Падает правило почты в Forefront TMG 2010
 

Добрый день! Есть виртуальный шлюз на 2008 Р2 64 сервере под управлением Forefront TMG 2010. Все было настроено до меня, правила разрешают проброс портов Цитрикс, ВПН, почты, шерпоинт, РДП, и т.п Все прекрасно работало пару лет, но этим летом неожиданно появилась странная проблема. В Форфронт несколько правил почты, через которые осуществлен доступ к внутренним ресурсам почтового сервера. Суть - все прекрасно работает, но в один прекрасный момент "падает" одно из правил почты. Не знаю как это правильно описать, ведь само правило не может упасть. Это правило обрабатывало запросы на https://mail.domain.ru/ по путям /OWA/, /public/, /Exchange/, /ecp/. Есть пользователи, которые заходят с внешки на ОВА. Жалуются - почта по ОВА недоступна, заходим в правило - тестируем, вместо четырех зеленых галок, красные кресты. Остальные правила почты и не только тестируем - все доступно, все прекрасно работает на внешке. Внутри все работает всегда. Казалось бы все ясно - проблема с сервером почты, но ковыряния и перезагрузка почтового сервера ничего не меняют, он все равно недоступен по ОВА с внешки. Но стоит перезагрузить шлюз или службу Межсетевой экран Форфронт ТМГ, как все правила СНОВА РАБОТАЮТ. Пробовал в качестве бреда разделить на два правила - 1 ОВА, 2 все остальные - оба правила при тестировании дают красные кресты, также пробовал давать серверу 4 ядра и 4 гига памяти - ничего не меняется. Все работает сутки, двое, трое, потом снова падает. Ночью не падает, только днем, но не каждый день, приходится перегружать службу межсетевого экрана. Это вызывает паралич работы на пару минут.

Прошу помощи, подсказки куда копать. Знаний не хватает, как может неизменно работавшее пару лет и без изменений падать одно правило и почему? Прошу прощения за странное описание, копания в событиях не дают ответа, из подозрительного там периодически возникает только

Не удалось удалить интерфейс {0C1F00A9-8236-48F4-9711-58918A79C280} из диспетчера маршрутизации для протокола IPV6. Произошла следующая ошибка: Не удается завершить выполнение функции.

Фильтрация пакетов IPv6 отключена. Статические фильтры, настроенные для службы маршрутизации и удаленного доступа, применяться не будут.

Отключение, включение ИПв6 не меняют ничего. Удаление правил, создание их копий ничего не меняют. Удаление сертификата и импорт по-новой не меняют ничего. Еще два правила почты в которых указан доступ к https://mail.domain.ru/ по путям /AutoDiscover/, /rpc/, /OAB/, /ews/, /ActiveSync/ в эти моменты работают нормально, тестирование дает зеленые галки. Сервер почты со шлюза пингуется. Сертификат был обновлен 10.2013 и действует по 10.2015. Все обновления на сервере установлены.
Уважаемые гуру, прошу помощи!(

volker, у меня была похожая ситуация в прошлом году с периодическим падением интернета. Перезагрузка временно помогала. Причина оказалась в обновлении KB2888049. После удаления этого обновления проблема исчезла.
https://social.technet.microsoft.com...r-october-2013
Возможно, в Вашем случае причина может быть в установленном летом обновлении для Windows 2008 R2.

Спасибо, но у меня падает не сам инет, а только отключается одно правило(вернее то, что это правило открывает). Все работает, но ОВА извне недоступно, в локалке все работает.

Итак, краткий итог. Пока 12 дней все работает без сбоев. Изменения, который были сделаны до стабилизации: отключены обновления, виртуалке даны 4 ядра, 3 гига, закрыты входящие на РДП отовсюду, кроме ключевых АйПи, переназначены сетевые реквизиты интерфейсов(один ДНС на внешнем интерфейсе изменен с внутреннего на внешний).

Итак, краткий итог за несколько лет. Недавно наш шлюз ломанула жесткая вирусня(или хакеры) и прописалась там на постоянку жить. После выхода из отпуска я выкупил наличие посторонних и начал попытки выжить нечисть. Нечисть искоренилась, но вместе с ней перестал работать Форфронт. Переустанавливать не хотелось. Рабочий снепшот был только один, при возврате к нему выяснилось, что он сделан как раз когда началась вышеописанная в топике фигня))). Но сча я уже не такой зеленый и сначала сделав те же действия(типо попинать по колесу и протереть лобовуху), понял - дело в ДНС. А именно, на шлюзе на внешнем интерфейсе были прописаны внешние ДНС, на внутреннем интерфейсе - внутренний ДНС(на внутреннем ДНС тоже прописаны ДНС провайдера). Короче, в один прекрасный момент на шлюзе адрес почтового сервера заменялся на внешний и почта по ОВА ходить переставала. Поставил на внешний интерфейс внутренний ДНС и пока неделя без проблем.
Сча чота задумался, уважаемые Одмины, а кто в такой стандартной связке, когда ДНС на отдельном внутреннем сервере(с ДНС провайдера) и почта на другом внутреннем, какие ДНС ставит на внутренний и внешний интерфейс? Большое спасибо каждому отписавшемуся в простой и понятной форме!

Насколько я помню, то BestPractices в данной ситуации рекомендуют прописывать ДНС только на одном интерфейсе - на внутреннем.

если что то скоренил значит проблему не решил!
на внение не какие не ставить все во внутырь перенаправляй
загугли Как разделить сеть на подсети с помощью маски подсети? подключи свою почту к надежным хост провайдеру
ip 6 вообще должен быть вырублен внутри и с наружи! echo 1 >/proc/sys/net/ipv6/conf/ens3/disable_ipv6

echo 0 >/proc/sys/net/ipv6/conf/ens3/disable_ipv6

ip addr list dev lan0 | awk '/inet6/{print $2}'

если что то не получается должны быть паролельно стоящие сети которые делают синхронизацию, если что то не выходит перекидываешь туда, если уже каюк, делай паралельно все заново.
В чем проблема может быть поднять почтовый сервер?

почему такие старые темы в топе?