Проблемы с Forefront TMG
 

Решили поставить Forefront TMG
Сервер используется как основной шлюз для внутренней сети. Так же к нему коннектятся удаленные пользователи по VPN.
Все замечательно, все настроили - но возникают следующие очень серьезные проблемы, а именно:
Очень часто перестает пускать пользователей из внутренней сети в интернет ( ошибка 407 ) требует вручную аутентифицироваться, перезагрузка TMG помогает решить эту проблему не на долго (на пару-тройку часов).
Так же не дает приконнектится удаленным пользователям, ( ошибка 812 ) тоже связанная с аутентификацией.
Если я правильно понимаю, проблема аутентификации на сервере ISA/TMG может возникать либо из-за неправильных настроек способов аутентификации или из-за проблемы со связью с контроллером домена. (?)
После обнаружения проблемы с аутентификацией, я по RDP свободно захожу на TMG (иногда авторизация длится до 10 минут), просматривая правила межсетевого экрана и непосредственно список юзеров кому, например, разрешен доступ по HTTP - обнаруживаю вместо логинов - SSIDы (после перезагрузки все приходит в норму).
Прошу помочь в методах решении данной проблемы.

Вывод ipconfig /all с TMG и КД покажите.

Домен контроллер:

Имя компьютера . . . . . . . . . : DC
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain.local

LocalNET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
Физический адрес. . . . . . . . . : 00-13-D4-30-B5-25
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.192.10.6
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз . . . . . . . . . . : 172.192.10.1
DNS-серверы . . . . . . . . . . . : 172.192.10.6
172.192.10.7
Основной WINS-сервер . . . . . . : 172.192.10.6




TMG:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : HUNTER
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.local

Ethernet adapter LAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Con
troller
Физический адрес. . . . . . . . . : 90-E6-BA-F8-A7-D0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.192.10.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 172.192.10.6
172.192.10.7
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter WAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : ASUS NX1101 Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-23-15-11-EC-A8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : ip-address1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
IPv4-адрес. . . . . . . . . . . . : ip-address2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
IPv4-адрес. . . . . . . . . . . . : ip-address3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
IPv4-адрес. . . . . . . . . . . . : ip-address4(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
IPv4-адрес. . . . . . . . . . . . :ip-address5(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз. . . . . . . . . : ISP Gateway
DNS-серверы. . . . . . . . . . . : DNS ISP Gateway 1
DNS ISP Gateway 2
NetBios через TCP/IP. . . . . . . . : Отключен

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.192.11.201(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Отключен

Адаптер PPP Филиал 1:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Филиал 1
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.10.253(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер PPP Филиал 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Филиал 2
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Отключен

Адаптер PPP Филиал 3:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Филиал 3
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.253(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Отключен

up up up

Зачем в локальной сети использовать public адреса?
Убираем записи DNS с внешних интерфесов, оставляем запись на внутреннем интерфейсе указывающей на КД. На КД настраиваем DNS сервер на пересылку запросов на сервер провайдера.

Спасибо, вроде помогло.