Низкая производительность Forefront TMG

Здравствуйте! Сервер 2 процессора intel xeon e5405 2 Ггц., Оп 2 Гб, Hdd sas raid1. Стоял на нем isa 2006 ee. В плане производительности вполне устраивал. Недавно поставили на этот сервер Ms Forefront TMG, дабы воспользоваться его новыми функциями. Бы неприятно удивлен когда заметил, что при его испольщзовании некоторые страницы у пользователей открывались только после 3-4 секундной задержки. Отключение url фильтрации и проверки на наличие вред программ не помогло. Добавление еще 2 Гб ОП ситуацию не исправило. Правили были перенесены из isa сервер. Данная задержка наблюдается когда и инет через tmg ходят как 2 пользователя так и 100 пользователей. Может кто сталкивался с такой проблемой? Или Forefront TMG по определению работает медленнее чем isa?

тмг по определению более требователен чем иса (хотя б размеры дистрибов сравни :)) но на таком железе для такого кол-ва пользователей разницы быть не должно. в такие моменты в логах есть что нить нехорошее? с dns все ок?

А ТМГ-шный сервис проц сильно грузит ?
(у меня 0-3%)
Левый софт на серваке стоит ?

Dave:

А ТМГ-шный сервис проц сильно грузит ?
(у меня 0-3%)
Левый софт на серваке стоит ?

1. нет. 

2. нет .

burned:

тмг по определению более требователен чем иса (хотя б размеры дистрибов сравни :)) но на таком железе для такого кол-ва пользователей разницы быть не должно. 

1. в такие моменты в логах есть что нить нехорошее?

2. с dns все ок?

1. Открываю вконсоли "Ведение журнала". Фильтрую запросы в реальном времени по ip клиента, смотрю результаты и здесь возникает несколько вопросов:
1.1. В столбце "Результат проверки NIS" стоит заблокировано причем это в get запросах на граф файлы. Эти графические файлы загружаются точно и отбражаються на экране клиентского ПК. Что означает этот статус.
2.2. Клиент ходит в инет по правилу, которое не использует категории url адресов в качестве источников назначения. Однако при просмотре журнала в одноименном столбце отображается та самая категория. Логично преположить, что forefront обращается к службам репутации microsoft при КАЖДОМ запросе пользователя - а на это уходит определенное время. Причем фильтрацию url адресов нельзя отключить на уровне определенного правила, как проверку наличия вредоносных программ. Почему этого нельзя сделать?

 2. DNS сервер тут не при чем. При использовании другого шлюза с этим же dns страницы открываются быстро. Траф между КД и Forefront разрешен полностью. Пользователи ходят в инет под анонимами.

Замечено что скорость открытия страниц значительно замедляется, когда "опыхают" основные процессы forefront tmg:
sqlservr.exe
wspsrv.exe
Увеличение любого из них до 1.5 Гб приводит к сильным тормозам.
Что делать?
Помогает перезапуск служб... временно. Аппетит sqlservr.exe я ограничил 1Гб (osql -S %computername%\MSFW...).
А как быть со вторым процессом - не знаю.

less_58:

Замечено что скорость открытия страниц значительно замедляется, когда "опыхают" основные процессы forefront tmg:
sqlservr.exe
wspsrv.exe
Увеличение любого из них до 1.5 Гб приводит к сильным тормозам.
Что делать?
Помогает перезапуск служб... временно. Аппетит sqlservr.exe я ограничил 1Гб (osql -S %computername%\MSFW...).
А как быть со вторым процессом - не знаю.

 

1. Опухание sqlserver.exe - верный признак активной деятельности MS SQL сервера. Если он у тебя ТОЛЬКО под журнал ISA работает => идет хренова туча запросов к ISA. И неудивительно, что проседает производительность.

2. Опухание wspsrv.exe верный признак охеренных DOMAIN-URL сетов и, возможно, этого же завала запросами. Нефиг, короче.

 

1. кол-во одновременных сеансов не превышает 100. Иса работала с таким же количеством. Делать то что?
2. Да. Политика доступа к сайтам пользователей предприятия строиться на наборах url-адресов. так же было и с исой. Что значит "нефиг"?

По идее, количество URL и Domain Name сетов не должно влиять на производительность сервера.
На прошлой работе у меня ISA 2006 жила на 3-м пне с гигом оперативы. URL и DNS-сетов было около 2 миллионов.
И никаких тормозов.
Верней тормоза были, но только после нажатия Apply (т.е. очень долго применялись изменения в настройках... до 15 минут).
Попробуй поднять ТМГ на другом компе... или на виртуалке. Сделай там копию существующего сервера... но только ручками.
Может дело и не в ТМГ... может дело в винде... а может просто ТМГ криво установился...
Причина может быть где угодно.

По сообщению  41375 может кто-нибудь высказаться?

Dave:

По идее, количество URL и Domain Name сетов не должно влиять на производительность сервера.
На прошлой работе у меня ISA 2006 жила на 3-м пне с гигом оперативы. URL и DNS-сетов было около 2 миллионов.
И никаких тормозов.
Верней тормоза были, но только после нажатия Apply (т.е. очень долго применялись изменения в настройках... до 15 минут).
Попробуй поднять ТМГ на другом компе... или на виртуалке. Сделай там копию существующего сервера... но только ручками.
Может дело и не в ТМГ... может дело в винде... а может просто ТМГ криво установился...
Причина может быть где угодно.

У Меня их около 200. Прежде чем ставить TMG на рабочее железо ставил на виртуалку. с тех же дистрибутивов. Парвда памяти там было 1 Гб и 4 ядра только. Работало достаточно медленно. На тот момент списал на нехватку ОП.

В настройках Configure Flood Mitigation Settings попробуй снять галку Log traffic blocked by flood mitigation...
Или вообще, временно отключить логирование FW и прокси сервисов.

Dave:

В настройках Configure Flood Mitigation Settings попробуй снять галку Log traffic blocked by flood mitigation...
Или вообще, временно отключить логирование FW и прокси сервисов.

Простите, а логирование FW и прокси сервисов отключаются в разделе сетевых правил льдельно для каждого их них?

Слева в оснастке - Logs & Reports - и там справа в оснастке - Configure Logging

Спасибо но это не помогло. Заметил что снижение производительности наблюдается при увеличении потребляемой памяти процессом wspsrv.exe до 1Гб. как бороться с этим увеличение потребления не знаю.