none
TMG и DNS сервер

    Question

  • Уважаемые подскажите. Есть TMG на WIN2008R2. На сервере TMG два адаптера. Один в интернет, второй в локальную сеть. Так же на TMG поднят DNS сервер. На этом DNS сервере лежат внешние зоны. Данный DNS сервер опубликован посредствам TMG. Проблема в том, что периодически TMG сервер перестает резолвить внешние и локальные имена. Помогает рестарт либо остановка DNS сервера, расположенного на TMG. На внешнем интерфейсе TMG DNS не указан. На внеутреннем указан DNS от DC1 и DC2. На обоих DC настроеа пересылка DNS запросов на внешние DNS сервера провайдера.

    Подскажите, в чем может быть дело?

    ipconfig/all с TMG

    _________________________________________________

    Microsoft Windows [Version 6.1.7601]
    (c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

    C:\Users\root>ipconfig/all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : WIN2008
       Основной DNS-суффикс  . . . . . . : dtm.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Да
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : dtm.local

    Ethernet adapter LAN:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) Gigabit ET Dual Port Server Adap
    ter
       Физический адрес. . . . . . . . . : 00-1B-20-8C-B0-20
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.0.0
       Основной шлюз. . . . . . . . . :
       DNS-серверы. . . . . . . . . . . : 192.168.0.2
                                           192.168.0.10
       Основной WINS-сервер. . . . . . . : 192.168.0.2
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter WAN:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) Gigabit ET Dual Port Server Adap
    ter #2
       Физический адрес. . . . . . . . . : 00-15-21-8C-4B-21
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 78.123.87.150(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IPv4-адрес. . . . . . . . . . . . : 78.123.87.151(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IPv4-адрес. . . . . . . . . . . . : 78.123.87.152(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.248
       Основной шлюз. . . . . . . . . : 78.123.87.149
       DNS-серверы. . . . . . . . . . . : 192.168.0.2
       NetBios через TCP/IP. . . . . . . . : Отключен

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Tuesday, February 14, 2012 8:53 PM

Answers

All replies

  • Остановка DNS сервера на TMG помогает не на долго. После остановки DNS сервера  TMG начала резолвить внешние имена. Спустя некоторое время опять прекратила. Попытки стартануть DNS привели к этому:


    • Edited by Itfabrica Wednesday, February 15, 2012 9:01 PM
    Wednesday, February 15, 2012 8:58 PM
  • в событиях следующее:

    Имя журнала:   DNS Server
    Источник:      Microsoft-Windows-DNS-Server-Service
    Дата:          15.02.2012 10:46:24
    Код события:   407
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     WIN2008.dtm.local
    Описание:
    DNS-серверу не удалось связать сокет для работы по протоколу UDP с ::1. В данных события содержится код ошибки. Перезапустите DNS-сервер или перезагрузите компьютер.

    _____________________________________________________________________________________________

    Имя журнала:   DNS Server
    Источник:      Microsoft-Windows-DNS-Server-Service
    Дата:          15.02.2012 10:46:24
    Код события:   408
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     WIN2008.dtm.local
    Описание:
    DNS-серверу не удалось открыть сокет для адреса "::1".
    Убедитесь, что данный адрес является допустимым IP-адресом компьютера сервера.  Если он не является допустимым, используйте диалог "Интерфейсы" на вкладке "Свойства сервера" диспетчера DNS для удаления его из списка IP-интерфейсов.  После этого остановите и снова запустите DNS-сервер. (Если этот IP-интерфейс единственный на компьютере, DNS-сервер может не запуститься по причине описанной ошибки.  В этому случае удалите значение DNS\Parameters\ ListenAddress в разделе служб реестра и перезапустите сервер.)
     
    Если указанный IP-адрес является допустимым для данного компьютера, убедитесь, что не запущены другие приложения (например, другой DNS-сервер), которые могут использовать DNS-порт.
     
    Более подробную информацию смотрите в разделе "Журнал DNS-сервера" встроенной справки.
    ______________________________________________________________________________________________

    Имя журнала:   DNS Server
    Источник:      Microsoft-Windows-DNS-Server-Service
    Дата:          15.02.2012 10:46:24
    Код события:   407
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     WIN2008.dtm.local
    Описание:
    DNS-серверу не удалось связать сокет для работы по протоколу UDP с 127.0.0.1. В данных события содержится код ошибки. Перезапустите DNS-сервер или перезагрузите компьютер.
    _______________________________________________________________________________________________________

    Имя журнала:   DNS Server
    Источник:      Microsoft-Windows-DNS-Server-Service
    Дата:          15.02.2012 10:46:24
    Код события:   408
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     WIN2008.dtm.local
    Описание:
    DNS-серверу не удалось открыть сокет для адреса "127.0.0.1".
    Убедитесь, что данный адрес является допустимым IP-адресом компьютера сервера.  Если он не является допустимым, используйте диалог "Интерфейсы" на вкладке "Свойства сервера" диспетчера DNS для удаления его из списка IP-интерфейсов.  После этого остановите и снова запустите DNS-сервер. (Если этот IP-интерфейс единственный на компьютере, DNS-сервер может не запуститься по причине описанной ошибки.  В этому случае удалите значение DNS\Parameters\ ListenAddress в разделе служб реестра и перезапустите сервер.)
     
    Если указанный IP-адрес является допустимым для данного компьютера, убедитесь, что не запущены другие приложения (например, другой DNS-сервер), которые могут использовать DNS-порт.
     ________________________________________________________________________________________________

    Помогла перезагрузка сервера.

    Wednesday, February 15, 2012 9:06 PM
  • так ты же сервер опубликовал, получается что тмг слушает 53 порт и днс его слушает. либо не публикуй, а просто дай доступ (не понимаю зачем публиковать простые протоколы если сама служба на тмг), либо скажи службе днс слушать только внутренний интерфейс
    Thursday, February 16, 2012 9:24 AM
  • так ты же сервер опубликовал, получается что тмг слушает 53 порт и днс его слушает. либо не публикуй, а просто дай доступ (не понимаю зачем публиковать простые протоколы если сама служба на тмг), либо скажи службе днс слушать только внутренний интерфейс
     Изначально DNS был настроен на прослушку только внутреннего интерфейса.
    Thursday, February 16, 2012 12:46 PM
  • ну ругается он еще на локалхост
    Thursday, February 16, 2012 1:13 PM
  • есть такой параметр у DNS - socketPool

    По умолчанию данный параметр должен быть равен 2500 сокетам. На TMG команда dnscmd /Info /SocketPoolSize говорит что выделено всего 650. Может при большом количестве пользователей (около 80) этого количества сокетов недостаточно?

    И еще не понятно. Если на TMG включить логирование DNS Client Events, то постоянно появляются события:

    _____________________________________________________________________________________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.WIN2008.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53.

    ____________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.Default-First-Site-Name._sites.WIN2008.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53.

    Произошла ошибка "не найдено имя" для имени 35.92.79.117.in-addr.arpa. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53

    __________________________________

    Сервер DNS, запрошенный для интерфейса LAN, изменен на 192.168.0.2

    Thursday, February 16, 2012 8:30 PM
  • perfomance monitor`ом не смотрели нагрузку на днс-сервер?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Friday, February 17, 2012 9:59 AM
  • Нет. Посмотрю

    Только где? На TMG? или на DC1 ?

    Как я понимаю загрузку смотреть того сервера, который указан для TMG первым. Он ведь отвечает за внешние имена.


    • Edited by Itfabrica Friday, February 17, 2012 2:26 PM
    Friday, February 17, 2012 12:58 PM
  • если сервера не совсем мертвые и в сети не завелись паразиты которые очень много флудят на днс то врядли это из-за нагрузки - 80 человек это совсем маленькая компания и нагрузить два днс сервера и тмг надо очень постараться при обычной работе.

    Friday, February 17, 2012 4:51 PM
  • Itfabrica, подскажите, Вам удалось решить проблему?
    Friday, February 24, 2012 4:04 AM
  • По итогу пришлось снести DNS с сервера TMG.

    После чего стали правильно определяться сети в "центре управления сетями" Когда на TMG был DNS, то оба сетевых адаптера объединялись в одну доменную сеть. И нельзя было в настройках TCP IP на внешнем интерфейсе оставить пустым поле DNS. Система ругалась, что есть сервис DNS и что она будет использовать его в качестве DNS'а. Приходилось прописывать DNS  DC1.

    Сейчас все ок.

    PS. А DNS придется развернуть внутри сети и опубликовать через TMG

    Всем спасибо!!!


    • Edited by Itfabrica Sunday, February 26, 2012 10:25 PM
    Sunday, February 26, 2012 10:20 PM
  • Совсем забыл.

    На TMG DNS Client Events, постоянно появляются события:

    _____________________________________________________________________________________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.WIN2008.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53.

    ____________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.Default-First-Site-Name._sites.WIN2008.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53.

    Произошла ошибка "не найдено имя" для имени 35.92.79.117.in-addr.arpa. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.10:53

    Sunday, February 26, 2012 10:29 PM
  • в первом посте в  ipconfig у вас один из днс-серверов указан 192.168.0.10, удалите его из конфигурации сетевого адаптера


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Monday, February 27, 2012 10:30 AM
  • в первом посте в  ipconfig у вас один из днс-серверов указан 192.168.0.10, удалите его из конфигурации сетевого адаптера


    Убрал с внутреннего интерфейса второй DNS. Оставил только один.

    После чего из DNS Client Events пропали ошибки касаемо внутридоменных записей (Произошла ошибка "не найдено имя" для имени _ldap._tcp.WIN2008.dtm.local. Проверьте правильность имени)

    Скажите это почему?


    • Edited by Itfabrica Monday, February 27, 2012 4:39 PM
    Monday, February 27, 2012 4:38 PM
  • а 0.10 это кто? он живой вообще?
    Monday, February 27, 2012 4:53 PM
  • а 0.10 это кто? он живой вообще?
    Живой. Это второй DC
    Monday, February 27, 2012 6:28 PM
  • в первом посте в  ipconfig у вас один из днс-серверов указан 192.168.0.10, удалите его из конфигурации сетевого адаптера


    Убрал с внутреннего интерфейса второй DNS. Оставил только один.

    После чего из DNS Client Events пропали ошибки касаемо внутридоменных записей (Произошла ошибка "не найдено имя" для имени _ldap._tcp.WIN2008.dtm.local. Проверьте правильность имени)

    Скажите это почему?


    Ссори, поторопился.  По прежнему ошибки DNS Client Events

    ____________________________________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.win2003.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.2:53.

    __________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.Default-First-Site-Name._sites.win2003.dmt.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.2:53.

    Monday, February 27, 2012 10:49 PM
  • твой сервак зачем то пытается вытащить srv запись для домена win2003.dmt.local, по моему это как то неправильно, учитывая что таких записей в твоем днс по идее быть не должно, так как такого домена нет

    Tuesday, February 28, 2012 8:01 AM
  • твой сервак зачем то пытается вытащить srv запись для домена win2003.dmt.local, по моему это как то неправильно, учитывая что таких записей в твоем днс по идее быть не должно, так как такого домена нет

    как раз win2003dtm.local это мой внутренний DC2. Его IP 192.168.0.10 и в DNS такая запись есть. Не понятно почему он  не находит эту запись.
    Tuesday, February 28, 2012 8:06 PM
  • а, это я перепутал с _ldap._tcp.WIN2008.dtm.local которая была раньше, а win2008 это вроде сам tmg
    Tuesday, February 28, 2012 8:11 PM
  • а, это я перепутал с _ldap._tcp.WIN2008.dtm.local которая была раньше, а win2008 это вроде сам tmg

      да это TMG.

    Хотелось бы понять по каким причинам в логах TMG эти ошибки.

    Tuesday, February 28, 2012 11:04 PM
  • Уважаемые! Может кто подскажет с чем связаны данные записи в DNS Events:

    роизошла ошибка "не найдено имя" для имени _ldap._tcp.win2003.dtm.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.2:53.

    __________________________________

    Произошла ошибка "не найдено имя" для имени _ldap._tcp.Default-First-Site-Name._sites.win2003.dmt.local. Проверьте правильность имени. Ответ был отправлен сервером в 192.168.0.2:53.


    • Edited by Itfabrica Monday, March 05, 2012 9:34 PM
    Monday, March 05, 2012 9:33 PM
  • Описал решение в соседней ветке: http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/b144a296-fc71-48cb-9abd-9306c8bf9fda


    MCSE 2003: Messaging, Security
    MCITP: Server Administrator, Enterprise Administrator, Virtualization Administrator
    MCITP: Consumer Desktop Support, Enterprise Desktop Support, Enterprise Desktop Support Windows 7, Enterprise Desktop Administrator
    SMS/SCCM, ISA 2004/2006, CCNA Security

    Wednesday, March 28, 2012 9:09 AM
  • Поитогу не  помогло снятие роли DNS сервера с TMG.

    Через 5- 10 дней TMG перестает резолвить любые адреса.

    В этот момент на сервер можно попасть удаленно. Зайти в оснастку TMG не получается.

    При запуске  системного монитора  видно, что системой установлено огромное количество подключений

    Thursday, March 29, 2012 5:03 PM
  • смотрим netstat -o -a

    Сюда запостить вывод команды не могу, т.к. там на выходе файл в 4 Мб браузер виснет.

    В двух словах при выводе команды очень большое количество записей:

    UDP    192.168.0.1:10000      *:*                                    2788
      UDP    192.168.0.1:10001      *:*                                    2788
      UDP    192.168.0.1:10002      *:*                                    2788
      UDP    192.168.0.1:10003      *:*                                    2788
      UDP    192.168.0.1:10004      *:*                                    2788
      UDP    192.168.0.1:10005      *:*                                    2788
      UDP    192.168.0.1:10006      *:*                                    2788
      UDP    192.168.0.1:10007      *:*                                    2788
      UDP    192.168.0.1:10008      *:*                                    2788
      UDP    192.168.0.1:10009      *:*                                    2788
      UDP    192.168.0.1:10010      *:*                                    2788
      UDP    192.168.0.1:10011      *:*                                    2788

     

    тут пропущен кусок лога где присутствуют все порты начиная с 10012

    UDP    192.168.0.1:65512      *:*                                    2788
      UDP    192.168.0.1:65513      *:*                                    2788
      UDP    192.168.0.1:65514      *:*                                    2788
      UDP    192.168.0.1:65515      *:*                                    2788
      UDP    192.168.0.1:65516      *:*                                    2788
      UDP    192.168.0.1:65517      *:*                                    2788
      UDP    192.168.0.1:65518      *:*                                    2788
      UDP    192.168.0.1:65519      *:*                                    2788
      UDP    192.168.0.1:65520      *:*                                    2788
      UDP    192.168.0.1:65521      *:*                                    2788
      UDP    192.168.0.1:65522      *:*                                    2788
      UDP    192.168.0.1:65523      *:*                                    2788
      UDP    192.168.0.1:65524      *:*                                    2788
      UDP    192.168.0.1:65525      *:*                                    2788
      UDP    192.168.0.1:65526      *:*                                    2788
      UDP    192.168.0.1:65527      *:*                                    2788
      UDP    192.168.0.1:65528      *:*                                    2788
      UDP    192.168.0.1:65529      *:*                                    2788
      UDP    192.168.0.1:65530      *:*                                    2788
      UDP    192.168.0.1:65531      *:*                                    2788
      UDP    192.168.0.1:65532      *:*                                    2788
      UDP    192.168.0.1:65533      *:*                                    2788
      UDP    192.168.0.1:65534      *:*                                   

    Процесс с PID 2788 - Microsoft Firewall Service  (скорее всего)

    И-за такого количества открытых портов TMG перестает отвечать на DNS запросы.

    Остается вопрос по каким причинам это происходит ....

    Thursday, March 29, 2012 5:37 PM
  • Itfabrica, поскольку у нас две похожих темы, предлагаю такой вариант - у меня есть ваучер на бесплатное обращение в суппорт мс, я могу вам его дать, с условием, что решение опубликуете здесь.

    Если принимаете предложение, напишите мне в почту v-yulenc@microsoft.com


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Friday, March 30, 2012 7:35 AM
  • DNS перестает работать из-за того, что запросы разрешения имен это UDP-трафик. В выводе netstat'a видно ОГРОМНОЕ количество открытых UDP-портов. Такое ощущение, что заняты все.

    Предполагаю, что это UDP Flood снаружи. Необходимо в разделе "Система предотвращения вторжений", на вкладке "Обнаружение поведенческих вторжений" включить "Предотвращения Flood-атак".

    Здесь можно посмотреть EventID's для дальнейшей диагностики срабатывания IPS: http://technet.microsoft.com/en-us/library/cc995196.aspx

    Saturday, May 05, 2012 2:54 AM
  • Да, Вы знаете, возможно это именно flood.

    В логах есть записи о срабатывании фильтра Flood-атак. Правда атакуют только внутренние ip.

    Не помню, был ли включен этот фильтр во время падения TMG, но сейчас точно включен. Так что подождем, посмотрим.

    Спасибо за совет!

    Forefront TMG отключил не TCP-соединение от 192.168.0.2, поскольку превышен лимит подключений для данного IP-адреса. Следует установить больший лимит подключений для IP-адресов последовательно соединенных прокси-серверов и сдвоенных компьютеров с сервером Forefront TMG с отношением преобразования адресов (NAT

    __________________________________________________________________________-

    Количество отклоненных подключений с исходного IP-адреса 192.168.0.44 превысило установленный лимит. Это может означать, что исходный узел инфицирован или пытается атаковать компьютер Forefront TMG.

    Tuesday, May 15, 2012 12:27 AM