[__sa__nya]

По соображениям безопасности файлы записи трафика убрал. При следующем появлении проблемы смогу снять показания и выложить. Есть у кого идеи без файлов сетевого монитора?

[__sa__nya]

Lonely_Mouse, по установке Flow Control и Task Offload.
- На внешней сетевухе таких параметров нет вообще, на внутренней есть только "Flow Control", его выключил. Слежу за полетом.

[IT Shepherd]

__sa__nya, беглый анализ лога сервера показал, что ступор происходит на прикладном уровне сетевой модели TCP\IP. Если говорить конкретно, то не происходит SSL\TLS рукопожатия. Я рассмотрел работу с почтовым сервером клиента 2.66.

1. Клиент и почтовый сервер проходят TCP рукопожатие и устанавливают TCP соединение.
2. Клиент отправляет сообщение Client Hello как первоначальный шаг в процедуре SSL\TLS рукопожатия. Видно, что данный пакет уходит с "внешней" карты шлюза.
3. ..... а в ответ - тишина. Почтовый сервер должен ответить сообщениями Server Hello, Certificate и т.д., но не делает этого.
4. Клиент повторяет запрос Client Hello до тех пор, пока не сбрасывает TCP соединение.
5. Затем устанавливает с сервером TCP соединение заново, пройдя процедуру рукопожатия и все пошло по кругу.

На основании этого я делаю вывод, что что-то не так с самим сервером. Это не ошибка конфигурации или сертификата, в этом бы случае сервер отвечал ошибкой, а не молчал. Можно предположить, что пакеты теряются где-то по дороге, но в таком случае трудно объяснить почему с завидным постоянством устанавливается TCP соединение с сервером.

Конечно, мое предположение о проблеме на стороне сервера не объясняет проблему с TeamViewer'ом или FTP, но я не видел сетевой лог работы с ними.

Поскольку, на мой взгляд, проблема с почтовым сервером внешняя, рекомендую обратиться в службу поддержки хостера, чтобы они посмотрели на своей стороне что происходит.

[__sa__nya]

IT Shepherd, проблема не с почтовым сервером, т.к.:
1. В момент проблемы к почтовому серверу можно подключаться без проблем с интернет-сервера
2. Если в момент проблемы я быстро меняю для офиса выход в интернет вместо интернет-сервера на шлюз (т.е. к модему подключаю шлюз, например Zyxel Keenetik Omni, которому назначаю адрес локальной сети такой же как у сервера, шлюз подключаю к интернету, сервер от локалки отключаю) - проблема сразу уходит. Подключаю интернет-сервер обратно - проблема появляется
3. В момент проблемы к почтовому серверу можно без проблем подключиться с любой другой точки вне нашего офиса
4. В момент проблемы в офисе, к почтовому серверу можно подключиться не по шифрованному протоколу.

IT Shepherd, После того как я изменил подключение к FTP с шифрованного канала на нешифрованный, и проблема повторилась, у меня создалось впечатление, что на интернет-сервере (в операционке, или где-то в оборудовании) есть какие-то рамки, ограничения что-ли, и вот когда они каким-то образом достигаются, происходит проблема, т.к. теперь видно что проблема не только в шифрованных соединениях, если бы так было, то в момент проблемы доступ к FTP был, а его нет.
Что думаете?

[IT Shepherd]

__sa__nya, вы можете вспомнить, после чего или при каких обстоятельствах возникла эта проблема?

Цитата __sa__nya:

у меня создалось впечатление, что на интернет-сервере (в операционке, или где-то в оборудовании) есть какие-то рамки, ограничения что-ли, и вот когда они каким-то образом достигаются, происходит проблема, т.к. теперь видно что проблема не только в шифрованных соединениях, если бы так было, то в момент проблемы доступ к FTP был, а его нет. Что думаете? »

Возможно, но возникает вопрос: Почему эти "рамки" действуют только на определенные соединения? Тем более, как я написал, TCP соединение устанавливается без проблем, проблема возникает на прикладном уровне. К тому же, если верить логам, запрос на установку безопасного соединения уходит с внешней карты шлюза.
Пока для меня это не понятно, попробую найти время, чтобы посмотреть логи более детально.

Тем не менее, попробуйте использовать встроенные в Win 2008 инструменты для отслеживания производительности для определения узкого места в системе.

И еще, я бы попробовал заменить карту Realtek RTL8139/810x Family Fast Ethernet на что-то другое.

[__sa__nya]

Цитата IT Shepherd:

__sa__nya, вы можете вспомнить, после чего или при каких обстоятельствах возникла эта проблема? »

IT Shepherd, первый раз эта проблема возникла после того как сменили Интернет-провайдера для основного интернет-канала+ начали выходить в интернет вместо шлюза через имеющийся интернет-сервер.
Было раньше:
1. 2 интернет-канала.
2. 1 интернет-Канал подключен через ADSL-модем к интернет-серверу, сервер является держателем зоны для ДНС-имени, FTP-сервером, так же являлся шлюзом для выхода в интернет для тех клиентов в сети, которым не нужна была высокая исходящая скорость.
3. 2 интернет-Канал подключен через интернет-шлюз Zyxel Keenetic Omni к более быстрому интернет-каналу, который офис использовал для выхода в интернет.
4. каналы подавали 2 разных провайдера
5. Провайдер подающий канал по DSL, смог подать канал по оптике, в итоге что имеем сейчас:
- от 2 интернет-канала отказались, убрали шлюз Zyxel Keenetic Omni
- 1 интернет-канал провайдер заменил на оптику, в офис заходит оптоволокно, стоит модем провайдера, к модему подключен интернет-сервер, сейчас весь офис выходит в интернет через него.
6. Примерно через пару недель после "переезда" на новый интернет-канал началась данная проблема.

Сначала грешил на Интернет-провайдера или на его модем для оптоволокна, но, рассудив логически, провайдера отбросил, т.к.
1. В момент проблемы с самого интернет-сервера можно получить доступ к ресурсам, к которым не имеют доступа клиенты локальной сети
2. В момент проблемы отключение модема провайдера на 3 минуты, перезагрузка модема не решают проблему, решает только выключение интернет-сервера
3. В момент проблемы подключение вместо интернет-сервера интернет-шлюза решает проблему.

Цитата IT Shepherd:

Почему эти "рамки" действуют только на определенные соединения? »

- тоже думал об этом, думаю потому что эти "рамки" действуют на определенное количество соединений к одному целевому адресу. Т.е, например, весь офис - 40 компов, одновременно не работает с сайтом mail.ru, kaspersky.ru и т.д., но одновременно работает с FTP, корпоративной почтой, причем интенсивно, и вот эта интенсивность может что-то где-то "ломает". Может как-то так.

Цитата IT Shepherd:

Тем не менее, попробуйте использовать встроенные в Win 2008 инструменты для отслеживания производительности для определения узкого места в системе. »

Дело в том, что в момент проблемы на самом интернет-сервере загрузки на процессор, память, диск, сетевухи нет...

Цитата IT Shepherd:

И еще, я бы попробовал заменить карту Realtek RTL8139/810x Family Fast Ethernet на что-то другое. »

Попробую. Но, кажется, ничего не даст:
- Не могу спорить насчет производительности этих карточек, но в плане безглючности в моей практике они самые лучшие. В них зашито минимум настроек, да, скорость не гигабитная, но зато работают, не создавая никаких проблему
- Интернет сервер когда менял, со старого, кроме дисков, ничего не брал, т.е. получается карточки уже заменены.

IT Shepherd, и еще:
1.

Цитата IT Shepherd:

1. Клиент и почтовый сервер проходят TCP рукопожатие и устанавливают TCP соединение. 2. Клиент отправляет сообщение Client Hello как первоначальный шаг в процедуре SSL\TLS рукопожатия. Видно, что данный пакет уходит с "внешней" карты шлюза. 3. ..... а в ответ - тишина. Почтовый сервер должен ответить сообщениями Server Hello, Certificate и т.д., но не делает этого. 4. Клиент повторяет запрос Client Hello до тех пор, пока не сбрасывает TCP соединение. 5. Затем устанавливает с сервером TCP соединение заново, пройдя процедуру рукопожатия и все пошло по кругу. »

- можете написать номера строк в трафике, хочу глянуть эти моменты, чтобы понять для себя о чем речь.
- вот ссылка на захват трафика по почте с клиента 192.168.2.48 на сервер 188.40.77.142, когда проблемы нет (зашел на стартовую страницу почтовика), выполнил вход в систему, проверил почту). Я просто почти не имею опыта с сетевым монитором, в отличие от вас, может сравнение логов в момент проблемы и когда проблемы нет, могут дать какие-то мысли...

PS: у меня уже была мысль опять сделать выход в интернет через шлюз Zyxel Keenetic Omni, а с него просто подключения по нужным портам перенаправлять на интернет-сервер (DNS, FTP, и еще около 15 важных подключений к службам локальной сети), но столкнулся с проблемой: Zyxel Keenetic Omni не перенаправляет соединения по нужным мне портам...

[IT Shepherd]

Цитата __sa__nya:

думаю потому что эти "рамки" действуют на определенное количество соединений к одному целевому адресу. Т.е, например, весь офис - 40 компов, одновременно не работает с сайтом mail.ru, kaspersky.ru и т.д., но одновременно работает с FTP, корпоративной почтой, причем интенсивно, и вот эта интенсивность может что-то где-то "ломает". Может как-то так. »

В логе клиента (2.48) видно, что он не может установить SSL-соединение с хостом go.trouter.io
Насколько я понял, этот хост каким-то образом связан с почтой от Microsoft. Не думаю, что все пользователи также одновременно работают с этой почтой.

Цитата __sa__nya:

но столкнулся с проблемой: Zyxel Keenetic Omni не перенаправляет соединения по нужным мне портам... »

Попробуйте pfSense в качестве шлюза. Это не займет много времени разобраться с базовой настройкой.

[__sa__nya]

Цитата IT Shepherd:

В логе клиента (2.48) видно, что он не может установить SSL-соединение с хостом go.trouter.io »

- это в логе в момент проблемы или в логе когда проблемы нет?

Цитата IT Shepherd:

Попробуйте pfSense в качестве шлюза. »

Пока не могу рассмотреть данный вариант.
Мне бы решить причину моей проблемы в моей имеющейся инфраструктуре.

[IT Shepherd]

Цитата __sa__nya:

это в логе в момент проблемы или в логе когда проблемы нет? »

В момент проблемы. Вы разве выкладывали логи в момент когда проблемы нет?

[__sa__nya]

Цитата IT Shepherd:

Вы разве выкладывали логи в момент когда проблемы нет? »

- мой 37-й пост когда проблемы нет, с интернет-сервера.