经验分享:因操作系统与TMG网络适配器配置信息未同步引发的网络访问故障

        前段时间在协助一家企业进行 TMG 的评估工作,大致的环境是在位于两个城市的中心机房各部署一套 TMG,并使用 PPTP 实现了 Site-to-Site VPN,从而将两地的 IT 环境相联。但是遇到了一系列的诡异问题,特与大家分享一下。

        初期的测试都是非常顺利的,但是在运行一段时间后,评估环境内的用户反应有某银行的网上银行站点无法访问,通过 Live Log 以及 Network Capture 对一系列访问数据进行分析发现 Live Log 中记录的都是 RST对方银行使用了某种网络优化手段,对子站点实施了线路优化,但是又有违常规,简单说当用户访问“http://www.xxxbank.com”时对应的是一个 IP 地址,但是当通过该站点页面访问二级目录“http://www.xxxbank.com/enterprise”时却会被重定向到另外一个 IP 地址上。

        利用 ping 等命令也做了简单的测试,发现“www.xxxbank.com”是别名解析,对应的是“www.lc.xxxbank.com”,而这个域名会自动识别用户 IP 来重定向到对应的另一个主机域名->网络 IP。这一系列的访问过程却让评估环境下的 TMG 用户出现了无法访问的故障,而这一故障并不是一直会重现,偶尔能够正常访问。当错误发生时在 Live Log 中能看到是因为 RST 相关的错误,此外在 TMG 本机访问银行是没有问题的,如果将客户端配置为 Web Proxy 便能恢复正常。

        而在另外一个城市的 TMG 环境下测试发现均未出现此类的故障。但是两地解析域名所得到的 IP 会有所不同,问题出在了哪里呢?!曾经与银行方面也联系过,未果!后来在微软技术支持工程师的帮助下了解到,TMG 在创建 Site-to-Site VPN 后,会将对端网络中的 DNS 作为本机的主 DNS,那么就会出现 TMG 本机上访问网站时得到的解析结果是 VPN 对端网络里的 DNS Server 给出的,而本地 TMG 后端的用户解析则是本地 DNS Server 给出的,其结果将会得到两个解析数据。

        之后在“路由和远程访问”中对 VPN 拨号连接进行了设置,将 TCP/IP 下的 DNS 手动改为 TMG 本地网中的 DNS Server 地址,随后的一段时间里访问看起来是“正常了”。

        果然,好景不长!评估环境的用户又反应访问某市公安局网站(也实施了线路优化)时无法访问,这次即使为客户端配置 Web Proxy 也无济于事,同时在 TMG 本机测试也无法访问,问题到底出在哪里了呢?!从早期检测到的 RST 未返回数据包到 FIN 三次握手失败等一系列的故障看,TMG 自身一定是存在问题。先后在多个 TMG 环境下对比测试,排除了 TMG 软件设计方面可能存在的不兼容问题,那么就要将注意力集中到这台 TMG 配置上。

        最后发现,在 TMG 网络适配器中,当前外网的网卡默认 IP 与操作系统的外网网卡默认 IP 不同(注:TMG 外网绑定了多个 IP 地址),问题可能就出在这里。当 TMG 访问外部时,可能使用系统配置的 IP 作为宿主,但是客户端访问时却使用了 TMG 配置的 IP,这有可能就是引发 RST 和 FIN 问题的最终原因。随后将两个配置信息重新修改一致后,所有的访问都恢复了正常,之前的故障未在出现!

        但是,引发数据不同步的原因一直不明,回忆之前的部署过程,有过两个管理员同时配置 TMG,而服务器也因为内存问题出现过故障,还导致 TMG 缓存配置与数据库不一致的问题。目前评估工作一直在进行着,最近又接到通知 TMG 在华停止销售,因为销售许可到期,不过听闻也许在五月底就能恢复销售!

        总之,TMG 作为一款受青睐的企业级的网络安全和加速产品,在华业务任重道远……

ISA/TMG Server | 评论(0) | 引用(0) | 阅读(9624)
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我