Проблема решилась, мелкософт подкинул очередную гадость:
http://www.itcommunity.ru/blogs/sie/archive/2008/11/01/34210.aspx На форуме Technet-RU довольно часто возникают вопросы о работе Windows 2003 SP2 с сетью.
Причиной тому нередко является Scalable Networking Pack
SNP ставится отдельным обновлением на Windows 2003 Service Pack 1.
В то же время SNP входит в состав Service Pack 2 для Windows 2003.
По умолчанию после установки Service Pack 2 фичи SNP включены. Вот именно это зачастую вызывает нестабильную работу с сетью или даже полный отказ сервера при работе с сетью.
Где может проявляться? Да при работе любой программы с сетью! Обычно это ISA (rouning, NAT, VPN), Exchange, IIS (HTTP, FTP), DHCP, клиентские подключения к серверу и прочее и прочее...
Официальный список (полагаю далеко не полный) симптомов есть тут.
http://support.microsoft.com/kb/936594. Не поленитесь посмотреть
SNP включает в себя три компненты:
• TCP Chimney Offload
• Receive Side Scaling
• Network Direct Memory Access (NetDMA)
TCP Chimney это выгрузка TCP/IP стека на оборудование сетевого адаптера. Иначе говоря все сетевые соединения обрабатываются в сетевой карте.
RSS это использование нескольких процессоров для обработки входящего сетевого потока. Без RSS стек TCP/IP работает всегда только на одном процессоре даже если машина многопроцессорная. Работа RSS основана на вычислении хэша драйвером сетевого адаптера или самим адаптером.
NetDMA это использование механизма DMA (аналогично работе винчестеров) для обмена информацией между сетевым адаптером и основной памятью вместо использования цетрального процессора и его прерываний.
Хочу обратить особое внимание, что первые две фичи являются частью спецификации NDIS 5.2
Это означает что первый шаг в решении сетевых проблем с SP2 заключается в обновлении драйверов: они должны быть NDIS 5.2
Второй шаг это проверка требований SNP (http://support.microsoft.com/kb/912222):
TCP Chimney offload and NetDMA will not work with the following features: • Windows Firewall
• Internet Protocol security (IPsec)
• Internet Protocol Network Address Translation (IPNAT)
• Third-party firewalls
• NDIS 5.1 intermediate drivers
Надо отметить, что драйвера от производителей сетевых адаптеров могут поддерживать гораздо более богатые возможности оптимизации (например, IPSec) и не иметь указанных выше ограничений. Смотрите соответствующую документацию от производителей.
Кстати вопрос: возможен ли конфликт между SNP и такими умными драйверами? Вероятно да, если фичи драйвера выходят за рамки NDIS. Но правильные дпайвера используют SNP
http://www.intel.com/technology/ioacceleration/317106.pdf Третий шаг - анализируем зависимости фичей SNP (не все работают вместе!):
The following table describes the interactions between the various components of the Windows Server 2003 Scalable Networking Pack. TCP Chimney RSS NetDMA
TCP Chimney Will work Will work Will not work (see the note that follows this table)
RSS Will work Will work Will work
NetDMA Will not work (see the note that follows this table) Will work Will work
Note NetDMA will not work on TCP Chimney offload-capable network adapters. NetDMA requires that the incoming network adapter compute the RSS Hash. The incoming network adapters do not have to implement RSS in hardware.
Ну и наконец четвертый шаг, если мы установили, что проблема с SNP, это тонкая настройка или, на крайний случай, отключение фичей SNP
http://support.microsoft.com/kb/936594 (В статье не упомянут ключ EnableTCPA для включения/запрешения NetDMA.)
Хочу еще сказать, что SNP направлен на увеличение производительности стека TCP/IP. Поэтому, встетив проблемы, не торопитесь запрещать это фичи, если ваш сервер сильно загружен Лучше проанализируйте и найдите причины. Выполните тонкую настройку компонент. Да это возможно! Нужно только изучить документацию на SNP. Ссылки есть в
http://support.microsoft.com/kb/912222, там же можете увидеть ряд ключей реестра для настройки SNP.
Например, если между двумя ISA-ми не работает Site-to-Site VPN, не обязательно запрещать SNP на обоих серверах: во-первых,возможно проблема только у одного сервера, во-вторых, можно просто исключить порты VPN из обработки в SNP на этом сервере, а если не поможет, то как крайний вариант отключить SNP на нем.
Можно запретить RSS или Offloading на конкретном адапторе. Например, запретить на внешнем адапторе ISA, где есть NAT и возможно IPSec, но оставить на внутреннем адапторе.
Аналогично если клиенты домена испытывают проблемы при подключении к серверу (файловому или DC): можно попробовать ограничиться исключением портов из обработки SNP. Это могут быть порты LDAP, IPSec, SMB и иные (смотря что не работает)