none
Определение причины высокой загрузки на TMG 2010 RRS feed

  • Вопрос

  • Есть TMG 2010 SP1 SU 1 R3 (7.0.9027.450). Он входит в домен.

    Мониторинг производительности показывает высокую нагрузку, в среднем, 12.5к пакетов в секунду. wspsrv.exe забирает примерно 70% процессорного времени, остальное забирает обработка прерываний (Interrupts в терминах Process Explorer). Нагрузка связана с локальной сетью, т.к. отключение адаптера сбрасывает нагрузку буквально в 0, в отличие от отключения адаптера внешней сети.

    Свободно порядка 250М ОЗУ из 3,5Г.

    Анализ логов межсетевого экрана через SQL показывает, что основная масса запросов - запросы DNS. Первая четверка за сегодня выглядит следующим образом:

    1. Основной DNS -> DNS провайдера.
    2. TMG -> Основной DNS.
    3. Запасной DNS -> DNS провайдера.
    4. TMG -> Запасной DNS.

    Но это дает 180к обращений за полдня, что слабо тянет на 12.5к пакетов в секунду.

    Каким образом можно средствами TMG выяснить источник проблемы?


    25 июля 2011 г. 11:18

Ответы

  • TMG не помог. Помог WireShark. Проблема в широковещательных запросах NetBIOS, которые по неизученной пока причине попадали из одной подсети в другую.

    К счастью, коммутатор позволяет управлять трафиком, и эти пакеты более TMG не досаждают.

    26 июля 2011 г. 6:58

Все ответы

  • нельзя путать соедниения и пакеты. иса/тмг пишет в лог соединения (как и положено, она же не пакетный фильтр, а stateful). поэтому большое колмичество пакетов может давать вообще одно соединение которое так и запишется двумя строчками в лог (начало-завершение)

    25 июля 2011 г. 11:37
    Отвечающий
  • Я в курсе различия между соединениями и пакетами.

    Я лишь полагаю, что явное лидерство запросов DNS указывает на то, что причина вряд ли кроется в троянах или т.п.

    Но, к сожалению, сообщение никак не указывает на пути выяснения источника проблемы.

    25 июля 2011 г. 11:44
  • Кстати, необходимо отметить, что нагрузка не сразу идет на полную.

    Если отключить кабель, то в начале нагрузка в пределах тысячи пакетов в секунду, а потом начинает относительно медленно и неравномерно (с колебаниями) расти.

    25 июля 2011 г. 12:30
  • TMG не помог. Помог WireShark. Проблема в широковещательных запросах NetBIOS, которые по неизученной пока причине попадали из одной подсети в другую.

    К счастью, коммутатор позволяет управлять трафиком, и эти пакеты более TMG не досаждают.

    26 июля 2011 г. 6:58