none
Часто падает TMG RRS feed

  • Общие обсуждения

  • Всем привет ,

    Ситуация следующая. Имеем один сервер Forefront TMG 2010 SP2. Данный сервер используется как дефолтный шлюз в интернет, на нем же опубликован  Exchange 2010. Суть проблемы, в том,что  периодически перестает пинговаться и вообще пропускать через себя какой-либо трафик. При этом, если к нему в это время было, скажем, RDP-подключение - оно не рвется но если подключения не было ,на него никак не попасть. Сервер может нормально проработать неделю , месяц или падать по несколько раз в час.С сервера запросы идут , но сам сервер перестает пинговатся

    Что было сделано..

    Отключено кэширование , количество TCP соединений не ограниченно,интерфейсы выставлены правильно доменная сеть отдельно от внешней,в логах отсутствуют какие либо ошибки указывающие на странное поведение сервера. Единственное в логах

    Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.

    Думаю как вариант снести систему и поставить все с 0. Но хотелось бы найти ошибку и ее устранить..

     

    4 февраля 2013 г. 8:26

Все ответы

  • Если при возникновении проблемы перезапустить службу Firewall ситуация разрешается? Если да, то это скорее lockdown mode.

    О причинах его появления смотрите здесь.


    Innovation distinguishes between a leader and a follower - Steve Jobs

    5 февраля 2013 г. 4:57
  • После очередного падения сервера ( день проработал нормально) .При попытке перезапустить службу Firewall , не удается остановить службу Маршрутизация и удаленный доступ , после этого не удается остановить службу Firewall , служба Маршрутизация и удаленный доступ становится не активной. В итоге сервер не пингуется и с самого сервера   пинги не идут.
    6 февраля 2013 г. 4:07
  • проверьте состояние sql, т.к. по дефолту ставятся 2 экземпляра. они должны использовать статические порты, но по умолчанию только одни использует ISARS, так что нужно второму тоже задать статику. также попробуйте отключить на время ведения журнала межсетевого экрана и отключить службу winrm.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    6 февраля 2013 г. 7:28
  • Спасибо, Вам за участие.  2 экземпляра sql запущены, состояние "Работает" Если Вам не сложно , подскажите пожалуйста как второму задать статику.

    SQL Server (ISARS)

    SQL Server (MSFW)

    После очередного падения сервера , при попытке перезапустить службу Firewall появилось данное предупреждение

    Не удалось остановить службу Межсетевой экран Forefront TMG на Локальный компьютер.

    Ошибка 1053: Служба не ответила на запрос своевременно.



    8 февраля 2013 г. 9:08
  • http://support.microsoft.com/kb/823938/ru?wa=wsignin1.0

    отключите ведение журнала


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    8 февраля 2013 г. 9:49
  • Аналогичная проблема. Srv Std 2008 R2, TMG 2010 SP2, Exchange 2010 (Edge)
    Заметил, что падения TMG совпадают по времени со скачками и отключением электроэнергии. У меня все у на UPS, а вот у провайдера видимо нет. В общем, даже при кратковременном пропадании интернета, служба fwsrv зависает. При попытке перезапуска, говорит, что не может остановить службу. Помогает только перезагрузка. Мучаюсь уже месяц, до этого стояла ISA 2006, горя бед не знал.

    Прочитав эту тему, отключил ведение журнала. Жду следующей блокировки.

    Если удастся решить проблему, отпишитесь обязательно.

    Спасибо.

    11 февраля 2013 г. 5:50
  • Отключение ведения журнала и службы winrm не помогло. :(  

    5-ти секундный "затык" с интернетом и опять перегружаю сервер.

    11 февраля 2013 г. 7:14
  • а что у вас с портами, 80 порт случаем не прослушивает система? проверьте:

    netstat -noa |findstr ipадрес_карты:80 и так все свои ip адреса, если pid будет не 4, то нормально, а если 4 нужно будет убрать прослушку 80 порта системой.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    12 февраля 2013 г. 4:04
  • Да, 80 порт слушается, причем, не могу понять кто его слушает. Остановил IIS, телнетом все равно подключился. Значит слушает TMG?

    На TMG правила для OWA и OAW, там стоит прослушиватель Exchange, но в его свойствах указан только 443 порт.

    Как отключить прослушку 80 порта?

    Так же хотелось бы узнать ход ваших мыслей, каким образом это может влиять на зависания TMG?

    Спасибо.

    12 февраля 2013 г. 6:49
  • если pid 4 значит слушает не tmg.

    итак пробуем это http://habrahabr.ru/post/105020/

    пока не знаю, но если уже что-то в системе не так, это нужно исправить.

    если честно самого уже напрягает такое поведение, но моя проблема не как у вас, при обрыве интернета tmg не валится, валится тогда, когда ему этого хочется видимо, закономерности пока не нашел, пробую разные методы, от портов до sql, результата пока не дало, единственная надежда что после перехода на новую ось и работы через клиента что-то исправится, т.к. сейчас пока все через шлюз. до этого раз 10 разворачивал tmg и никогда такого не было, уже начинаю думать что не связанно ли это в виртуалками, т.к. раньше tmg всегда был физическим сервером.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    12 февраля 2013 г. 8:37
  • в общем ситуация такая. оказывается что если при зависшей машинке отключить и включить сетевые все начинает работать. теперь осталось узнать что является причиной падения сетевых карт

    Идти туда, где не ждут, Атаковать там, где не подготовились.


    12 февраля 2013 г. 10:49
  • в общем ситуация такая. оказывается что если при зависшей машинке отключить и включить сетевые все начинает работать. теперь осталось узнать что является причиной падения сетевых карт

    Идти туда, где не ждут, Атаковать там, где не подготовились.


    У меня все это хозяйство стоит на физическом сервере, и такой трюк не проходит. При попытке отключить любую сетевую виснет explorer, долго ждал, в конечном итоге все опять решается перезагрузкой.

    Заметил что зависания не всегда случаются при коротких затыках инета, но всегда при продолжительных. Иногда случаются и без отключений интернет.

    Есть подозрение, что причиной падений может быть совместное использование Exchange + TMG на одном сервере, т.к. отдельно стоящие TMG на других объектах в таком поведении замечены не были.

    14 февраля 2013 г. 12:11
  • Забыл еще добавить, что падения ни разу не случались в выходные дни, и очень редко в нерабочее вечернее время. Т.е., сказывается активность пользователей.
    14 февраля 2013 г. 12:16
  • пробуйте отключить "ошибка записи в журнал" вкладка "действия" убрать галку отключение служб и тоже самое для "Ошибка разрешения имени учетной записи".


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    14 февраля 2013 г. 18:22
  • пробуйте отключить "ошибка записи в журнал" вкладка "действия" убрать галку отключение служб и тоже самое для "Ошибка разрешения имени учетной записи".


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    Это я сделал первым делом, т.к. поначалу считал, что TMG переходит в режим блокировки. И даже написал и поставил в планировщик скрипт, который проверял состояние службы TMG и должен был запускать ее, если она остановлена. Скрипт ни разу не отработал, потому что служба не останавливается, а зависает.

    "Ошибка разрешения имени учетной записи"  - по умолчанию галочка "Остановить выбранные службы" там не стоит.

    15 февраля 2013 г. 5:00
  • вы уверены в том что именно служба зависает? если это так перезапуск службы должен решать проблему. у вас так?

    какие обновления стоят на tmg? кто производитель сетевых плат?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 февраля 2013 г. 8:48
  • Уверен. Перезапустить не получается. Ситуация в точности такая же как описал Maximumstar выше:

    "При попытке перезапустить службу Firewall , не удается остановить службу Маршрутизация и удаленный доступ , после этого не удается остановить службу Firewall , служба Маршрутизация и удаленный доступ становится не активной. В итоге сервер не пингуется и с самого сервера   пинги не идут."

    Иногда службу "Маршрутизация и удаленный доступ" остановить удается, но fwsrv все равно не останавливается.

    На TMG стоят все обновления, которые предлагались в Центре обновлений. Последним, кажется, был SP2.

    Сетевые платы:

    2 встроенных -  Broadcom NetXtreme 5721 PCI-E, 1 Гбит/с 

    и одна Realtek RTL8168B/8111B Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)

    Одна из Broadcom смотрит наружу, вторая в локалку.

    Realtek смотрит в отдельную сеть, гостевой WiFi (задействовал недавно, падения начались еще когда она была отключена).

    15 февраля 2013 г. 9:02
  • как то странно у вас, если служба зависает она должна логи ошибок давать, в моем случае такого не было, т.к. собсно служба и не валилась, на данный момент тестирую 2-е сутки на сетевой карте vmxnet3 вместо e1000, падения сетевой еще не было, если неделю будет так стоять, то опасения подтвердятся насчет виртуальной сетевой e1000.

    На TMG стоят все обновления, которые предлагались в Центре обновлений. Последним, кажется, был SP2.

    а что насчет hotfix-сов? их уже 3 вышло после sp2.

    обновите драйверы на сетевых и как вариант удалите сетевые из диспетчера, ребутните машину, пусть они определяться при включенном ff tmg.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 февраля 2013 г. 9:35
  • Спасибо за наводку по поводу хотфиксов. Я был в состоянии: "а мужики-то не знают".

    Обнаружил: http://support.microsoft.com/kb/2689195/en-us

    Кажется это - FIX: The Firewall service may stop responding to all traffic on a server that is running Forefront Threat Management Gateway 2010 -мой случай.

    На выходных поставлю, о результатах отпишусь.

    15 февраля 2013 г. 10:18
  • повторюсь их 3, ссылки здесь приводил

    http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/95976f4d-6e5d-48d9-94e3-4d0aa992eba8

    накатывать нужно один за другим, т.е. 1,2 и 3


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    15 февраля 2013 г. 11:00
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    22 февраля 2013 г. 10:34
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    25 февраля 2013 г. 11:15