经验分享：因操作系统与TMG网络适配器配置信息未同步引发的网络访问故障

        前段时间在协助一家企业进行 TMG 的评估工作，大致的环境是在位于两个城市的中心机房各部署一套 TMG，并使用 PPTP 实现了 Site-to-Site VPN，从而将两地的 IT 环境相联。但是遇到了一系列的诡异问题，特与大家分享一下。

        初期的测试都是非常顺利的，但是在运行一段时间后，评估环境内的用户反应有某银行的网上银行站点无法访问，通过 Live Log 以及 Network Capture 对一系列访问数据进行分析发现 Live Log 中记录的都是 RST对方银行使用了某种网络优化手段，对子站点实施了线路优化，但是又有违常规，简单说当用户访问“http://www.xxxbank.com”时对应的是一个 IP 地址，但是当通过该站点页面访问二级目录“http://www.xxxbank.com/enterprise”时却会被重定向到另外一个 IP 地址上。

        利用 ping 等命令也做了简单的测试，发现“www.xxxbank.com”是别名解析，对应的是“www.lc.xxxbank.com”，而这个域名会自动识别用户 IP 来重定向到对应的另一个主机域名->网络 IP。这一系列的访问过程却让评估环境下的 TMG 用户出现了无法访问的故障，而这一故障并不是一直会重现，偶尔能够正常访问。当错误发生时在 Live Log 中能看到是因为 RST 相关的错误，此外在 TMG 本机访问银行是没有问题的，如果将客户端配置为 Web Proxy 便能恢复正常。

        而在另外一个城市的 TMG 环境下测试发现均未出现此类的故障。但是两地解析域名所得到的 IP 会有所不同，问题出在了哪里呢？！曾经与银行方面也联系过，未果！后来在微软技术支持工程师的帮助下了解到，TMG 在创建 Site-to-Site VPN 后，会将对端网络中的 DNS 作为本机的主 DNS，那么就会出现 TMG 本机上访问网站时得到的解析结果是 VPN 对端网络里的 DNS Server 给出的，而本地 TMG 后端的用户解析则是本地 DNS Server 给出的，其结果将会得到两个解析数据。

        之后在“路由和远程访问”中对 VPN 拨号连接进行了设置，将 TCP/IP 下的 DNS 手动改为 TMG 本地网中的 DNS Server 地址，随后的一段时间里访问看起来是“正常了”。

        果然，好景不长！评估环境的用户又反应访问某市公安局网站（也实施了线路优化）时无法访问，这次即使为客户端配置 Web Proxy 也无济于事，同时在 TMG 本机测试也无法访问，问题到底出在哪里了呢？！从早期检测到的 RST 未返回数据包到 FIN 三次握手失败等一系列的故障看，TMG 自身一定是存在问题。先后在多个 TMG 环境下对比测试，排除了 TMG 软件设计方面可能存在的不兼容问题，那么就要将注意力集中到这台 TMG 配置上。

        最后发现，在 TMG 网络适配器中，当前外网的网卡默认 IP 与操作系统的外网网卡默认 IP 不同（注：TMG 外网绑定了多个 IP 地址），问题可能就出在这里。当 TMG 访问外部时，可能使用系统配置的 IP 作为宿主，但是客户端访问时却使用了 TMG 配置的 IP，这有可能就是引发 RST 和 FIN 问题的最终原因。随后将两个配置信息重新修改一致后，所有的访问都恢复了正常，之前的故障未在出现！

        但是，引发数据不同步的原因一直不明，回忆之前的部署过程，有过两个管理员同时配置 TMG，而服务器也因为内存问题出现过故障，还导致 TMG 缓存配置与数据库不一致的问题。目前评估工作一直在进行着，最近又接到通知 TMG 在华停止销售，因为销售许可到期，不过听闻也许在五月底就能恢复销售！

        总之，TMG 作为一款受青睐的企业级的网络安全和加速产品，在华业务任重道远……