A internet parou de novo!!??
Autor: Daniel Pires / Revisão: Daniel Mauser
Introdução
Olá pessoal,
Hoje iremos compartilhar um cenário que tem sido bem comum e frequente aqui no CTS. Por isso, aproveitamos a deixa para compartilhar algumas dicas as quais vocês poderão usar se passarem por algo parecido.
Problema reportado?
O cliente reclamava que todos os dias, entre 8:30am às 10:30am e entre 12:30pm às 1:50pm o acesso a internet ficava extremamente lento ou até mesmo indisponível para os clientes Web Proxy do Forefront TMG 2010.
Quais eram as ações de contorno (workaround) utilizadas?
A única ação de contorno que resolvia o problema até o dia seguinte era o restart do servidor.
Coletando dados
Pela descrição do problema, estava claro que a carga (número de usuários simultaneamente conectados ao TMG) estava diretamente relacionada ao problema. Portanto, neste tipo de cenário é imprescindível termos um bom contador de performance antes / durante / depois do problema para que possamos estudar a curva de utilização dos recursos mais importantes do Sistema Operacional e do TMG. Uma ótima referência quanto aos contadores a serem utilizados pode ser encontrada em:
We are all waiting for you Mr. Disk….are you there?
https://blogs.technet.com/b/yuridiogenes/archive/2010/11/15/we-are-all-waiting-for-you-mr-disk-are-you-there.aspx
Análise dos dados coletados
Analisando os arquivos .blg enviados pelo cliente, pudemos ver um comportamento bem interessante. Vejam as imagens abaixo:
Figura 1 – Uma das interfaces de rede do TMG (interface interna)
Figura 2 – Segunda interface de rede do TMG (interface externa)
Podemos ver claramente que, aproximadamente à partir das 12:20pm, ambas interfaces de rede (interna e externa) tinham um Output Queue Length muitas e muitas vezes maior do que o suportado. Como referência:
Network Interface – Output Queue Length values extremely high?
https://blogs.technet.com/b/yongrhee/archive/2010/07/07/network-interface-output-queue-length-values-extremely-high.aspx
Como vocês podem ver, algumas informações nas imagens acima foram retiradas para preservar as informações que podem, de alguma forma, identificar o cliente. Uma dessas informações é a instância, a qual mostra o nome da interface de rede. Ali pudemos ver que o nome padrão da interface havia sido alterado pela instalação de uma engine vinda do antivírus. Investigando esta engine um pouco mais afundo com o cliente, descobrimos que esta engine intercepta todo o tráfego entrante e faz algumas inspeções nos pacotes junto ao antivírus.
Ao desabilitarmos esta engine, o problema não mais ocorreu.
Comentários
Este é mais um exemplo da importância de planejarmos quais aplicações iremos instalar em nossos servidores ISA ou TMG, bem como validarmos junto aos fabricantes se esta aplicação é suportada / recomendada em ambientes ISA ou TMG.
Artigos relacionados
Considerations when using antivirus software on FF Edge Product
https://technet.microsoft.com/en-us/library/cc707727.aspx