none
Медленно грузит страницы TMG 2010 Proxy RRS feed

  • Вопрос

  • Раньше использовали TMG только для публикации сервисов, сейчас публикация идет через cisco. И как раз вышел из строя старый proxy сервер, решили использовать TMG как прокси для выхода инет клиентов.

    TMG установлен как VM в кластере из Hyper-V Server 2012 R2, железо хостов HP DL 380 G8 (64гб памяти, 10гб сетевухи, хранилище EVA 6350)

    При нагрузке 50 пользователей и больше (цифра ориентировочная) начинаются задержки при открытии страниц (задержи дикие).

    Думали на некорректность конфигурации, раньше было много правил в файрволе, переустановили на чистой ВМ, некаких настроек кроме доступа по HTTP HTTPS через прокси. Все быстро после перевода туда пользователей снова лаги...

    Подозревали SQL Express в медленной работе, отключили полностью логирование. Лаги тамже.

    Почитали про Offloading, обновили на хосте драйвера сетевух, выключили Offloading на хосте и в самой ВМ.... а лаги все тамже...

    Проверили тчательно работу DNS, при NAT подключениях и через наш старый прокси используется тотже DNS (наш внутренний 2 шт) все ровно и быстро...

    Подскажите что еще проверить, может кто сталкивался.

    16 июля 2015 г. 4:37

Ответы

  • День добрый.

    Попробуйте выставить аутентификацию в Integrated + Basic. Отключите "Require all users to auth...".

    На сервере ТМГ на внутреннем интерфейсе ДНС-серверами должны быть ваши DC. На внешних - уберите настройки ДНС.


    Грамотная постановка вопроса - уже 50% решения.

    • Помечено в качестве ответа Sergey Gashkov 3 марта 2016 г. 8:01
    20 июля 2015 г. 6:59

Все ответы

  • Еще момент, клиенты TMG как доменные так и нет. Аутентификация Web Proxy настроена на Integrated + Require all users to authenticate. Сейчас попробывали выключить аутентификацию вообще, и пока работает нормально, мониторим.

    Может ли быть причина задержек в этом? КД на Win ser 2012 r2 (2 шт)

    16 июля 2015 г. 10:50
  • Может - особенно, если используется аутентификация NTLM: там каждый запрос к прокси-серверу требует обращения к контроллеру домена. Это запросто может быть если используются браузеры не IE  или прокси-сервер для веб-клиентов указан не по имени, а по IP. Тип аутентификации, по идее, должен писаться в журнале событий Безопасность в сообщениях аудита успешного входа в систему.

    Слава России!

    16 июля 2015 г. 11:33
  • На клиентах указывается DNS имя сервера TMG. Браузеры на клиентах 90% IE, и 10% остальных...

    В журналах домена? или журналах тмг?

    Смотрю жруналы на тмг:

    встречаются

    AuthenticationPackageName: NTLM

    LogonProcessName: NtLmSsp

    и

    AuthenticationPackageName: Kerberos

    LogonProcessName: Kerberos

    причем керберос используют явно компы из домена.

    Как лечить? Без атунтификации не будет работать квотирование и url фильтрация по группам AD

    16 июля 2015 г. 11:47
  • Смотреть, вы правильно решили, надо в журналах TMG. Только смотреть надо подробнее - там идут попытки аутентификации не только доступа к веб-прокси.

    Как лечить - искать источник задержки. Лучший друг для этого - консоль Performance. Во-первых, чтобы убедиться, что дело в избыточных запросах аутентификации по NTLM, можно сравнить интенсивность этих запросов при включенной и отключенной аутентификации на TMG.

    В любом случае, если дело - в запросах на аутентифкацию, то нужно искать слабое место на КД стандартным образом - счётчики %процессорного времени, % времени диска, страничного обмена, используемая полоса пропускания сети.

    И неплохо было бы сравнить интенсивность запросов с рекомендациями из Capacity Planning для AD - а не перегружен ли у вас КД в принципе?

    В браузерах (и в TMG) стоит убедиться, что не отключено использование HTTP 1.1 Keepalive через прокси (подробности сейчас не скажу) - использование Keepalive может снизить число подключений, требующих аутентификации.

    PS Клиенты и TMG в одном домене? А то для аутентификации через доверительные отношения существуют дополнительные ограничения по числу одновременных попыток (особенно, на КД под Windows Server версии ниже 2012).


    Слава России!

    16 июля 2015 г. 12:50
  • Спасибо за развернутый ответ.

    Прокомментирую некоторые моменты: При выключенной аутентификации, запросом по NTLM вообще почти нет.

    КД на мощьном железе один основной стоит вне кластера Hyper-V, дургой как ВМ внутри кластера. У других ресурсов использующих по крайней мере керберос для аутентфикации проблем не наблюдается. Из доп ролей на обоих КД стоят DNS DHCP и WSUS на основном КД. Загрузка минимальна.

    Клиенты и ТМГ в одном домене, и часть клиентов без домена, в обычных рабочих группах. на КД 2012 r2.

    16 июля 2015 г. 15:44
  • Допустим, я запрещу  через гпо на КД для сервера ТМГ принимать NTLM полностью оставив лишь керберос.

    Смогут ли НЕдоменные клиенты с осями winxp win7 аутентифицироватся по керберос на сервере ТМГ (прокси)??? Какой режим аутентификации нужно будет выставить в настройках проски на ТМГ?

     
    17 июля 2015 г. 10:16
  • Нет, аутентификация по Kerberos возможна только для доменных компьютеров.

    Слава России!

    17 июля 2015 г. 10:53
  • Вопрос все еще актуален, есть ли смысл прописать сервера LDAP на TMG, и включить базовую аутентификацию, вместо Integrated? Что еще можно посмотреть и проверить?
    20 июля 2015 г. 6:23
  • День добрый.

    Попробуйте выставить аутентификацию в Integrated + Basic. Отключите "Require all users to auth...".

    На сервере ТМГ на внутреннем интерфейсе ДНС-серверами должны быть ваши DC. На внешних - уберите настройки ДНС.


    Грамотная постановка вопроса - уже 50% решения.

    • Помечено в качестве ответа Sergey Gashkov 3 марта 2016 г. 8:01
    20 июля 2015 г. 6:59
  • http://www.isaserver.org/blogs/shinder/isa-central/dns-settings-for-the-forefront-threat-management-gateways-tmg-interfaces-587.html

    Полезный список чтобы не забыть.


    Грамотная постановка вопроса - уже 50% решения.

    20 июля 2015 г. 7:03
  • На сервере ТМГ на внутреннем интерфейсе ДНС-серверами должны быть ваши DC. На внешних - уберите настройки ДНС.

    У нас так и сделано.

    По поводу первого попробуем

    20 июля 2015 г. 7:07
  • Ограничение скорости аутентификации по NTLM может быть из-за того, что запросы на аутентификацию на самом TMG обрабабатываются с низкой степенью параллельности.

    За это отвечает параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaxConcurrentApi.

    По умолчанию в Windows Server версий до Windows Server 2012 он имеет значение 2. Пробуйте увеличить его значение в диапазоне от 2 до 5 (аналогичная рекомендация есть для роли NPS, установленной не на КД).

    PS Более подробно про этот параметр можно посмотреть здесь.



    Слава России!


    • Изменено M.V.V. _ 29 июля 2015 г. 10:53
    29 июля 2015 г. 10:50