none
ISA 2006 старые проблемы... Сил больше нету. RRS feed

  • Общие обсуждения

  • Уже где то это 3 или 4 похожа темы.
    Система win2003 sp2 все обновления + isa 2006 все обновления.
    Раньше число подключений в перформанс мониторе неуклонно росло что приводило к не работе системы - теперь не растёт.
    А даже наоборот.
    Устаканивается на какой нибудь отметке в 300-400 и держится прямой линии. И всё опять по старому - сервер перестаёт пинговаться, nslookup не отрабатывает. Старые tcp сессии держатся. Установить новые можно по ip адресам.
    Ситуация сейчас продержалась где то час. Потом таким же невообразимым образом отвисла, через 10 минут работы опять всё встало.
    Идеи закончились ещё давно, но где то с неделю всё работало нормально и вот опять началось.
    Выключаешь isa на шлюзе - с него всё начинает работать. Тоесть всё таки дело в нём.
    Очень много dns Запросов делается наружу в это время, но оно и понятно: сервер разрешает имя у него не получается и он ломится дальше по другим серверам, или меняет имя в запросе добавляет суфикс и так далее.

    Может есть ещё идеи.
    Спама на этот раз никто не пытается рассылать. Никакой активности аномальной не видно - сижу тупо смотрю в трафик на обоих интерфейсах и жду пока отпустит сервер. Что делать уже не знаю. Всё больше подумываю в сторону линукса :(
    11 марта 2011 г. 9:30

Все ответы

  • В целом стало хуже чем было. Раньше интернет пропадал на час пару раз в день. Сегодня 10 минут работает 15 минут не работат. ЗАсада полная. А ведь ничего не делалось.
    11 марта 2011 г. 9:44
  • В линуксе, конечно, отлаживать конфигурацию и анализировать проблемы производительности не придется. :)

    // <...> Очень много dns Запросов делается наружу в это время, но оно и понятно <...>
    Как у Вас разрешение имен устроено (на ISA и на ее клиентах)? Proxy-chaining (wp-routing) используете?..

    11 марта 2011 г. 9:51
    Отвечающий
  • Сейчас разрешение имён очень разнообразно идёт.

    На контроллерах домена перенаправление не стоит никуда - они разрешают имена через рутовые записи. На шлюзе пробовал и такую конфигурацию и с перенаправлением на провайдерские днс сервера.

    На клиентах в основном стоит первый днс адрес шлюз второй - один из контроллеров.

    На шлюзе подняд днс сервер и как секондари зону держит доменную зону. Плюс держит внешнюю зону.

    Когда происходят эти остановки в обслуживании то ИСА и запросы от контроллеров домена наружу не пропускает. Тоесть безтолку, то что там якобы самостоятельно имена разрешаются.

    Никаких Прокси-чайнингов и так далее не используется. Иса смотрит в интернет.

    11 марта 2011 г. 10:46
  • А что в журналах сервера ISA, на "Dashboard" есть ошибки/предупреждения?..
    11 марта 2011 г. 11:12
    Отвечающий
  • Нет - ничего нету.
    11 марта 2011 г. 12:05
  • счётчик производительности isa server firewall packet engine -> backlogged packets, при больших (чаще наблюдается) количествах подключений - следует рост счётчика, что указывает на задержки (пока нигде на нашёл точного определения что же подразумавается под (backlogged packets)), что в неопределённый момент времени приводит (а может и не привести), к невозможности записи лога.
    что же делать прямо сейчас? можно сделать вот это:
    посмотреть счётчики netlogon (http://support.microsoft.com/default.aspx?scid=kb;en-us;326040), потому, как только начинает расти счётчик backlogged packets, пропадает счётчик Netlogon - Semaphore Acquires  - "\\имя контроллера" (пока не появится подключение контроллера отображается "---", у если их два - то происходит переключение на второй)
    потому как вот тут (http://technet.microsoft.com/en-us/library/cc302601.aspx) пишут, что все наши проблемы от того, что контроллеры домена долго не отвечают на запросы аутентификации. Соответсвенно надо смотреть на производительность данных аппаратов.
    вот тут (http://support.microsoft.com/default.aspx?scid=kb;en-us;326040) нам скажут как увеличить кол-во запросов аутентификации
    рестарт routing and remote access помогает на время. как сделать? performance monitor - alerts по показанию счётчика запускать сценарий перезапуска сервиса (вручную после каждого ребута сервера надо запускать, неудобно немного).
    также можно посмотреть чтобы в одном (любом) правиле для протокола all outbound traffic не было domain set или URL set в назначениях (такое делается например для ограничения доступа, либо наоборот для разрешения). В этом случае для каждого подключения (хорошо, что не пакета) будет делаться dns запрос, а каждый запрос это вроде бы как новый сокет (новое подключение).
    что можно сделать? всеми возможными способами ограничить количество подключений от клиентов. т.е. ограничение количества
    одновременных подключений от одного клиента (либо встроенными средствами, либо альтернативными), закрытие "портов" и закрытие приложений создающих большое количество подключений (например, всеми любимые торрент-клиенты и скайпы и другие подобного рода программы).
    ну ещё можно domain set или URL set использовать только для http протокола (http://blogs.technet.com/b/isablog/archive/2009/01/12/isa-server-2006-stops-answering-requests.aspx).
    как-то так...
    на истину не претендую - моё личное наблюдение.
    ***
    надо попробовать установить обновление










    • Изменено sergeykp 15 сентября 2011 г. 3:03
    16 марта 2011 г. 10:06
  • http://isaserver.ru/forums/p/8832/40964.aspx

    Что приведёт к небольшому снижению нагрузки на "логи". (речь о Log traffic blocked by flood mitigation settings) Но принципиально проблему не решит.

    16 марта 2011 г. 11:18
  • 1ое: на клиентах следует использовать только внутренние dns серверы. Они же обеспечат Вам кеширование и снизят нагрузку на dns сервисы.

    2ое: не следует давать клиентам доступа к dns на шлюзе и за ним. У меня вообще protocol rule разрешает dns запросы (и tcp, и udp) только для dns серверов, остальные - лесом, то есть - через внутренние dns серверы.

    У меня антиспам фильтр (да, банальный IMF на exchange 2003 + dnsbl, читаем здесь http://sergey-s-betke.blogs.novgaro.ru/dnsbl) работает, поток dns запросов представляете? и благодаря кешированию на внутренних dns всё живёт стабильно, более чем.

    Внутренние dns серверы идут сразу к root (были в своё время проблемы с серверами провайдера, сейчас их нет).

    Используйте кеширование, разрешите доступ к протоколам dns только dns серверам, всех клиентов - на внутренние dns серверы (в том числе - и isa webproxy), и будет Вам счастье.

    И ещё одна тонкость: при перезпуски firewall service необходим перезапуск dns серверов, иначе их запросы не проходят. Причину такого поведения isa понимаю, но простить не могу. Но про это надо понмить. Если у Вас так или иначе перезапускается файрволл на isa, не забывайте делать рестарт и dns серверам.

    Ну и последнее: проверьте записи root серверов на Ваших dns серверах. Рекомендую пока что убить все ipv6 записи, оставить только ipv4.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    22 марта 2011 г. 6:50
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    29 марта 2011 г. 9:24