【问题描述】
=================
TMG(Microsoft Forefront TMG Firewall) 2010服务器经常无法访问,需要重启服务器才能恢复正常。通过分析,无法访问并不是系统死机或是服务器关机,而是TMG服务自动停止了,可以从应用程序的事件日志中找到事件 ID:23413和14182的日志,如下:
日志名称: Application
来源: Microsoft Forefront TMG Firewall
日期: 2013/6/30 1:12:19
事件 ID: 23413
任务类别: 日志
级别: 错误
关键字: 经典
用户: 暂缺
计算机: ISA.test.local
描述:
Forefront TMG 无法在 Forefront TMG Web 筛选器 日志中记录信息,可能是因为配置设置错误或资源不足。请使用源位置 412.155.7.0.9193.500 报告此故障。错误说明为:系统资源不足,无法完成请求的服务。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft Forefront TMG Firewall" />
<EventID Qualifiers="49152">23413</EventID>
<Level>2</Level>
<Task>1</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-29T17:12:37.000000000Z" />
<EventRecordID>165390</EventRecordID>
<Channel>Application</Channel>
<Computer>ISA.test.local</Computer>
<Security />
</System>
<EventData>
<Data>Forefront TMG Web 筛选器</Data>
<Data>错误说明为:系统资源不足,无法完成请求的服务。
</Data>
<Data>412.155.7.0.9193.500</Data>
<Binary>AA050000</Binary>
</EventData>
</Event>
=================
日志名称: Application
来源: Microsoft Forefront TMG Firewall
日期: 2013/6/30 1:12:29
事件 ID: 14182
任务类别: 无
级别: 信息
关键字: 经典
用户: 暂缺
计算机: ISA.test.local
描述:
防火墙服务已正常停止。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft Forefront TMG Firewall" />
<EventID Qualifiers="16384">14182</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-29T17:12:29.000000000Z" />
<EventRecordID>165383</EventRecordID>
<Channel>Application</Channel>
<Computer>ISA.test.local</Computer>
<Security />
</System>
<EventData>
</EventData>
</Event>
【问题原因】
=================
通过查询相关资料,应该是因为日志写入失败使得Forefront TMG进入锁定模式造成的,因为默认情况下,如果日志失败将自动停止TMG的服务。
有关于Forefront TMG锁定模式的介绍,请看:
About lockdown mode
http://technet.microsoft.com/en-us/library/cc441609.aspx
【解决办法】
=================
1.修改日志限制及缩短保留日志天数。
2.取消因为日志失败发生的自动停止TMG服务的策略
3.应用相关配置。
发表评论:
