none
Не работает NAT RRS feed

  • Вопрос

  • Здравствуйте. Возникла такая проблема - периодически перестает работать NAT на TMG. Сам интернет работает, а пинги в интернет не проходят, меняю ip на внешнем интерфейса TMG на другой - пинги ходят, через какое-то время перестают. Меняю опять на первый - снова какой время работает. Причем с самого сервера все пингуется всегда.

    Так же перестал коннектиться FTP. Зависает на этапе чтения каталога, и в пассивном режиме и в активном, и браузером и клиентом. В логах TMG вижу коннект на 21 порт, затем на порт данных и отваливается по таймауту.

    8 декабря 2010 г. 7:29

Ответы

Все ответы

  • в алертах есть что нить?
    8 декабря 2010 г. 9:10
    Отвечающий
  • В алертах ничего ничего, BPA тоже ничего не выдает.

    На сервере стоят две сетевухи broadcom NetXtreme II, на каждую них приходили два vlan, в тегированном интернет, а распакованном локалка, средствами броадкомовской софтины создан team, и два виртуальных интерфейса, на одном распакован интернет, ну другом локалка, Эта схема работала достаточно долго и успешно. Сейчас пришлось team и виртуальные интерфейсы убить. Распаковал на коммутаторе vlan с интернетом для одной сетевухи, на другую приходит локалка. После изменений запустил мастер первоначальной настройки и эта схема поработа примерно день и потом начались ошибки.

    8 декабря 2010 г. 12:38
  • Вобщем складывается ощущение, что проблема не в TMG, а в сетевой подсистеме, но куда копать не представляю...
    8 декабря 2010 г. 17:59
  • TMG плохо дружит с драйверами, обеспечивающими Trunking, Link aggregation и им подобные "улучшения". Хотя, казалось бы, какое дело TMG до L2?.. :)
    В любом случае, обновите драйверы. И вот еще Вам "на заметку", так сказать: http://support.microsoft.com/kb/2433623/en-us
    8 декабря 2010 г. 20:22
    Отвечающий
  • Похоже дело было в какой то несовместимости с broadcom'овскими драйверами. Снес их, оставил стандартные виндовые драйверы, эта проблема ушла. Теперь другая, как уже писал в этой теме

    http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/21f1d849-b2f9-4f87-bcd5-a4615b31df46

    В двух словах. Отключены все средства защиты (ids, flood и т.д.). Периодически сервер теряет все сети, сам ничего не пингует, и ниоткуда не доступен. Запущенный ранее RDP сеанс остается открытым, а новые соединения отшибает, в логах - никаких варнингов или ошибок. Лечится перезагрузкой. Проработав примерно час-два, все повторяется. Переустановка системы не помогла.

    Может ли быть дело в конкретной несовместимости оборудования? Конкретно с Broadcom NetXtreme II. Уже несколько переустановок на одном и том же железе и со стандартными правилами - одинаковые проблемы. 

    9 декабря 2010 г. 20:03
  • Сергей, симптомы, описываемые Вами, очень похожи на те, что сопровождают lockdown-режим: http://technet.microsoft.com/en-us/library/cc995069.aspx. Вы уверены, что в "Alerts" не регистрируется ничего "похожего"?..
    9 декабря 2010 г. 21:05
    Отвечающий
  • Симптомы похожи, но в Alerts об этом действительно ни слова, а как можно этот режим вообще отключить?

    И перезапустить службу для отключения режима не получается, если пробовать из консоли - то она просто повисает навсегда, если из оснастки служб - служба не ответила на запрос своевременно.

    Да и сам сервер начинает страшно тормозить, потеряв связь с контроллерами домена. Хотя во всех типах атак они добавлены в исключения.

    Еще Reporting Services в этот момент отваливается с ошибкой Report Server Windows Service (ISARS) не может соединиться с базой данных сервера отчетов.

    И вот такие ошибки

    Не удалось удалить интерфейс {6558FA44-1ECA-4F36-A144-D7F973A1E56B} из диспетчера маршрутизации для протокола IPV6. Произошла следующая ошибка: Не удается завершить выполнение функции.

    Forefront TMG обнаружил фильтры WFP, которые могут стать причиной конфликтов политик на сервере TMG. Следующие поставщики могут предоставлять фильтры, конфликтующие с политикой межсетевого экрана Forefront TMG: Корпорация Майкрософт.

    Еще заметил, что многие предупреждения в консоли не отображаются, смотрю в системных логах по источнику Microsoft Forefront TMG.

     

     

    10 декабря 2010 г. 15:13
  • В общем удалось выявить некую закономерность зависания. Если на компьютерах пользователей установлен FWC и в качестве шлюза другой маршрутизатор (Не ТМГ), то работает все нормально, длительное время. Стоит котя бы на нескольких компьютерах поставить шлюзом ТМГ - зависание гарантировано.

    Пробовал еще так - на своем компьютере ставлю шлюзом ТМГ, запускаю торрент-клиент - практически сразу ТМГ отваливается. Если торрент не запускать - работает нормально, мой компьютер добавлен в исключения во всех средствах защиты, хотя они и все отключены. На остальных компьютерах торрента нет, если на одном-двух прописать ТМГ шлюзом - все нормально, а если на 10-15 - зависает.

    16 декабря 2010 г. 5:05
  • помониторьте wireshark`ом интерфейсы на предмет подозрительной сетевой активности

    в этой теме http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/7528fd2d-4f2d-4d51-b7c9-13e05f17d1f5 были найдены вирусы


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    16 декабря 2010 г. 9:07
  • Похоже проблемы все таки в железе, у меня тоже IBM BladeCenter и такая же модель сетевух как в http://tmgblog.richardhicks.com/2010/09/08/forefront-threat-management-gateway-tmg-and-windows-server-2008-networking-scalability-features/ (последний комментарий) и проблемы аналогичные, пробовал отключать SNP и RSS - не помогло.

    Поставил на другое железо - обычный сервер Trinity и сетевухи Intel Pro, пока все работает.

    • Помечено в качестве ответа Yuriy Lenchenkov 20 декабря 2010 г. 8:28
    16 декабря 2010 г. 15:43