|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Web proxy filter в TMG2010.SP1 |
|
|
Web proxy filter в TMG2010.SP1
|
|
Ветеран Сообщения: 630 |
Народ, подскажите кто - что может.
Система: TMG2010 SP1 std (+ заплатки) установлен в виртуальной машине Hyper-V R2 в составе кластера, который крутится на Blade-серверах HP. При использовании для пользователей правила доступа с протоколом HTTP некоторые сайты не открываются, например, ca.deltapay.ru, при этом многие другие открываются, например, ya.ru. При доступе на проблемные сайты TMG выдет ошибку 64. Смотрел логи TMG - по какой-то причине от вдруг решает закрыть соединение...  Долго ковырял что может быть... отключал NIS, Malware, flood mitigation и т.п. отключал все web фильтры... никак. Глюк исчезает, если доступ пользователю открывать не через стандартный протокол HTTP, а через переопределенный, в котором отключен web proxy filter (+ ниже стоит дополнительное правило запрета с теми же параметрами). Однако при этом перестает работать доступ через proxy, и возможна работа только SecureNET (что не вполне приемлемо). Долго пытался понять в чем дело... поставил NM 3.4 - обнаружил, что часть пакетов на удаленный сайт просто не доходит (в логах идет retransmit)... более того появляются двойные (идентичные) ASK пакеты с интервалом в 0,1 - 0,2 мс! Как ни странно пакеты с флагами Fin проходят - поэтому TMG считает, что соединение было закрыто чисто. Часто проскакивают входящие дубли ACK-SYN (с тем же нереальным интервалом, хотя RTT до ya.ru - около 40 мс). Но такие дубли и потери происходят только в случае web proxy filter, если его отключить, то картина кардинально меняется и все летает. ping ya.ru -l 1500 -успешно, хотя есть и потери (смотрел NM - видно что в проблемных ping-ах из 3х пакетов ответа приходят только 2). ping google.ru -l 1500 -n 100 - успешно без потерь. Идентичная картина наблюдается, если размер ping увеличить до 15000 - google - без потерь, ya.ru - с потерями до 30%. pingpath ya.ru - показывает что ни одного пакета не потеряно ни на одном из шлюзов. TMG подключен к cisco, между ними MTU=1500, MTU провайдера = 1492 (отсюда 3 обратных пакета на один ping -l 1500). Но не похоже, чтобы проблема была в MTU, т.к. пакеты, по которым шлюз выполняет retransmit не превышают 600-700 байт. Cisco настроен маршрутизатором (внутренняя подсеть на 8 публичных адресов). Входящий фильтр на внешнем интерфейсе cisco разрешает все пакеты в маршрутизируемую подсеть. Что посоветуете? Как победить web proxy filter?... Пока нет советов, буду копать в сторону L2 (т.е. постараюсь убедиться, что на уровне frame сеть работает четко). |
|
|
Отправлено: 22:44, 08-01-2011 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Proxy , посоветуйте хороший Proxy Checker, а то их как то мало и | fancytux | Хочу все знать | 3 | 07-11-2010 09:21 | |
| Proxy/NAT - Как через Proxy сервер запускать приложения которые не поддерживают Proxy | marader | Сетевые технологии | 3 | 27-05-2010 00:39 | |
| iProtectYou Web Filter 8.6.3 | OSZone Software | Новости программного обеспечения | 0 | 24-04-2010 18:30 | |
| Web Proxy RDP (RDP over HTTPS) server 2003 | merdzd | Microsoft Windows NT/2000/2003 | 1 | 03-04-2009 17:33 | |
| Filter | khvalera | Программирование и базы данных | 4 | 26-05-2003 10:41 | |
|
|
Время: 03:23. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
