none
Forefront TMG периодически "теряет связь" RRS feed

  • Общие обсуждения

  • Всем привет!

    Имеется массив из двух TMG-серверов (TMG1 и TMG2), управляемый через EMS.

    Эти сервера используются для доступа в интернет сотрудников организации (порядка 2000 человек), а так же для публикации Exchange 2003 (OWA с RSA-аутентификацией, RPC-over-HTTPS) и OCS CWA.

    Балансировка осуществляется аппаратно (Cisco SLB).

    Так же один из серверов (TMG1) используется в качестве дефолтного маршрута в интернет в организации - через него идет трафик, не поддающийся проксированию и заворачиванию через Firewall Client. Здесь использовать балансировку не удалось (хз почему,  с сетевиками подробности не обсуждал), поэтому все SecureNAT идут только лишь через TMG1.

    Теперь - проблема. Недавно (а именно 4.06) TMG1 перестал вообще "видеть" сеть (сетевое соединение есть, но сам сервер на пинги не отвечает, хотя соответствующее правило включено, и с него пинги не идут) - соответственно, все SNAT-клиенты "курят бамбук". После перезагрузки сервера какое-то время все работает нормально, а потом снова внезапно "падает". Сам сервер при этом как будто бы "жив", его можно перезагрузить штатно. В алертах самого ТМГ и event log'ах я не нашел никаких ошибок, которые могли бы быть причиной такого странного поведения. Места на дисках достаточно, поэтому lockdown mode из-за нехватки места для логов вроде тоже можно исключить. Проблемы с аппаратными ресурсами тоже исключаются - оба TMG работают на виртуалках VMware vSphere 4.1 и под каждую из них отведено целое "лезвие", так что памяти и процессоров должно быть более чем достаточно. Сталкивался ли кто-нибудь с подобными проблемами, и может ли подсказать возможное решение, или хотя бы направление куда копать?

     

    ОС: Windows Server 2008 R2

    MS Forefront TMG 2010 SP1

    Запускается на vmware vsphere 4.1


    MVP: Virtual Machine
    • Изменен тип Yuriy Lenchenkov 27 июня 2011 г. 8:56 ошибка не повторяется
    6 июня 2011 г. 11:24

Все ответы

  • Похоже, что это все-таки Lockdown. Из-за чего еще может возникнуть lockdown, кроме проблемы с логами?

    С логами, на первый взгляд, все в порядке. Логи ведутся в SQL Express, файлы хранятся на отдельном диске, свободного места там еще очень много (порядка 200Гб).

    Причем проблемы начались только на одном сервере (TMG1). Может ли быть причиной "проседание" по производительности? Какие параметры нужно мониторить?


    MVP: Virtual Machine
  • Есть такая штука backlogged packets, есть счётчик, который может их показать. Если их много, то это плохо. На рост этого показателя влияют сторонние приложения для tmg.
  • Да, я заметил, что в моменты "падения" этот счетчик резко подскакивает - но это и нормально, в этом и суть lockdown mode.

    "Сторонних приложений" у меня нет.

    Мне надо найти корень проблемы - из-за чего происходит локдаун, потому и спросил про счетчики. Возможно, проблема в SQL Express, в которую пишутся логи?


    MVP: Virtual Machine
  • попробуй его выключить :).

    С помощью счётчиков производительности можно осуществить перезапуск службы, например routing and remote access. Часто это бывает достаточно. И быстрее чем перезагрузка.

    чаще всего корень - установка url и domain sets в правилах для secureNat клиентов с протоколами не http. забивается dns.


  • Выключить - кого?

    Перезапуск службы - да, это вариант. Но это костыль, а нужно именно решение проблемы.

     

    чаще всего корень - установка url и domain sets в правилах для secureNat клиентов с протоколами не http. забивается dns.

    А вот с этого момента - поподробнее. Особенно - как это может привести к lockdown?
    MVP: Virtual Machine
    7 июня 2011 г. 11:50
  • Alexander Kosivchenko, удалось ли вам победить tmg?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    15 июня 2011 г. 11:38
  • Пока что вроде перестало "падать". Сложно сказать, с чем это было связано. Советом про Domain Names Set и не-HTTP-трафик пока не пользовался - из-за большого количества банк-клиентов и всяких сервисных софтин, которые ломятся на всякие хитрые порты по своим хитрым протоколам.


    MVP: Virtual Machine
    15 июня 2011 г. 12:13