Autor: Daniel Pires / Revisão: Daniel Mauser

Introdução

Olá pessoal,

Hoje iremos compartilhar um cenário que tem sido bem comum e frequente aqui no CTS. Por isso, aproveitamos a deixa para compartilhar algumas dicas as quais vocês poderão usar se passarem por algo parecido.
Problema reportado?

O cliente reclamava que todos os dias, entre 8:30am às 10:30am e entre 12:30pm às 1:50pm o acesso a internet ficava extremamente lento ou até mesmo indisponível para os clientes Web Proxy do Forefront TMG 2010.

Quais eram as ações de contorno (workaround) utilizadas?

A única ação de contorno que resolvia o problema até o dia seguinte era o restart do servidor.

Coletando dados
Pela descrição do problema, estava claro que a carga (número de usuários simultaneamente conectados ao TMG) estava diretamente relacionada ao problema. Portanto, neste tipo de cenário é imprescindível termos um bom contador de performance antes / durante / depois do problema para que possamos estudar a curva de utilização dos recursos mais importantes do Sistema Operacional e do TMG. Uma ótima referência quanto aos contadores a serem utilizados pode ser encontrada em:

We are all waiting for you Mr. Disk….are you there?
http://blogs.technet.com/b/yuridiogenes/archive/2010/11/15/we-are-all-waiting-for-you-mr-disk-are-you-there.aspx

Análise dos dados coletados

Analisando os arquivos .blg enviados pelo cliente, pudemos ver um comportamento bem interessante. Vejam as imagens abaixo:

clip_image002

Figura 1 – Uma das interfaces de rede do TMG (interface interna)

clip_image004
Figura 2 – Segunda interface de rede do TMG (interface externa)

Podemos ver claramente que, aproximadamente à partir das 12:20pm, ambas interfaces de rede (interna e externa) tinham um Output Queue Length muitas e muitas vezes maior do que o suportado. Como referência:

Network Interface – Output Queue Length values extremely high?
http://blogs.technet.com/b/yongrhee/archive/2010/07/07/network-interface-output-queue-length-values-extremely-high.aspx

Como vocês podem ver, algumas informações nas imagens acima foram retiradas para preservar as informações que podem, de alguma forma, identificar o cliente. Uma dessas informações é a instância, a qual mostra o nome da interface de rede. Ali pudemos ver que o nome padrão da interface havia sido alterado pela instalação de uma engine vinda do antivírus. Investigando esta engine um pouco mais afundo com o cliente, descobrimos que esta engine intercepta todo o tráfego entrante e faz algumas inspeções nos pacotes junto ao antivírus.

Ao desabilitarmos esta engine, o problema não mais ocorreu.

Comentários

Este é mais um exemplo da importância de planejarmos quais aplicações iremos instalar em nossos servidores ISA ou TMG, bem como validarmos junto aos fabricantes se esta aplicação é suportada / recomendada em ambientes ISA ou TMG.

Artigos relacionados

Considerations when using antivirus software on FF Edge Product
http://technet.microsoft.com/en-us/library/cc707727.aspx