none
IIS 7. переодически перестает отвечать по 443 порту. RRS feed

  • Вопрос

  • Добрый день коллеги.

    Windows server 2008 R2. Роли: Web service и File services. Firewall выключен.

    IIS переодически перестает отвечать по 443 порту.

    telnet servername 443 - сбой подключения. в это же время по 80 порту все ок.

    Лимитов на подключение не установлено.

    NETSTAT -a -n -o выдает:

    TCP    0.0.0.0:443            0.0.0.0:0              LISTENING 

    что делать? :)

Ответы

  • я блокировал на роутере трафик на 443 порт с подсетей 10.220 и 10.221 после этого порт начинает нормально работать. неужели syn flood? дело в том , что все эти адреса с вводе netstat это другие exchange сервера в global wan.
    На этот вопрос тяжело ответить, если у Вас в корпоративной сети имеются "умные" сетевые устройства (switches, routers), то глядя на трафик можно сказать более точно.

    Я бы Вам по рекомендовал разрешать по частям подсети, для того чтобы определить с какой стороны идет поток нехорошего  трафика, далее из этого потока проверить ПК на присутсвие вредоносного ПО.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 14 мая 2016 г. 15:33 добавлено
    • Помечено в качестве ответа valekz 17 мая 2016 г. 15:58
    Модератор

Все ответы

  • Здравствуйте,

    Уточните пожалуйста, какие ошибки появляются в системных журналах (Eventlog- System) на момент проблемы?

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 10 мая 2016 г. 7:43 добавлено
    Модератор
  • никаких ошибок в windows event log нет.

    в httperr.log валится следующее:

    HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-04-21 17:32:57 10.68.23.249 25514 10.68.23.251 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool

    но я думаю что это следствие, а не причина.

  • Могли бы предоставить лог HTTPERR на момент проблемы:
    %SystemRoot%\System32\LogFiles\HTTPERR\httperrXXXX.log
    P.S. На сколько я вижу, Вы параллельно введеться общение на специализированном форуме IIS, важно выполнения рекомендации от нескольких участников форума может превести к не предвиденным последствиям.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 11 мая 2016 г. 13:13 добавлено
    Модератор
  • да, меня туда "послали" с английского technet,  но там пока никаких конкретных рекомендаций не дали к сожалению.

    вот кусок лога:

    016-05-11 12:20:24 10.68.23.249 38553 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:22:24 10.68.23.249 16795 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:22:54 10.68.23.249 40785 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:28:54 10.68.23.249 11493 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:35:54 10.68.23.249 23643 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:36:40 10.68.23.246 14390 10.68.23.252 443 - - - - - Timer_ConnectionIdle -
    2016-05-11 12:40:24 10.68.23.249 63236 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 12:41:36 10.68.23.249 19009 10.68.23.252 443 - - - - - Timer_ConnectionIdle -
    2016-05-11 13:05:25 10.68.23.249 32315 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 13:08:24 10.68.23.249 51761 10.68.23.252 443 HTTP/1.1 POST /ews/exchange.asmx - 1 Connection_Dropped MSExchangeServicesAppPool
    2016-05-11 13:12:14 159.82.111.99 13684 10.68.23.252 443 - - - - - Timer_ConnectionIdle -
    2016-05-11 13:12:40 159.82.111.76 6140 10.68.23.252 443 - - - - - Timer_ConnectionIdle -

    такое чувство что где-то установлен лимит на кол-во подключений.

    если постоянно вводить telnet servername 443 , то поключается с 5-6 попытки.

  • Уточните пожалуйста, на момент проблемы, образуются много ли подключений со статусом "TIME_WAIT" и "CLOSE_WAIT"?

    Покажите результат выполнения следующей команды в командной строке (cmd.exe) на момент проблемы:
    netstat -anop TCP | findstr ":443"


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 11 мая 2016 г. 15:29 исправлено
    Модератор
  • нет.

     TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       4
     TCP    10.68.23.252:443       10.220.3.11:29079      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.12:27044      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.13:22874      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.13:22911      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.13:22930      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.13:22945      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.14:12287      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.14:12304      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.17:62019      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.17:62020      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.17:62036      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.18:53117      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.19:36692      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.20:38001      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.22:36565      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.22:36647      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.22:36665      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.23:9941       SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.23:9958       SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.24:46542      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.25:26461      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.27:59582      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.27:59587      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.30:58657      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.34:47150      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.34:47163      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.36:7403       SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.36:7468       SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.40:24495      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.3.42:38467      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.14:17024     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.14:17061     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.15:43799     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.15:43800     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.16:38312     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.19:53889     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.23:16951     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.27:14199     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.27:14235     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.30:26946     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.31:44021     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57117     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57125     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57155     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57158     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57187     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57247     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.32:57252     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.38:25000     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.220.35.38:25013     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.12:43747      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.12:43793      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.16:29008      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.16:29018      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.18:46503      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.18:46571      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.18:46580      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.19:13709      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.19:13755      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.19:13783      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.20:14345      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.21:46519      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.22:57177      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.23:56054      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.25:31664      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.26:17293      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.26:17295      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.29:36700      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.29:36706      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.30:50282      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.31:59402      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.31:59416      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.33:60532      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.33:60549      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.34:56590      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.40:44214      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.40:44244      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.42:39171      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.3.42:39213      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.15:26597     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.15:26601     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.15:26608     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.15:26637     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.16:22956     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.16:23037     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.17:20720     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.22:60035     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.30:39838     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.30:39874     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.31:8087      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.36:58481     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.37:12778     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.37:12839     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.37:12840     SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.38:6084      SYN_RECEIVED    4
     TCP    10.68.23.252:443       10.221.35.38:6136      SYN_RECEIVED    4

  • Проверьте пожалуйста журналы событий приложения (Eventlog -> Application) на момент воспроизведения проблемы, логируются какие-то предупреждения/ошибки?

    Best Regards, Andrei ...
    MCP

    Модератор
  • есть предупреждения/ошибки от MSExchangeRepl и MSExchange SACL Watcher, но они всегда были.
  • - Могли бы тогда посмотреть не установлены ли лимиты на количество подключений сайта(который использутся для Exchange)?
    - Устанавливали компонент "dynamic ip restrictions" ?

    Best Regards, Andrei ...
    MCP


    • Изменено SQxModerator 12 мая 2016 г. 8:13 исправлено
    Модератор
  • Лимиты на сайт не установлены.

    - не устанавливали, а где это можно проверить?

  • Лимиты на сайт не установлены.

    - не устанавливали, а где это можно проверить?

    1. В Advanced Settings, разверните “Connection Limits”

    2. Смотрите параметр “Maximum Concurrent Connections”



    Best Regards, Andrei ...
    MCP

    Модератор
  • - У Вас настроен Exchange для сайта (Default Web Page) по умолчанию?
    - Веб-сервер IIS доступен только в корпоративной сети или из вне тоже доступен?

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 12 мая 2016 г. 13:12 добавлено
    Модератор
  • - да, Exchnage настроен на Default web site

    - только в корпоративной среде (не опубликован "наружу")

  • Ознакомьтесь со статьей https://support.microsoft.com/ru-ru/kb/2469722

    Best Regards, Andrei ...
    MCP

    Модератор
  • эту статью я читал, спасибо.

    но она применима больше к траблшутингу подключений через activesync. Таких ошибок, как описано в статье - в логах нет. конкретно по рекомедациям было сделано только увеличение Queue Length с 1000 до 10000. Throttling policie стоит по умолчанию.

  • Покажите результат следующей команды:
    reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"
    P.S. Случайно не устанавливали параметр SynAttackProtect ?

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 12 мая 2016 г. 18:42 исправлено
    Модератор
  • Покажите результат следующей команды:
    reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters"

    P.S.Уточните пожалуйста Сервер находиться в домене или в рабочей группе?

    Best Regards, Andrei ...
    MCP

    Модератор
  • сервер в домене.

    в этой ветке реестра пусто

  • 1. Экспортируйте следующие ветки реестра, для того чтобы возможно было откатить изменения.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]


    2. Выполните резервную копию состояния сервера (Windows Backup Server - System State), для того чтобы возможно было откатить изменения.

    Важно: только после выполнения выше упомянутых рекомендации, попробуйте применить следующие изменения в реестре (сохраните следующее вложение например как tcp_modify.reg и примените):

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]
    "SynAttackProtect"=dword:00000002
    "TcpMaxPortsExhausted"=dword:00000005
    "TcpMaxHalfOpen"=dword:000001f4
    "TcpMaxHalfOpenRetried"=dword:00000190
    "TcpTimedWaitDelay"=dword:0000001c
    "MaxUserPort"=dword:0000fffe
    "TcpMaxDataRetransmission"=dword:00000005
    "EnableDeadGWDetect"=dword:00000000
    "EnableICMPRedirect"=dword:00000000
    "NoNameReleaseOnDemand"=dword:00000001
    "EnablePMTUDiscovery"=dword:00000000
    "KeepAliveTime"=dword:000493e0
    "TcpMaxConnectResponseRetransmissions"=dword:00000002
    "TcpMaxDataRetransmissions"=dword:00000002
    
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
    "EnableDynamicBacklog"=dword:00000001
    "MinimumDynamicBacklog"=dword:00000014
    "MaximumDynamicBacklog"=dword:00004e20
    "DynamicBacklogGrowthDelta"=dword:0000000a

    P.S. Важно понимать, что любые изменения в реестре могут привести к непредвиденным последствиям, поэтому любое изменения в реестре выполняете на свой страх и риск.

    После применения новых параметров в реестре, необходимо перегрузить сервер.


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 13 мая 2016 г. 10:56 добавлено
    Модератор
  • К сожалению ничего не изменилось.
  • К сожалению ничего не изменилось.
    Уточните пожалуйста по прежнему копяться соединения SYN_RECEIVED?

    Best Regards, Andrei ...
    MCP

    Модератор
  • да, именно так. ESTABLISHED всего 2-3
  • да, именно так. ESTABLISHED всего 2-3

    Перегружали сервер после применения в реестре новых параметров?

    Best Regards, Andrei ...
    MCP

    Модератор
  • да, конечно.
  • да, конечно.
    Тогда откатите изменения, которые у Вас были изначально.

    Best Regards, Andrei ...
    MCP

    Модератор
  • откатил
    Уточните пожалуйста, у Вас на сетевом интерфейсе установлены несколько ip-адресов (alias)?

    Best Regards, Andrei ...
    MCP

    Модератор
  • нет.

    в сервере  2 активных сетевых интерфейса с разными IP адресами.

  • нет.

    в сервере  2 активных сетевых интерфейса с разными IP адресами.


    А шлюз (gateway) указан на обоих сетевых интерфейсов?

    P.S. Как возможное поведение ответ приходит на один сетевой интерфейс, а отправляется на другой.

    Уточните пожалуйста, перед возникновением проблемы, применяли ли какие-то изменения в сетевой инфраструктуре?

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 13 мая 2016 г. 13:10 добавлено
    Модератор
  • изменений в конфигурации никаких не было.

    шлюз указан только на одном интерфейсе. второй интерфейс используется в кач-ве private в Failover cluster

  • Пробуйте в Windows Firewall зафильтровать соединения по порту 443, далее указать разрешенные подсети и понаблюдать.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 13 мая 2016 г. 13:32 добавлено
    Модератор
  • зафильтровать т.е. заблокировать?
  • зафильтровать т.е. заблокировать?
    Да на время, но разрешить только определенную подсеть которая Вами считается доверенной, так как есть подозрение на syn флуд.

    Best Regards, Andrei ...
    MCP

    Модератор
  • нет.

     TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       4
     TCP    10.68.23.252:443       10.220.3.11:29079      SYN_RECEIVED    4
     ...

     TCP    10.68.23.252:443       10.221.35.38:6136      SYN_RECEIVED    4

    Если это не атака SYN flood (что внутри локальной сети маловероятно), то это означает, что по дороге от Exchange к клиентам, находящимся в подсетях 10.3.x.x-10.35.x.x режутся пакеты SYN-ACK.

    Такая ситуация возможна, к примеру, если маршрут пакетов от клиентов к Exchange идёт через маршрутизатор, не являющийся шлюзом по умолчанию для сервера Exchange, на сервере Excheange в качестве шлюза по умолчанию установлен интерфейс устройства-межсетевого экрана (MS ISA/TMG, Cisco ASA и иже с ними) и сервер Exchange не имеет специфических маршрутов к подсетям клиентов через те маршрутизаторы, через которые они доступны. В таком случае пакет SYN от клиента проходит мимо межсетевого экрана, а ответный пакет SYN-ACK идёт через межсетевой экран - и межсетевой экран его блокирует, поскольку видимая им последовательность пакетов нарушает правила установления соединения TCP. Что интересно, ping при этом очень часто работает (т.к. он протокол TCP не использует).

    Может, это наведёт вас на мысль о причине явления в вашей сети.


    Слава России!

  • нет.

     TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       4
     TCP    10.68.23.252:443       10.220.3.11:29079      SYN_RECEIVED    4
     ...

     TCP    10.68.23.252:443       10.221.35.38:6136      SYN_RECEIVED    4

    Если это не атака SYN flood (что внутри локальной сети маловероятно), то это означает, что по дороге от Exchange к клиентам, находящимся в подсетях 10.3.x.x-10.35.x.x режутся пакеты SYN-ACK.

    Такая ситуация возможна, к примеру, если маршрут пакетов от клиентов к Exchange идёт через маршрутизатор, не являющийся шлюзом по умолчанию для сервера Exchange, на сервере Excheange в качестве шлюза по умолчанию установлен интерфейс устройства-межсетевого экрана (MS ISA/TMG, Cisco ASA и иже с ними) и сервер Exchange не имеет специфических маршрутов к подсетям клиентов через те маршрутизаторы, через которые они доступны. В таком случае пакет SYN от клиента проходит мимо межсетевого экрана, а ответный пакет SYN-ACK идёт через межсетевой экран - и межсетевой экран его блокирует, поскольку видимая им последовательность пакетов нарушает правила установления соединения TCP. Что интересно, ping при этом очень часто работает (т.к. он протокол TCP не использует).

    Может, это наведёт вас на мысль о причине явления в вашей сети.


    Слава России!

    почему тогда с localhost та же проблема с коннектом на 443 порт?

  • зафильтровать т.е. заблокировать?

    Да на время, но разрешить только определенную подсеть которая Вами считается доверенной, так как есть подозрение на syn флуд.

    Best Regards, Andrei ...
    MCP

    я блокировал на роутере трафик на 443 порт с подсетей 10.220 и 10.221 после этого порт начинает нормально работать. неужели syn flood? дело в том , что все эти адреса с вводе netstat это другие exchange сервера в global wan.
  • я блокировал на роутере трафик на 443 порт с подсетей 10.220 и 10.221 после этого порт начинает нормально работать. неужели syn flood? дело в том , что все эти адреса с вводе netstat это другие exchange сервера в global wan.
    На этот вопрос тяжело ответить, если у Вас в корпоративной сети имеются "умные" сетевые устройства (switches, routers), то глядя на трафик можно сказать более точно.

    Я бы Вам по рекомендовал разрешать по частям подсети, для того чтобы определить с какой стороны идет поток нехорошего  трафика, далее из этого потока проверить ПК на присутсвие вредоносного ПО.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 14 мая 2016 г. 15:33 добавлено
    • Помечено в качестве ответа valekz 17 мая 2016 г. 15:58
    Модератор
  • почему тогда с localhost та же проблема с коннектом на 443 порт?

    Какая - "та же": соединение с localhost тоже висит в состоянии SYN_RECEIVED? Не верю, и не поверю, пока не увижу это своими глазами в выдаче netstat.

    Или - что не соединяется? Тогда это - просто следствие того, что превышен лимит полуоткрытых соединений, который опредеён для сокета в целом, а не для отдельных адресов клиентов.


    Слава России!