Windows XP Event ID 4226

Mit dem Einsatz von Service Pack 2 (SP2) unter Windows XP häuft sich die Anzahl der User, die über die Event-ID 4226 klagen. Ursache für den Event 4226 ist die Begrenzung der Anzahl der halboffenen TCP-Verbindungen auf 10 Stück.

Hintergrund

Der Verbindungsaufbau beim Protokoll TCP wird von einem Dreiwege-Handshake eingeleitet. Der Client sendet ein SYN-Packet und erwartet vom Server ein Packet mit gesetztem SYN- und ACK-Flag. Dieses bestätigt der Client nochmals mit einem ACK-Packet. Bleibt nun die Antwort des Servers aus, entsteht eine halboffene Verbindung und der Client wartet für eine bestimmte Zeit auf die Antwort (SYN, ACK). Beim Erreichen von 10 halboffenen Verbindunge, stellt Windows nun die weiteren Verbindungsanforderungen in eine Warteschlange und arbeitet sie später ab. Die bestehenden Verbindungen und ihren Status, kann man sich mit dem Kommando "netstat -on" ansehen.

Dieses Verfahren soll verhindern, dass ein mit einem Wurm oder Virus infiziertes Windowssystem innerhalb kürzester Zeit massenhaft andere Systeme infizieren kann oder auch riesige Mengen an Spammails versendet.

Problemfälle

Im Normalfall wird die Begrenzung durch das SP2 kein Problem darstellen. Kritisch wird es bei zu "optimistisch" programmierter bzw. konfigurierter Software. Einige Filesharing Clients versuchen sich gleichzeitig mit über 100 Partnern zu verbinden. Sind nun mehr als 10 dieser angesprochenen Maschinen nicht zu erreichen, können keine weiteren ausgehenden TCP-Verbindungen (z.B. vom Internet Explorer) mehr aufgebaut werden.

Wer wirklich mehr als 10 Half-Open-Connections benötigt, sollte sich den Patch von LvlLord ansehen.

http://www.lvllord.de/

Dieser Patch verändert die Datei tcpip.sys und hebt so die Begrenzung auf.