EventID 4226: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde
Filesharing-Tools wie Emule und Kazaa blockieren seit SP2 von Windows XP die Verbindungsversuche zu Servern oder zu anderen Clients. Erkennbar ist dies an den Einträgen in der Ereignisanzeige "EventID 4226: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde".
Um den PC vor Angriffen aus dem Internet zu schützen, begrenzt SP2 von Windows XP die erlaubten halb geöffneten Verbindungen auf 10 Verbindungen. Die halb geöffnete Verbindung ist der Versuch, eine Verbindung zu einem anderen Computer herzustellen. Wenn die Gegenstelle nicht antwortet, ist diese Verbindung in einem Wartezustand.
Sobald nun 10 Verbindungen in einem Wartezustand sind, landen neu hinzugekommene Verbindungsanfragen in einer Warteschlange (Queue). Dadurch wird der Filesharing-Client ausgebremst. Der Tipp »Gleichzeitige Verbindungen zu einem Server mit dem IE erhöhen« hilft hier nicht weiter, da lediglich die Anzahl der Verbindungen, nicht aber die der Verbindungsversuche beeinflusst wird.
Hier hilft das "Fix für EventID 4226" für Windows XP und für Windows Vista das Fix für Vista TCP/IP and UAC Auto Patcher weiter. Das Fix ändert unter Windows XP in der Systemdatei Tcpip.sys den Hex-Wert 0A (10) auf Hex 32 (50), also auf 50 parallele Verbindungsversuche.
Hinweis: Das "Vista TCP/IP and UAC Auto Patcher" könnte einen Bluescreen verursachen. Sollte die tcpip.sys bei einem zukünftigen Windows Update mal wieder von Microsoft ausgetauscht werden und man wendet den TCP/IP-Patch _danach_ nochmal an, dann kann es sein, dass wieder ein Bluescreen erscheint, da Windows meint, dass eine wichtige Systemkomponente ausgetauscht wurde und damit ist eine fehlerfreie Ausführung von Windows nicht mehr möglich.
Für Windows Vista (x86/x64) bietet auch vista-antispy.de/ ein Tool an, dass die TCP-Verbindungslimits erhöhen. Wenn das Tool nicht weiter hilft, gibt es hierfür noch eine andere Lösung.
Unter "Eigenschaften" der tcpip.sys im Reiter "Sicherheit" den Besitzer in "Administratoren" ändern und Vollzugriff aktivieren.
Die gepatchte Vista tcpip.sys (für x86 und x64 im Zip-Format) für unbegrenzte halboffene Verbindungen im abgesicherten-Modus ersetzen.
Bedingung: Administrator Besitzer Rechte und Vollzugriff für "Administratoren". Unter x64 Vista müssen noch unsignierte Treiber erlaubt sein. Dazu folgendes in der Eingabeaufforderung (cmd) eingeben:
bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS
[ENTER]
Nach einem Systemneustart sollte noch das "Autotuning" deaktiviert werden.
Wieder folgendes in der Eingabeaufforderung (cmd) eingeben:
netsh int tcp set global autotuninglevel=disable
[ENTER]
Damit sollte das EventID 4226 Problem unter Vista gelöst sein.
Service Pack 2 von Windows XP oder Windows Vista setzt die Anzahl der maximal möglichen parallelen Verbindungen (TcpNumConnections) herab. Normalerweise wären 16.777.214 Verbindungen erlaubt.
Die Limitierung gilt unabhängig davon, ob die Verbindung ein- oder ausgehend ist. Damit will Microsoft die Ausbreitungsgeschwindigkeit von Würmern einschränken, die in der Lage sind, mehrere hundert parallele Verbindungen für Attacken aufzubauen. In der Folge gehen Downloads unter Umständen langsamer vonstatten.
Microsoft hat bestätigt, dass es sich um ein Sicherheits-Feature des neuen Service Pack 2 von Windows XP handelt. Mit diesem Limit für die Verbindungen hätte sich der Wurm "Sasser" nicht so schnell verbreiten können.
Um die Einschränkung wieder aufzuheben, muss in der Registry, Start - Ausführen: regedit [OK]
unter
ein neuer DWORD-Wert mit dem Namen TcpNumConnections erstellt und der Wert 00fffffe (entspricht 16.777.214 Verbindungen) vergeben werden.
Weitere Informationen unter
Microsoft Hilfe und Support KB314053 (Windows XP)