[решено] Низкая скорость загрузки страниц у клиентов чере Forefront TMG

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

Низкая скорость загрузки страниц у клиентов чере Forefront TMG

Приветствую!
Проблема может быть и избита но решения я так и не нашел.
Суть в корпоративной среде стоит TMG в домене включено проверка HTTPS, HTTPS inspector,vpn - 1 клиент, кэш - 2Гб, в данный момент чрез TMG работает 5 клиентов (для теста остальные выведены с него), при попытки открыть страницы в в сети проиходит следующая проблема страница загружается от 2х до 7 секунд.
Перекурил уже раз два три три и еще много.

на внешнем интерфейсе указаны внутренние 2 dns сервера, выключал логирование запросов (для теста результат тот же). Взываю всевышних (телепатов, отпуска заканчиваются должны выйти). очень нужна помощь.

вот что вещает nslookup

Код:

DNS request timed out.

    timeout was 2 seconds.

?хЁтхЁ яю єьюыўрэш?:  UnKnown

Address:  10.30.1.109

куда копнуть ?

Код:

?хЁтхЁ яю єьюыўрэш?:  forestdnszones.domain.com

Address:  10.30.1.109



>

а зачем на внешнем адресе указывать внутренние днс? убрать нафиг и оставить внутренний днс на внутреннем интерфейсе.
до кучи ipconfig/all с клиентов и сервера. ну и пересылка на внутреннем ДНС я так понимаю сделана?

Цитата:

Цитата ugara

оставить внутренний днс на внутреннем интерфейсе »

Ну и на внешнем интерфейсе прописать внешние DNS провайдера соответственно. Шлюз должен быть только на внешней карте.
ждем ipconfig'и :)

Цитата:

Цитата ugara

ну и пересылка на внутреннем ДНС я так понимаю сделана? »

да сделана но пересылка почему то не осуществляется т.к (смс скрин)

вот вывод ipconfig c DC

Код:

C:\Users\Администратор>ipconfig/all



Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : dc

   Основной DNS-суффикс  . . . . . . : domain.com

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : domain.com



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной

шины (Майкрософт)

   Физический адрес. . . . . . . . . : 00-15-5D-01-6C-00

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.30.1.109(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 10.30.1.186

   DNS-серверы. . . . . . . . . . . : 10.30.1.109

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер isatap.{4F3A8005-4A94-4FE0-A975-A15725A6CEF9}:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



Туннельный адаптер Teredo Tunneling Pseudo-Interface:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



C:\Users\Администратор>

вот собственно вывод с gateway

Код:

C:\Users\Администратор>ipconfig/all



Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : gateway

   Основной DNS-суффикс  . . . . . . : domain.com

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Да

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : domain.com



Ethernet adapter Подключение по локальной сети 3:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574

it

   Физический адрес. . . . . . . . . : 00-15-17-FA-D0-69

   DHCP включен. . . . . . . . . . . : Да

   Автонастройка включена. . . . . . : Да

   Локальный IPv6-адрес канала . . . : fe80::f403:4a30:d18:3b51%13(Устаре

   Основной шлюз. . . . . . . . . :

   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1

                                       fec0:0:0:ffff::2%1

                                       fec0:0:0:ffff::3%1

   NetBios через TCP/IP. . . . . . . . : Включен



Ethernet adapter Подключение по локальной сети 2:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Адаптер D-Link DFE-520TX PCI Fast

t

   Физический адрес. . . . . . . . . : 00-19-5B-FB-E2-E7

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.30.1.186(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . :

   DNS-серверы. . . . . . . . . . . : 10.30.1.109

   NetBios через TCP/IP. . . . . . . . : Включен



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82567

gabit

   Физический адрес. . . . . . . . . : 00-15-17-FA-D0-68

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : xx.xx.xx.xx(Основной)

   Маска подсети . . . . . . . . . . : xx.xx.xx.xx

   Основной шлюз. . . . . . . . . : xx.xx.xx.xx

   DNS-серверы. . . . . . . . . . . : xx.xx.xx.xx (провайдерский DNS)

                                       xx.xx.xx.xx (провайдерский DNS)

   NetBios через TCP/IP. . . . . . . . : Включен



Адаптер PPP RAS (Dial In) Interface:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : RAS (Dial In) Interface

   Физический адрес. . . . . . . . . :

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.30.1.103(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.255

   Основной шлюз. . . . . . . . . :

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер Teredo Tunneling Pseudo-Interface:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



C:\Users\Администратор>

На TMG установил внешние DNS'ы

Еще не понятно откуда на интерфейсе назначен RAS (Dial In) Interface т.к я го не назначал. в tmg разрешен DNS внутри локалки.

HappySmiley, а правило создано?( разрешающее обращение внутреннего днс сервера наружу по порту UDP 53)

да, конечно,

смотрю сейчас вот сюда вот а именно вот сюда но как то стремаюсь,
странно на gateway поднял роль dns-дополнительная зона, указал откуда что подтянуть зоны прямого и обратного просмотра с dc, подтяну нормально, и если я на gateway'e указываю сервер пересылки (провайдер(либо гугловский) dns то все зачетно проходит вот так

а с DC

как то опечалька,

Цитата:

Цитата Delirium

Это чего за запись с динамическим IP? Домашний интернет? »

Нет это еще одна сетевая плата в сервере на задействованная

Цитата:

Цитата Delirium

Если на DC выполнить nslookup - нормально отработает? Если нет - смотри внимательно настройки DNS, проверь службу на ошибки. »

выполняю nslookup на DC получаю

Код:

?хЁтхЁ яю єьюыўрэш?:  forestdnszones.domain.com

Address:  10.30.1.109



>

Цитата:

Ethernet adapter Подключение по локальной сети 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574
it
Физический адрес. . . . . . . . . : 00-15-17-FA-D0-69
DHCP включен. . . . . . . . . . . : Да

Это чего за запись с динамическим IP? Домашний интернет?

Сетевые подключения - дополнительно - какая сетевая карта стоит первой с списке обходов?

Если на DC выполнить nslookup - нормально отработает? Если нет - смотри внимательно настройки DNS, проверь службу на ошибки.

up, update post на почту пришел отчет во время моего редактирования я решил совместить. =)

HappySmiley, попробуйте поднимите правило №9 выше правила №7 и посмотрите будет ли работать пересылка на DC.

неа не помогло, помогло то что я выключил правило 5 skype и сразу же заработала пересылка на DC, отсюда вопрос, как же я без skype ?

Цитата:

Цитата Delirium

Ну и на внешнем интерфейсе прописать внешние DNS провайдера соответственно »

за это расстрел на месте.
HappySmiley,
1. уберите провайдерские DNS с внешнего интерфейса.
2. создайте правило:
allow - DNS - Internal - External - All users, поставьте его первым.
3. на ваших DNS серверах не нужно настраивать никакие перессылки - по дефолту работают root-servers.
4. не используйте сетевые адаптеры Dlink, тем более на серверах, тем более на TMG, у вас есть свободный интеловый порт.

завтра проведу реорганизацию по вашему совету, о результатах отпишусь!

Цитата:

Цитата cameron

1. уберите провайдерские DNS с внешнего интерфейса.
2. создайте правило:
allow - DNS - Internal - External - All users, поставьте его первым.
3. на ваших DNS серверах не нужно настраивать никакие перессылки - по дефолту работают root-servers.
4. не используйте сетевые адаптеры Dlink, тем более на серверах, тем более на TMG, у вас есть свободный интеловый порт. »

спасибо, выполнил да все забегало ровно, но до этого все забегало после того как я выключил у себя правило разрешающие работу skype, теперь отсюда вопрос, как разрешить правильно скайп ? ибо он не хочет работать.

Цитата:

Цитата HappySmiley

теперь отсюда вопрос, как разрешить правильно скайп ? ибо он не хочет работать. »

для работы скайпа требуется хотя бы 80(443) порт.
соотно вам следует разобраться с аунтификацией пользотелей на ТМГ, думаю проблема в этом.
подробней почему не работает скайп будет написано в monitoring-logging

ну аутентификация стандартно через AD = ), даже при открытии 80 (443) что то не бежит, в мониторе просто запрещено и все =(

Вернемся к корням, снова такая проблема. Не могу понять из-за чего, в журнале проскакивает вот что (см. скрин). у меня gateway весит на IP 10.30.1.186, а если я пингую этот же 10.30.1.103 то выдается имя шлюза, данный IP почему то присвоен на VPN интерфейс. ( на данный момент клиенты не подключены к VPN )

Цитата:

Цитата HappySmiley

Не могу понять из-за чего, в журнале проскакивает вот что (см. скрин). у меня gateway весит на IP 10.30.1.186, а если я пингую этот же 10.30.1.103 то выдается имя шлюза, данный IP почему то присвоен на VPN интерфейс. ( на данный момент клиенты не подключены к VPN ) »

ничего не поняла, знаки препинания, полный скрин, с кодами ошибок и наименованием столбцов, ipconfig клиента и сервера, трассировка с клиента.

сейчас не на месте в дороге, суть такова. отключил VPN на TMG все бегает отлично. вечерком отпишусь (скринами)

cameron
проблема решается только тогда когда я отключаю на TMG VPN, т.е после отключения VPN у пользователей пропадает проблема с загрузкой страниц.
Решил поступить так как вы посоветовали выдавать адреса VPN клиентам в ручную отличающиеся от основной сети. (см. скрин) При указании диапазона и применении настроек все нормально клиент получает адреса указанный в TMG, осталась проблема с маршрутизацией. как то не получается в маршрутах в forefront прописать маршруты из другой сети в основную. Направьте на путь.

Цитата:

Цитата HappySmiley

При указании диапазона и применении настроек все нормально клиент получает адреса указанный в TMG, осталась проблема с маршрутизацией. как то не получается в маршрутах в forefront прописать маршруты из другой сети в основную. Направьте на путь. »

сразу после того как вы раскроете свою проблему.
у меня сегодня телепатический модуль в ремонте.

Все началось с того что у пользователей медленно прогружались все сайты, окончательно проблема решилась тем что на TMG отключил VPN и тогда сайты начали открываться так как надо. Далее VPN все же остался необходим, и по рекомендации cameronбыло решено вывести клиентов VPN в отдельную сеть. http://forum.oszone.net/attachment.p...7&d=1347694916 , при этом нормально открываются страницы у пользователей, подключается VPN нормально но не доступны локальные сервисы(ресурсы), не получается на TMG настроить маршрутизацию из сети VPN в основную. вот такой путь джедая у меня. Как правильно прописать маршрут из Сети в VPN в основную сеть ?

а не нужно ничего настраивать дополнительного.
мне сложно телепатировать какие ресурсы и как недоступны.
покажите ipconfig /all с клиента
покажите tracert %имя_какого_нибудь_локального_ресурса%
покажите tracert %ИП_адрес_какого_нибудь_локального_ресурса%
покажите скрины правил FW TMG регламентирующие доступ VPN Clients в Internal
покажите скрины настроек Networks-Network Rules.

Я скорее все моросил, проблема решилась тем что я убирал галочку "Использовать основной шлюз в удаленной сети", в итоге все отрабатывает пока отлично. Единственный минус то что весь трафик идет через корпоративный шлюз т.е клиент не может воспользоваться своим домашним интернетом дома при конекте к VPN/

тогда я не поняла в чём сейчас проблема?

Уже во всем всем разобрался. спасибо =)