden kann, einschließlich des Übertragungsheaders. Ein IP-Datagramm kann mehrere Pakete umfassen. Wenn versucht wird, größere Werte als den Standardwert des Netzwerks zu übertragen, wird die Standard-MTU des Netzwerks verwendet. Bei Werten, die unter 68 liegen, wird eine MTU von 68 verwendet.

Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\Adapter-ID
Werttyp: REG_DWORD Zahl
Gültiger Bereich: 68 bis vom Netzwerk unterstützte MTU
Standardwert: 0xFFFFFFFF

HinweisAdapter-ID ist der Netzwerkadapter, an den TCP/IP gebunden ist. Das Verhältnis zwischen einer Adapter-ID und einer Netzwerkverbindung kann anhand des Schlüssels HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Adapter-ID\Connection ermittelt werden. Der Namenswert in diesen Schlüsseln gibt den Namen der Netzwerkverbindung an, die im Ordner Netzwerkverbindung verwendet wird. Werte unter diesen Schlüsseln gelten speziell für den jeweiligen Adapter. Parameter, die über einen DHCP-konfigurierten Wert und einen statisch konfigurierten Wert verfügen, müssen nicht bestehen. Ob diese Parameter existieren, hängt davon ab, ob der Computer bzw. der Adapter DHCP-konfiguriert ist und ob statische Außerkraftsetzungswerte definiert wurden.

Die folgende Netzwerkablaufverfolgung zeigt das Problem.
001  CLIENT  TRMSRV  TCP  Control Bits: ....S., len:    0, seq:1962957351-1962957352, ack:         0, win:65535, src: 1083  dst: 3389 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 002  TRMSRV  CLIENT  TCP  Control Bits: .A..S., len:    0, seq:3814299443-3814299444, ack:1962957352, win:17520, src: 3389  dst: 1083 004  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957352-1962957352, ack:3814299444, win:65535, src: 1083  dst: 3389 005  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:   39, seq:1962957352-1962957391, ack:3814299444, win:65535, src: 1083  dst: 3389 006  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:   11, seq:3814299444-3814299455, ack:1962957391, win:17481, src: 3389  dst: 1083 007  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:  280, seq:1962957391-1962957671, ack:3814299455, win:65524, src: 1083  dst: 3389 008  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299455-3814299455, ack:1962957671, win:17201, src: 3389  dst: 1083 009  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 010  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 011  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 009) Inside 011: Beachten Sie, dass die MTU für den nächsten Hop kleiner ist, und der Router anfordert, dass der Absender das Paket 10.ICMP fragmentiert: Destination Unreachable: 10.102.45.12  (See frame 009) ICMP: Packet Type = Destination Unreachable ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set        <<<< ICMP: Checksum = 0x6FAA ICMP: Next Hop MTU = 320 (0x140)                                  <<<< ICMP: Data: Number of data bytes remaining = 28 (0x001C) ICMP: Description of original IP frame ICMP: (IP) Version = 4 (0x4) ICMP: (IP) Header Length = 20 (0x14) ICMP: (IP) Service Type = 64 (0x40) ICMP: (IP) Precedence = 0x40 ICMP: (IP) Type of Service = 0x40 ICMP: (IP) Total Length = 373 (0x175) ICMP: (IP) Identification = 10838 (0x2A56) ICMP: (IP) Flags Summary = 2 (0x2) ICMP: .......0 = Last fragment in datagram ICMP: ......1. = Cannot fragment datagram ICMP: (IP) Fragment Offset = 0 (0x0) bytes ICMP: (IP) Time to Live = 127 (0x7F) ICMP: (IP) Protocol = TCP - Transmission Control ICMP: (IP) Checksum = 0x8C1D ICMP: (IP) Source Address = 10.102.1.248 ICMP: (IP) Destination Address = 10.102.45.12 ICMP: (IP) Data: Number of data bytes remaining = 8 (0x0008) 012  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:  132, seq:1962957671-1962957803, ack:3814299455, win:65524, src: 1083  dst: 3389 013  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 014  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 TRMSRV ignoriert das ICMP-Paket 11 und sendet das gleiche Paket 10 ohne Fragmentierung erneut: 015  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 014) 016  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 017  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 016) 018  TRMSRV  CLIENT  TCP  Control Bits: .AP..., len:  333, seq:3814299455-3814299788, ack:1962957803, win:17069, src: 3389  dst: 1083 019  ROUTER  TRMSRV  ICMP  Destination Unreachable: 10.102.45.12  (See frame 017) 020  CLIENT  TRMSRV  TCP  Control Bits: .AP..., len:    9, seq:1962957803-1962957812, ack:3814299455, win:65524, src: 1083  dst: 3389 021  CLIENT  TRMSRV  TCP  Control Bits: .A...F, len:    0, seq:1962957812-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 022  TRMSRV  CLIENT  TCP  Control Bits: .A...., len:    0, seq:3814299788-3814299788, ack:1962957813, win:17060, src: 3389  dst: 1083 023  TRMSRV  CLIENT  TCP  Control Bits: .A.R.., len:    0, seq:3814299788-3814299788, ack:1962957813, win:    0, src: 3389  dst: 1083 024  CLIENT  TRMSRV  TCP  Control Bits: .A...., len:    0, seq:1962957813-1962957813, ack:3814299455, win:65524, src: 1083  dst: 3389 025  TRMSRV  CLIENT  TCP  Control Bits: ...R.., len:    0, seq:3814299455-3814299455, ack:3814299455, win:    0, src: 3389  dst: 1083 Frames 14, 16, 18, are re-sends, and the connection leading to termination in frame 25.
Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
900926  (http://support.microsoft.com/kb/900926/ ) Empfohlene TCP/IP-Einstellungen für WAN-Verbindungen mit einer MTU-Größe von weniger als 576 Byte

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Home Edition SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows XP Professional x64 Edition
Keywords: 
kbresolve atdownload kbwinserv2003sp2fix kbqfe kbsecurity kbprb KB898060
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store