Медленный доступ в Интернет с TMG 2010 + Windows Server 2008 + ESXI 4.1

У нас есть следующая конфигурация:

Windows Server 2008 установлен на сервере Vmware Esxi 4.1.
- физическая машина - сервер HP с большим количеством ресурсов, на котором еще нет установленных виртуальных машин.
Server 2008 - это контроллер домена, на котором установлен Forefront TMG 2010.
- (кстати, это правильный конфиг?)
Forefront использует локальный DNS-сервер, который обслуживает внутреннюю инфраструктуру AD, и использует серверы пересылки для DNS ISP.
Сервер подключается к спутниковому модему idirect x3 через неуправляемый коммутатор 100 Мбит.

Периодически веб-страницы начинают загружаться с задержкой или вообще не загружаются.

Я думаю, что это похоже на проблему с DNS, но я также думаю, что это не так. Я заметил, что пинг интернет-адресов с самого сервера в момент возникновения проблемы дает следующие результаты:

первые один или два пинга не работают, а остальные работают нормально.
Следующий пинг на то же доменное имя или IP-адрес полностью успешен.
И ни один пинг не теряется в серии пингов любого размера серии после установления начального соединения.

То же самое и с просмотром веб-страниц - загрузка больших файлов имеет стабильную скорость.

Текущий тип сетевого адаптера - E1000. Я собираюсь попробовать VMXNET3 сегодня.

Возможно, это проблема с настройками скорости / дуплекса - я пробовал как автосогласование, так и полный дуплекс 100 МБ.

Кстати, есть ли способ проверить настройку, которую устройства согласовали после автосогласования?

Отмечу особенности спутниковой связи - время пинга примерно 600 мс. Что я уже пробовал делать:

отключил разгрузку tcp
включил MTU Discovery

Любая помощь будет оценена.

vmware-esxi microsoft-ftmg-2010

Короче говоря, это похоже на сетевую проблему.

Но ... Конфигурация правила TMG может замедлить его из-за того, что фильтрация URL-адресов или разрешение DNS плохо взаимодействуют с настройкой вашего правила. Например, если ваши правила, регулирующие разрешение DNS, случайно включали набор доменных имен, который требовал разрешения DNS, это плохая ситуация.

Итак, самый простой способ определить, является ли это проблемой вообще, - создать набор правил, требующий минимальной обработки, оптимизированный по скорости:

Глобально отключить фильтрацию URL-адресов, если она включена
- если MRS отвечает медленно, это повлияет на первый доступ к любому заданному URL
Создайте правило Разрешить весь исходящий трафик из TMG в любое место
Создайте правило, разрешающее веб-протоколы из внутреннего в любое место (при условии, что у вас есть внутренняя сеть, определенная как ваша внутренняя подсеть)
Создайте правило Разрешить все внутренние как Разрешить {TMG / Internal} для {TMG / Internal} - потому что это DC, и отключение DC от сети часто неоптимально.

Эти правила должны быть расположены вверху списка политик доступа перед любыми другими правилами.

Отказ от ответственности: эти правила предполагают настройку TMG с несколькими сетевыми картами с правильно настроенной внутренней подсетью и, скорее всего, с внешним межсетевым экраном. В СОМНЕНИИ НАЙТИ КОНСУЛЬТАНТА, ЗНАЮЩЕГО TMG.

Эта комбинация пропустит любое разрешение DNS для исходящего трафика. Если эти изменения на 100% улучшают ситуацию, попробуйте изменить что-то одно, примените изменение, а затем подождите не менее 5 минут, чтобы убедиться, что оно вступило в силу, прежде чем решать, было ли оно полезным, вредным или бесполезным. не имеет значения.