none
Proxycache stoppt für alle Clients während Windows-Update läuft RRS feed

  • Frage

  • Hallo Zusammen,

    wir setzten folgende Forefront-Version ein: 7.0.9027.450. Der TMG ist klassisch mit 2 Nics konfiguriert (intern, extern) und wird hauptsächlich als Proxy eingesetzt.

    Unser Problem:
    Sobald Windows-Updates auf einem Server oder Client gestartet werden, lässt der Proxy keine Internetanfragen mehr zu und beendet bestehende Anfragen. Sobald der Windows-Update-Prozess beendet wird, kommt der Proxy nach ca. 30 Sekunden wieder in Funktion. Der Fehler lässt sich beliebig oft reproduzieren. Es liegt tatsächlich an den Windows-Updates.
    Beobachtung: der Proxy wird schneller reaktiviert wenn mittels cachedir.exe der Root-Eintrag als obsolete definiert wird!

     

    Wie haben foglendes versucht:
    1. In den Cacheregeln die Regel "Cacheregel für Microsoft Updates" deaktiviert
    2. Malwareüberprüfung komplett deaktiviert und aus den Rules entfernt

    Beide Versuche haben kein verändertes Verhalten gebracht.

     

     

    Im Logfile sind folgende zwei Einträge zu sehen:

    1.) der erfolgreiche Verbindungsaufbau

    Zugelassene Verbindung BM-PROXY-01 27.07.2011 11:48:58
    Protokolltyp: Webproxy (Forward)
    Status: 206 Teilinhalt
    Regel: Allgemeiner Webzugriff
    Quelle: Intern (192.168.5.215:49339)
    Ziel: Extern (cds47.par9.msecn.net 94.245.70.52:80)
    Anforderung: GET http://download.windowsupdate.com/msdownload/update/software/secu/2011/05/windows6.1-kb2476490-x64_f85395aa548c4fde26a7152f6314d899fef89420.psf
    Filterinformationen: Req ID: 0b9e323a; Compression: client=No, server=No, compress rate=0% decompress rate=0%, Range=104784-110461;116437-122432
    Protokoll: http
    Benutzer: anonymous
    Zusätzliche Informationen
    • Client agent: Microsoft BITS/7.5
    • Objektquelle: Internet (Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt.)
    • Cacheinformationen: 0x50802041 (Die Anforderung darf nicht aus dem Cache bedient werden. Die Anforderung enthält den RANGE-Header. Die Anforderung enthält den IF-UNMODIFIED-SINCE-Header. Die Antwort enthält den LAST-MODIFIED-Header. Die Antwort enthält den AGE-Header. Die Antwort darf nicht zwischengespeichert werden.)
    • Verarbeitungszeit: 1359 MIME type: multipart/byteranges; boundary=

    2.) der Fehlschlag

    Fehlgeschlagener Verbindungsversuch BM-PROXY-01 27.07.2011 11:49:21
    Protokolltyp: Webproxy (Forward)
    Status: 10054 Eine vorhandene Verbindung wurde vom Remotehost geschlossen.
    Regel: Allgemeiner Webzugriff
    Quelle: Intern (192.168.5.215:49342)
    Ziel: Extern (94.245.70.51:80)
    Anforderung: GET http://download.windowsupdate.com/msdownload/update/software/secu/2011/03/windows6.1-kb2506212-x64_e9d5fd1f4e2ad662b0ee19e920c2a3cc5701daed.psf
    Filterinformationen: Req ID: 0b9e3240; Compression: client=No, server=No, compress rate=0% decompress rate=0%, Range=64302-69391;79624-82189;102883-105490;113330-116079;151235-159127;198735-217370;348982-368347;426909-472358;726390-785140
    Protokoll: http
    Benutzer: anonymous
    Zusätzliche Informationen
    • Client agent: Microsoft BITS/7.5
    • Objektquelle: Internet (Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt.)
    • Cacheinformationen: 0x10802041 (Die Anforderung darf nicht aus dem Cache bedient werden. Die Anforderung enthält den RANGE-Header. Die Anforderung enthält den IF-UNMODIFIED-SINCE-Header. Die Antwort enthält den LAST-MODIFIED-Header. Die Antwort enthält den AGE-Header.)
    • Verarbeitungszeit: 24593 MIME type: multipart/byteranges; boundary=

     

    Hat jemand von euch noch einen Tipp?

    Danke im Voraus.

    Gruss
    Robert

    Mittwoch, 27. Juli 2011 09:57

Alle Antworten

  • Hi Robert,

    hast du schon mal versucht die Cachedatei zu löschen und neu generieren zu lassen?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 27. Juli 2011 10:28
    Moderator
  • Hi Christian,

    habe soeben die Cachedatei gelöscht und verkleinert. Nach Neustart wurde die Datei neu erstellt, leider mit demselben Ergebnis. Sobald Windows-Updates gestartet werden, hängen sich alle Proxy-Verbindungen auf bzw. neue können nicht aufgebaut werden.

    Gruss
    Robert

    Mittwoch, 27. Juli 2011 11:49
  • Hi Robert,

    steht denn vielleicht irgendwas interessantes unter den Alarmen von TMG oder im Ereignisprotokoll?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 27. Juli 2011 12:59
    Moderator
  • Hi Christian,

    jetzt sind zwei Einträge drin:

    1. Limit der vor einer IP-Adresse stammenden verweigerten Verbindungen pro Minute überschritten

    Beschreibung: Die zulässige Höchstzahl der von einer IP-Adresse stammenden verweigerten Verbindungen pro Minute wurde überschritten.
    Beschreibung: Die Anzahl der abgelehnten Verbindungen von der Quell-IP-Adresse 192.168.5.54 hat das konfigurierte Limit überschritten. Dies kann darauf hinweisen, dass der Host infiziert ist oder einen Angriff auf Forefront TMG-Computer durchführt.

    2. Limit für die globale Rate der abgelehnten Pakete

    Beschreibung: Die Anzahl der abgelehnten TCP- und Nicht-TCP-Pakete pro Sekunde hat das zulässige Limit überschritten.
    Beschreibung:
    Die Anzahl der abgelehnten TCP- und Nicht-TCP-Pakete pro Sekunde hat das Systemlimit überschritten. Forefront TMG hat daher die Anzahl der abgelehnten Paketdatensätze verringert, die in das Protokoll geschrieben werden.

    Mindestens ein "Zombie-Host" versucht möglicherweise einen Angriff auf einen Server; die Forefront TMG-Richtlinie blockiert jedoch den Datenverkehr dieses Angriffs.

    Weitere Informationen zur Abwehr von Massenangriffen durch Forefront TMG finden Sie in der Produktdokumentation


    Beide Meldungen waren unter "Alarme". Sehe die Einträge dort aber zum ersten mal.

    Ereignisanzeige:

    Die Anzahl der abgelehnten TCP- und Nicht-TCP-Pakete pro Sekunde hat das Systemlimit überschritten. Forefront TMG hat daher die Anzahl der abgelehnten Paketdatensätze verringert, die in das Protokoll geschrieben werden.  Mindestens ein "Zombie-Host" versucht möglicherweise einen Angriff auf einen Server; die Forefront TMG-Richtlinie blockiert jedoch den Datenverkehr dieses Angriffs.  Weitere Informationen zur Abwehr von Massenangriffen durch Forefront TMG finden Sie in der Produktdokumentation.

    Die Anzahl der abgelehnten Verbindungen von der Quell-IP-Adresse 192.168.5.54 hat das konfigurierte Limit überschritten. Dies kann darauf hinweisen, dass der Host infiziert ist oder einen Angriff auf Forefront TMG-Computer durchführt.


    Die beiden Meldungen sind auch zum ersten mal drin.


    Bei dem Client x.x.x.54 handelt es sich im übrigen um einen kleinen USB-Server.


    Ansonsten kann ich in den Logs nichts auffälliges finden.


    Gruss

    Robert

    Mittwoch, 27. Juli 2011 13:18