Приветствую!
Проблема может быть и избита но решения я так и не нашел.
Суть в корпоративной среде стоит TMG в домене включено проверка HTTPS, HTTPS inspector,vpn - 1 клиент, кэш - 2Гб, в данный момент чрез TMG работает 5 клиентов (для теста остальные выведены с него), при попытки открыть страницы в в сети проиходит следующая проблема страница загружается от 2х до 7 секунд.
Перекурил уже раз (http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/7d31ca96-b694-44d2-8eb0-9186b6fd5b40) два (http://social.technet.microsoft.com/Forums/ru/isaru/thread/2ded1a4a-ff80-4058-8a61-042f227ecff5) три (http://technet.microsoft.com/en-us/library/cc995245.aspx) три (http://support.microsoft.com/kb/2452980?FR=1) и еще много.

на внешнем интерфейсе указаны внутренние 2 dns сервера, выключал логирование запросов (для теста результат тот же). Взываю всевышних (телепатов, отпуска заканчиваются должны выйти). очень нужна помощь.

вот что вещает nslookup

DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ яю єьюыўрэш■: UnKnown
Address: 10.30.1.109
куда копнуть ?


╤хЁтхЁ яю єьюыўрэш■: forestdnszones.domain.com
Address: 10.30.1.109

>

а зачем на внешнем адресе указывать внутренние днс? убрать нафиг и оставить внутренний днс на внутреннем интерфейсе.
до кучи ipconfig/all с клиентов и сервера. ну и пересылка на внутреннем ДНС я так понимаю сделана?

оставить внутренний днс на внутреннем интерфейсе »
Ну и на внешнем интерфейсе прописать внешние DNS провайдера соответственно. Шлюз должен быть только на внешней карте.
ждем ipconfig'и :)

ну и пересылка на внутреннем ДНС я так понимаю сделана? »
да сделана но пересылка почему то не осуществляется т.к (смс скрин) http://s2.ipicture.ru/uploads/20120909/XsVz3Nd7.png
вот вывод ipconfig c DC
C:\Users\Администратор>ipconfig/all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc
Основной DNS-суффикс . . . . . . : domain.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.com

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной
шины (Майкрософт)
Физический адрес. . . . . . . . . : 00-15-5D-01-6C-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.30.1.109(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.30.1.186
DNS-серверы. . . . . . . . . . . : 10.30.1.109
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{4F3A8005-4A94-4FE0-A975-A15725A6CEF9}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\Администратор>
вот собственно вывод с gateway
C:\Users\Администратор>ipconfig/all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : gateway
Основной DNS-суффикс . . . . . . : domain.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.com

Ethernet adapter Подключение по локальной сети 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574
it
Физический адрес. . . . . . . . . : 00-15-17-FA-D0-69
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::f403:4a30:d18:3b51%13(Устаре
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер D-Link DFE-520TX PCI Fast
t
Физический адрес. . . . . . . . . : 00-19-5B-FB-E2-E7
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.30.1.186(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.30.1.109
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82567
gabit
Физический адрес. . . . . . . . . : 00-15-17-FA-D0-68
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : xx.xx.xx.xx(Основной)
Маска подсети . . . . . . . . . . : xx.xx.xx.xx
Основной шлюз. . . . . . . . . : xx.xx.xx.xx
DNS-серверы. . . . . . . . . . . : xx.xx.xx.xx (провайдерский DNS)
xx.xx.xx.xx (провайдерский DNS)
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.30.1.103(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\Администратор>
На TMG установил внешние DNS'ы

Еще не понятно откуда на интерфейсе назначен RAS (Dial In) Interface т.к я го не назначал. в tmg разрешен DNS внутри локалки.

HappySmiley, а правило создано?( разрешающее обращение внутреннего днс сервера наружу по порту UDP 53)

да, конечно, http://s2.ipicture.ru/uploads/20120909/h87TVvKg.png
смотрю сейчас вот сюда вот (http://forum.oszone.net/thread-196476-2.html) а именно вот сюда (http://forum.oszone.net/post-1590568-13.html) но как то стремаюсь,
странно на gateway поднял роль dns-дополнительная зона, указал откуда что подтянуть зоны прямого и обратного просмотра с dc, подтяну нормально, и если я на gateway'e указываю сервер пересылки (провайдер(либо гугловский) dns то все зачетно проходит вот так http://s2.ipicture.ru/uploads/20120909/3RNUO6Y2.png а с DC http://s2.ipicture.ru/uploads/20120909/XsVz3Nd7.png как то опечалька,


Это чего за запись с динамическим IP? Домашний интернет? »
Нет это еще одна сетевая плата в сервере на задействованная
Если на DC выполнить nslookup - нормально отработает? Если нет - смотри внимательно настройки DNS, проверь службу на ошибки. »
выполняю nslookup на DC получаю

╤хЁтхЁ яю єьюыўрэш■: forestdnszones.domain.com
Address: 10.30.1.109

>

Ethernet adapter Подключение по локальной сети 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574
it
Физический адрес. . . . . . . . . : 00-15-17-FA-D0-69
DHCP включен. . . . . . . . . . . : Да
Это чего за запись с динамическим IP? Домашний интернет?

Сетевые подключения - дополнительно - какая сетевая карта стоит первой с списке обходов?

Если на DC выполнить nslookup - нормально отработает? Если нет - смотри внимательно настройки DNS, проверь службу на ошибки.

up, update post (http://forum.oszone.net/post-1985514-6.html) на почту пришел отчет во время моего редактирования я решил совместить. =)

HappySmiley, попробуйте поднимите правило №9 выше правила №7 и посмотрите будет ли работать пересылка на DC.

неа не помогло, помогло то что я выключил правило 5 skype и сразу же заработала пересылка на DC, отсюда вопрос, как же я без skype ?

Ну и на внешнем интерфейсе прописать внешние DNS провайдера соответственно »
за это расстрел на месте.
HappySmiley,
1. уберите провайдерские DNS с внешнего интерфейса.
2. создайте правило:
allow - DNS - Internal - External - All users, поставьте его первым.
3. на ваших DNS серверах не нужно настраивать никакие перессылки - по дефолту работают root-servers.
4. не используйте сетевые адаптеры Dlink, тем более на серверах, тем более на TMG, у вас есть свободный интеловый порт.

завтра проведу реорганизацию по вашему совету, о результатах отпишусь! Только без растерла в целях эксперимента dns были прописаны на интерфейсы.

1. уберите провайдерские DNS с внешнего интерфейса.
2. создайте правило:
allow - DNS - Internal - External - All users, поставьте его первым.
3. на ваших DNS серверах не нужно настраивать никакие перессылки - по дефолту работают root-servers.
4. не используйте сетевые адаптеры Dlink, тем более на серверах, тем более на TMG, у вас есть свободный интеловый порт. »
спасибо, выполнил да все забегало ровно, но до этого все забегало после того как я выключил у себя правило разрешающие работу skype, теперь отсюда вопрос, как разрешить правильно скайп ? ибо он не хочет работать.

теперь отсюда вопрос, как разрешить правильно скайп ? ибо он не хочет работать. »
для работы скайпа требуется хотя бы 80(443) порт.
соотно вам следует разобраться с аунтификацией пользотелей на ТМГ, думаю проблема в этом.
подробней почему не работает скайп будет написано в monitoring-logging

ну аутентификация стандартно через AD = ), даже при открытии 80 (443) что то не бежит, в мониторе просто запрещено и все =(

Вернемся к корням, снова такая проблема. Не могу понять из-за чего, в журнале проскакивает вот что (см. скрин). у меня gateway весит на IP 10.30.1.186, а если я пингую этот же 10.30.1.103 то выдается имя шлюза, данный IP почему то присвоен на VPN интерфейс. ( на данный момент клиенты не подключены к VPN )

Не могу понять из-за чего, в журнале проскакивает вот что (см. скрин). у меня gateway весит на IP 10.30.1.186, а если я пингую этот же 10.30.1.103 то выдается имя шлюза, данный IP почему то присвоен на VPN интерфейс. ( на данный момент клиенты не подключены к VPN ) »
ничего не поняла, знаки препинания, полный скрин, с кодами ошибок и наименованием столбцов, ipconfig клиента и сервера, трассировка с клиента.

сейчас не на месте в дороге, суть такова. отключил VPN на TMG все бегает отлично. вечерком отпишусь (скринами)

cameron
проблема решается только тогда когда я отключаю на TMG VPN, т.е после отключения VPN у пользователей пропадает проблема с загрузкой страниц.
Решил поступить так как вы посоветовали выдавать адреса VPN клиентам в ручную отличающиеся от основной сети. (см. скрин) При указании диапазона и применении настроек все нормально клиент получает адреса указанный в TMG, осталась проблема с маршрутизацией. как то не получается в маршрутах в forefront прописать маршруты из другой сети в основную. Направьте на путь.

При указании диапазона и применении настроек все нормально клиент получает адреса указанный в TMG, осталась проблема с маршрутизацией. как то не получается в маршрутах в forefront прописать маршруты из другой сети в основную. Направьте на путь. »
сразу после того как вы раскроете свою проблему.
у меня сегодня телепатический модуль в ремонте.