Como NÃO configurar seu ambiente ISA Server/Forefront TMG

Saudações,

A um tempo atrás, postei um artigo neste espaço dando dicas importantes sobre como planejar e instalar o seu ambiente ISA Server/Forefront TMG…aliás, para ambientes com ISA Server estou recomendando fortemente que se migre para o TMG.

Estava montando o material para um treinamento quando fui solicitado a verificar uma infra estrutura ISA Server de um cliente que apresentava períodos de lentidão em vários momentos do dia.

A infra se resumia a dois servidores ISA SErver 2006 em NLB com WebSense fazendo o filtro de conteúdo.

Logo que comecei a fazer o assessment já verifiquei vários itens que poderiam causar problemas:

• Bind Order das placas de rede não priorizando a Internal
• Erros de DNS reportados pelo ISA BPA
• Cache e Log gravando no mesmo disco
• Antivirus instalado no servidores e as pastas do ISA Server não cadastradas na exceção de SCAN
• Os nodes foram montados com um ISA Server Standard e ISA Server Enterprise – o menor dos problemas, mas, ainda assim…um problema.

Após corrigir boa parte  dos itens acima, ficamos aguardando para ver se o problema voltava a ocorrer. Nos log’s nada era encontrado, afinal de contas, para se pegar alguma coisa é importante analisar o ambiente no momento em que o problema ocorre.

Mesmo com as alterações citadas o problema voltou a ocorrer. Ao analisar o ambiente vimos que o ISA Server era a vitima e não o causador do problema. Algumas máquinas infectadas estavam fazendo ataques abrindo um alto número de conexões.

Os responsáveis pelo antivirus nos clients foram acionados e trataram o caso.

De forma paleativa, aplicamos algumas configurações para que os usuários pudessem usar o ambiente enquanto as análises eram feitas. Veja alguns passos executados:

Nos dois membros do array e nos Domain Controllers localizados no mesmo site, alterar o valor MaxConcurrentApi como exibido abaixo:

Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor: MaxConcurrentApi

Tipo: REG_DWORD

Dado: 10 (decimal)

Para que a alteração acima tenha efeito, o serviço netlogon deve ser reiniciado:

Net stop netlogon && net start netlogon

Referência:

How to configure an ISA Server computer for a very large number of authentication requests

http://support.microsoft.com/kb/326040/en-us

Abaixo um link para um artigo que o Yuri Diógenes escreveu a 3 anos atrás e que ainda é muito útil, pois, os administradores não seguem os passos nele descrito:

ISA Server Stop Answering Requests and Firewall Service Hangs

http://blogs.technet.com/b/yuridiogenes/archive/2009/07/18/isa-server-stop-answering-requests-and-firewall-service-hangs.aspx

Obrigado ao colega Marcos Eurico pelas informações e documentações fornecidas!

Se você quer mais dicas sobre como planejar e instalar seu ambiente Forefront TMG, não perca o webcast que vou apresentar amanhã (05/07) as 20 horas. Abaixo os dados para inscrição:

MTACs (Microsoft Technical Audience Contributors)

Tema – Planejando corretamente o Forefront TMG

Dia 05/07/2012 as 20:00 hs

Local – Via internet WebCast

Palestrante – Uilson Souza

Link para inscrição – https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032515944&Culture=pt-BR

Divulgue e participe!

Abraços

Uilson

About these ads