none
ISA 2004 sp3 + server 2003 sp2 - на час зависает. Уже ISA 2006 RRS feed

  • Вопрос

  • Очень странное явление началось - в логах пусто за исключением не возможности найти доменную политику и применить её соответственно.

    Началось с того что старый сервер приказал долго жить и был перенесён на новую железку.

    Всё установлено было правила перенесены - всё забежало.

    Но как то медленно - страницы открывались медленно и не охотно совершенно - начал копать - ничего не накопал.

    Включил обновления - закачались 93 обновления и установились - всё нормально. Уже после перезагрузки раз и сервер не пингуется и на днс запросы не отвечает, хотя служба фаервола стартовала.

    Можно зайти через rdp но очень долго - применение свойств посльзователя минут 5-10.

    Интернет не работает, да что и говорит с него ничего не пингуется вообще - он не пингуется внутри.

    наружу по RDP выйти можно по ип адресу. То бишь фаервол работает.

    Через 10 минут всё это каким то чудным образом развисло. Шлюз начал пинговаться - ну и всё забегало - днс заработал и всё пучком.

    Через час-полтора ситуация повторилась. И опять минут на 20 где то. И опять отвисла сама.

    Служба фаервола в это время работает - RDP сессии наружу не обрываются.

    Веб, днс, пинги отваливаются.

    На сам шлюз зайти почти не возможно - буду в следующий раз пробовать зайти под локальной учёткой. Да и заход на него толку не несёт - на вид всё в порядке на нём - нет ничего зависшего, службы в норме, в логах пусто, пямять есть, проц никто не занимает.

    В общем беда полная.

    Из обновлений не поставился только Ремувал тулз - который я в ручную не стал ставить.

    Вирусов на машине нету - проверил 3 антивирусами.

    • Изменено Rainmib 18 октября 2010 г. 7:10
    20 сентября 2010 г. 13:43

Все ответы

  • Тоесть никто такого в глаза никогда не видел.
    Зависания начались после установки обновлений - хотя может быть раньше я этого не замечал. Так как интернет работал так плохо насколько это вообще возможно.
    Реально раз в час или реже шлюз прямо отмирает. пинг на него и через него не ходит. nslookup на него сервер не откликается. днс не работает соответственно.
    При этом работают уже созданные подключения - по rdp по ip адресу наружу выходит.
    На него по rdp Тоже можно зайти если дождаться Ж(
    21 сентября 2010 г. 9:39
  • Сделал репеар на установщике Исы - вроде побежало.

    1 час полёт нормальный.

    21 сентября 2010 г. 14:08
  • еще провер чтобы на винде snp был выключен
    21 сентября 2010 г. 17:07
    Отвечающий
  • Выключен - специально проверял :(
    22 сентября 2010 г. 8:01
  • Вроде работает - но количество udp подключений периодически прыгает до 900 и потом со временем снова опускается до 50-60....

    Куча ожидающих подключений по всем подряд портам по udp от процессов. dns.exe

    wspsrv.exe

    22 сентября 2010 г. 8:20
  • Днём во время максимальной активности - всё таки шлюз умирает на время :( количество  udp соединений подпригивает до 800-900, но продолжительность уже не та.

    Пытаюсь отследить по логам кто и что - масса udp пакетов блокируется на разнообразнейшие порты - судя по он лайн монитору. С совершенно не примечательных машин в сети. Ни вирусов ни чего либо подозрительно на них не обнаружено :(
    22 сентября 2010 г. 15:48
  • Не знаю может поможет у меня было что то похожее или не совсем

    ISA 2006 переодически как бы уходила в себя не знаю как с внешним миром (неокуда было проверить) но изнутри она либо вооще не реагировала на внешние раздрожители либо отвечала на пару пакетов пинга из сотни и такое состояние могло длится от нескольких минут до 10-15 (дольше просто не ждал так так как резет быстре) после перезагрузки все восстанавливалось (иногда помагало передергивание интерфейса из локали) и могло работать либо полчаса либо несколько суток нормально, в логах тоже все было чисто.

    После месяца танцев с бубнами заменил сетевую карту (не знаю уж что там Исе не понравилось может от нагруза умирала) но после замены сетевки тьфу тьфу уже около года полет нормальный.

    А старая сетевка сейчас пашет на раб станции и вроде бы нормально или просто не успечаем заметить.

    22 сентября 2010 г. 19:38
  • Днём во время максимальной активности - всё таки шлюз умирает на время :( количество  udp соединений подпригивает до 800-900, но продолжительность уже не та.

    Пытаюсь отследить по логам кто и что - масса udp пакетов блокируется на разнообразнейшие порты - судя по он лайн монитору. С совершенно не примечательных машин в сети. Ни вирусов ни чего либо подозрительно на них не обнаружено :(

    такой гадостью может заниматься богомерзкий скайп
    23 сентября 2010 г. 8:34
    Отвечающий
  • Да на скайп я уже подумал... реально появляются мысли простись по людям и запретить его совсем :(
    23 сентября 2010 г. 8:59
  • Как должны быть настроены днс сервера на контроллерах домена и шлюзе?

    Тут стоят на шлюзе: на внешнем провайдеры, на внутреннем 127.0.0.1

    На контроллерах домена стоят беспорядочно другие контроллеры и он сам в днс серверах, на всех в свойствах днс сервера стоит пересылка на шлюз. На шлюзе секондари зона доменна поднята.

    26 сентября 2010 г. 21:01
  • Идей не прибавилось?
    30 сентября 2010 г. 11:03
  • У меня такая-же ерунда случилась (проблема тоже проявилась внезапно, конфигурация ИСЫ не менялась, один раз настроенная и больше ничего не делалось, т.к. нет нужды что-то менять) (очень долгий вход на сервер под учетной записью пользователя домена, невозможность работы с группами и пользователями, проблемы с RPC), и тоже не знаю в чем причина. Лазил тоже везде, где только можно, ничего не помогает, опытным путем выяснил, что проблема оказалась в порядке привязки сетевых адаптеров (скорее всего иса стала путать привязки сет. адаптеров). Если ставлю первым сет. адаптер, который смотрит в лок. сеть(Lan), то все начинает работать (RPC и т.д., все проблемы отпадают), если ставлю первым адаптер, смотрящий в инет(Inet) все работает, победил порядком привязки сет. карт.
    5 октября 2010 г. 11:14
  • Выставил привязки жёстко - всё равно днём 1-2 раза количество udp подключений доходит до 900, но уже не регулярно, и шлюз вроде держиться. Продолжаю искать зловредов в сети.
    9 октября 2010 г. 7:29
  • Поставил вместо 2004 ISA 2006ую. Интернет побежал очень шустро и казалось бы проблема ушла.
    Сегодня утром картина маслом.
    1000+ подключений(Перфоманс монитор изменился у ИСЫ - теперь просто пишет общее количество подключений и есть счётчик на количество подключений в секунду) И всё висит. DNS шлюза не доступен - пинги не проходят. В общем картина совершенно такая же как и была с 2004 исой...
    Через 20 минут отвисла - количество подключений упало до 500-600 - интернет заработал.

    Снова в панике
    18 октября 2010 г. 6:52
  • Как должны быть настроены днс сервера на контроллерах домена и шлюзе?

    Тут стоят на шлюзе: на внешнем провайдеры, на внутреннем 127.0.0.1

    На контроллерах домена стоят беспорядочно другие контроллеры и он сам в днс серверах, на всех в свойствах днс сервера стоит пересылка на шлюз. На шлюзе секондари зона доменна поднята.


    странная схема, если иса в домене то зачем на ней вообще dns поднят? правильнее всего самая классическая настройка - на всех хостах сети в качестве dns прописаны контроллеры. контроллерам разрешено обращаться наружу по dns протоколам. писать форвард на провайдерские на контроллерах или нет - личное дело каждого, многие пишут
    18 октября 2010 г. 8:51
    Отвечающий
  • Честно - исторически. Да и такую схему наблюдаю и делаю сам уже в 10 сетей. С контроллеров перенаправление на шлюз со шлюза на провайдера. Сейчас по горячему днс сервер со шлюза не убрать - отключатся все клиенты и придётся на них на всех что то менять. Изначально то как раз хотелось что бы только шлюз ходил на провайдерские днс сервера - а у клиетских машин такхи прав не было.
    18 октября 2010 г. 10:03
  • а клиентским и не надо, только контроллерам, причем анонимный. все клиенты (включая все внутренние сервера и доменные исы) должны ходить только на контроллеры. если иса смотрит не на контроллеры то она и свое доменное имя будет пытаться регать не на контроллерах.

    18 октября 2010 г. 11:49
    Отвечающий
  • Ну это тонкости - сегодняшняя ситуация к этому не имеет никакого отношения помоему. Те более что такая конфигурация была на протяжении 8-10 лет, и нормально работала.
    18 октября 2010 г. 11:59
  • ну я не утверждал что имеет отношение, просто попытался ответить на вопрос который процитировал :)
    18 октября 2010 г. 13:07
    Отвечающий

  • а в события винды нет сообщений вроде - .....такой-то ИП адрес превысил допустимое число подключений....
    сколько компов в локалке??
    19 октября 2010 г. 4:23
  • Да такие события видны в алертах ИСЫ - но не регулярно, и машины эти чистые. Бывает пишет что с почтового сервера превышено количество не-TCP соединений. Так там стоят антиспам который на RBLях днс запросами постоянно пробивает адреса.

    Пользователей в сети 75+ активных

    19 октября 2010 г. 8:23
  • на кидо проверьте эти айпишники. на сайте каспера есть Kido Killer.

    и Дмитрий вам правильно подсказывает - используйте один комп для преобразования внешних ИП адресов, и трафик сэкономите и количество запросов уменьшите. почтовик, если настроить на внутренний ДНС сервер, то и иса перестанет ругаться.

    19 октября 2010 г. 9:28
  • и Дмитрий вам правильно подсказывает - используйте один комп для преобразования внешних ИП адресов, и трафик сэкономите и количество запросов уменьшите. почтовик, если настроить на внутренний ДНС сервер, то и иса перестанет ругаться.


    не мог я такой ереси сказать :)) любая маломальски серьезная сеточка или зона должны иметь минимум два dns сервера :) я говорил что при наличии доменных днс на хостах домена следует использовать именно их.
    и трафик там особо не наэкономишь :)

    и да, иса на почтовик ругаться не перестанет, советую прочитать что такое rbl - к самой иерархии днс они отношения не имеют. чтобы не ругалось надо почтовик добавить в исключения flood mitigation (кстати как и внутренние днс сервера)

    19 октября 2010 г. 20:18
    Отвечающий
  • хм...

    все клиенты (включая все внутренние сервера и доменные исы) должны ходить только на контроллеры

    и

    используйте один комп для преобразования внешних ИП адресов

    и в чем принципиальная разница, что не написал множественное число?? а разве я что-то писал про один ДНС сервер?? у меня в сети 2 ДНС, но тока один смотрит в инет. лег он недавно и ничего, пользователи как ходили, так и ходят.

    смысл в том, что б был настроен один комп для преобразования ИП адресов, логичнее, если это КД, отвечающий за внутреннюю зону. понятно, что в сетевой карточке клиента можно написать хоть 10 ДНС серверов, но обращаться то все-равно будет к первому ;)

    по поводу не сэкономишь - после внедрения екч 2007 у меня трафика по ДНС за месяц был ~6 гигов, потому что ходили по 53 порту все кому не лень и иса, и КД, и почтовик. настроил все на КД - ~2 гига.

    про РБЛ почитал, как я понял им нужно напрямую общаться с поставщиком списка блокировки.. поэтому да, здесь я напутал.

    http://support.microsoft.com/kb/823866
    Если на сервере Exchange Server 2003 включена фильтрация подключений, то при получении сообщения электронной почты компонент SMTP направляет поставщику списка блокировки запрос DNS, в котором указывается IP-адрес компьютера, отправляющего данное сообщение. После этого поставщик списка блокировки ищет в списке блокировки DNS-запись узла (также называемую записью типа A), соответствующую имени узла, указанному в запросе. При поиске используется следующий формат записи.

    <var>обратный_IP-адрес_отправителя_электронной почты</var> .<var>DNS-суффикс_поставщика_списка_блокировки</var>

    Например, если сообщение электронной почты поступает от компьютера с IP-адресом 172.16.21.5, а суффикс DNS поставщика списка блокировки – contoso.com, то сервер Exchange Server 2003 отправит запрос, содержащий имя 5.21.16.172.contoso.com.

    а за flood mitigation спасибо, не слышал о таком, но как раз нужно, а то иса вечно ругается на удаленный впн ) )

    20 октября 2010 г. 6:04
  • Итак постарался неорывно следить за ситуацией. Запустил на сервере aps от касперского - флуда он не засёк - за два дня. Запустил TCPView вместе с перформарнс монитором. Итак 14.15 время количество подключений начинает рости. От стандартных 500-600 по 100-200 в секунду начинает добираться до 1000-1400. В этот момент именно на росте числа подключений включаю tcpview он видит 100 соединений клозе вейт 30 - ЕндПоинтс 2000. Куча подключений вернее ендпоинтов от процесса dns.exe. Если убрать Ендпоинты то будет даже весьма приличная картина. В этот момент на росте количества соедининений отваливается днс. Тоесть изнутри локалки на сервер nslookup не пускает за запросы не отвечает. Прошла минута и число соединений начало падать. где то в середине этого падения днс запросы начали обрабатываться... на уровне 900-800 уже более ли менее всё работало. Вернулось на свои 500-600.
    15.45 картина повторилась но прекращения работы не было просто подскок до 1200 подключений и сразу же падение до 400 - днс продолжал работать.

    Сейчас 15.55 - перформанс показывает 350 подключений активных.
    TCPview показывает ендпоинтсов - 2880, Установленых соедининени 32, таймвейт 28, клозвейт 52

    ---
    ЧЕм поможет добавление в исключения isa 2006 флуд митингейшен. Ведь там на исключительные тоже всего лишь прописано другое число подключений.
    ----

    Итак можно сделать промежуточный вывод:
    Выбираем 1 самый сильный контроллер домена и делаем его днс сервером для всех пользовалетей - второым можно шлюз прописать. На этом контроллере делаем перенаправление запросов на ПРОВАЙДЕРСКИЕ днс сервера? На шлюзе закрываем днс наружу всем кроме этого контроллера домена?
    Типичная ситуация - нету связи по сети( потеря питания у свичей) по дороге между сегментом со шлюзом и сегментом с этим контроллером - вывод всё встанет.
    20 октября 2010 г. 12:03
  • а может у вас в планировщике есть какая-нибудь гадость?? если прям в определенное время. мониторинг исы продолжает работать?? если да, делайте фильтр

    порт назначения 53

    и смотрите адрес источника.

    //ЧЕм поможет добавление в исключения isa 2006 флуд митингейшен

    ничем, просто в событиях не будет сообщений по поводу почтовика и превышения числа подключений

    //Итак можно сделать промежуточный вывод:

    не обязательно самый сильный; можно провайдерские, можно общедоступные; да, всем кроме КД; нет, не встанет.

    тока вот шлюз то зачем прописывать в качестве ДНС сервера??

    20 октября 2010 г. 12:32
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    29 октября 2010 г. 12:55
    Модератор
  • Ну очень жаль что больше идей нету. Ни смотря ни на что в 14-15 часов где то каждый рабочий день бывает всплекс подключений, который или приводит или не приводил к частичному пропадаю интернета - Перестают обрабатываться днс запросы. Установленные ТСР сессии при этом не разрываются. Через некоторое время это проходит. По перформанс монитору можно видеть это количество подключений - как оно растёт до 1000-1500 потом начинает снижаться.

    1 ноября 2010 г. 7:27
  • так вы локальные компы проверили, которые появляются в событиях исы??
    1 ноября 2010 г. 7:41
  • Да особенно никаких компьютеров не появляется в алертах. Было такое - но оно было подконтрольное совершенно скорее тестовые попытки сгенерировать алертовый случай.
    1 ноября 2010 г. 7:43
  • Ну очень жаль что больше идей нету. Ни смотря ни на что в 14-15 часов где то каждый рабочий день бывает всплекс подключений, который или приводит или не приводил к частичному пропадаю интернета - Перестают обрабатываться днс запросы. Установленные ТСР сессии при этом не разрываются. Через некоторое время это проходит. По перформанс монитору можно видеть это количество подключений - как оно растёт до 1000-1500 потом начинает снижаться.


    источник этих подключений вы можете определить??
    1 ноября 2010 г. 9:17
  • Вот актуальный вопрос - а что 2000 подключений вешает ису на мертво? и это для неё коллапс? и это серьёзный корпоративный брандмауэр с прокси сервером???? Вообще как то думается что смешно это.

    Почтовик давно в исключениях и на него никто не ругается.

    Была мысль что это гугловые сервисы и гуглове прекеширование днс(пока вводишь адрес Хром пытается разрешить все промежуточные значения и предложить правильные варианты) У многих людей сейчас стоят гугловые сервисы и синхронизация и апдейт продуктов. Так что это вот такая ерунда что она вешает ИСУ??

    КАк то всё это совершенно не логично - или у ИСЫ завялена 1000 одновременных подключений а дальше как фишка ляжет???

    Где логика братцы?

     

    И с днс сервером на шлюзе ну не вижу я никаких проблем - да кеширующий  днс, держит внешнюю зону. и секондари внутреннюю зону. Что в этом страшного то проблема то не в нём!!

    2 ноября 2010 г. 12:52
  • Вчера в 18 часов опять просвистело. Минут на 14-18 где то иса умерла.  Даже терминалом не зайти былоо. Подключился локально. Количество подключений скакнуло резко.  Никаких даже алертов нету в логах - вообще ничего.

    Ничего не делал отвисло само через 15 минут где то.

    Жесть какая то. Клиентов то в сети не было совсем компов 20 светилось всего.

    3 ноября 2010 г. 7:38
  • Опять простой - 10 минут пару раз в день.

    Количество подключений прыгает до 2500-3000 как отвисает начинает падать до 300-400

    10 ноября 2010 г. 8:28
  • Есть такая проблема - и возможно вам стоит

    1) Ознакомиться с содержимым вот этой статьи - http://blogs.technet.com/b/isablog/archive/2009/01/12/isa-server-2006-stops-answering-requests.aspx

    2) Проверить свой Firewall Policy на предмет правил, аналогичных тому, что указаны в этой статье

    3) Проверить ещё раз настройки DNS - ИМХО ISA очень сильно зависит от правильного разрешения имён - и тут вам в помощь вот такой материал - http://isadocs.ru/news/81006.html?phrase_id=1915033 и http://blog.msfirewall.org.uk/2008/06/isa-servers-recommeded-network-card.html

    4)  Подключитесь консольно к сабжу (лучше через RDP), далее в течении дня продолжайте наблюдать (соединение не разрывайте, на сабже заранее запустите ISA Perfomance Monitor и анализатор траффика приготовьте), как только начнёт проявляться упомянутый эффект - смотрите, что за траффик (протокол, назначение) преобладает наружу изнутри - есть такое подозрение, что это будут DNS-запросы, если случай, описанный в статьях ваш.

    Если подключение отвалится, т.е. не только новые соединения перестают обрабатываться, но и старые обрываются (хотя вроде у вас выше сказано, что существующие подключения не нарушаются) - дело конечно усложняется - придётся за консолью непосредственно этот эффект изучать, но.....придётся всё же несмотря на вопли и сопли со стороны своих пользаков - донаблюдать его до конца и не спешить ребутить весь сервер.

    P.S. Мне помогло, а ситуация была практически в точности как ваша. И во всём виновато было злополучное правило, которое своими же руками и создал (не подумав, да и не обратив внимания), а потом, когда после летних отпусков людей, пользующихся инетом поприбавилось в конторе - вот тут и началось, что ни день - такая свистопляска и такое впечатление, что внутренний интерфейс вообще молчит - ни на что не отвечает, хотя снаружи - всё работает - и публикация сайтов и правила доступа :) В общем - сам себе придумал проблем, долго потом смеялся...

    16 ноября 2010 г. 21:03