Lonely_Mouse, Скриншот ниже, на момент скриншота проблемы не было. Когда будет, попробую сделать, но, по проблемным службам сопоставлений не будет, т.к. в этом и проблема, что подключиться не удается. Никакие фильры или брандмауэр подключение не блокируют. Например, в момент проблемы telnet'ом проверял порт, например почты - порт открыт.
http://s57.radikal.ru/i156/1507/04/d5c584bdea2et.jpg (http://radikal.ru/fp/87ddfe87546844b6b4e7549bfba7b459)

__sa__nya, днс гугловский используется? Во время проблемы скиньте arp -a с клиентской машины.

Lonely_Mouse, нет, ДНС используется КД, он, в свою очередь использует ДНС держателя нашей зоны - это интернет-сервер. Но проблема не в ДНС, т.к. в момент проблемы, подключиться нельзя к почте ни по IP ни по ДНС-имени. Подключение по FTP выполняется по IP - так же в момент проблемы подключиться не удается.

__sa__nya, вы пробовали использовать debug-лог RRAS для идентификации проблемы?

IT Shepherd, нет, попробую в момент проблемы глянуть. Если ничего не пойму, скину вложением в тему.
Только непонятно, какой журнал смотреть. Установил в параметрах RRAS вести журнал всех событий, включая сведения для отладки, открыл папку %windir%\tracing - а там пустые файлы, файлы с расширением bin не содержат читабельной информации, файл RASPLAP.log содержит так же непонятную информацию:

[4084] 07-02 17:57:38:863: CRasProvider::_Cleanup
[2920] 07-02 17:57:39:706: CRasProvider::CRasProvider
[2920] 07-02 17:57:39:738: CRasProvider::SetUsageScenario: Scenario: 0x00000001, flags: 0x00000000
[2920] 07-02 17:57:39:738: CRasProvider::UnAdvise
[2920] 07-02 17:57:39:738: CRasProvider::SetUsageScenario: Scenario: 0x00000005, flags: 0x00000000
[2920] 07-02 17:57:39:738: CRasProvider::SetUsageScenario: Skipping RasPLAP as this session is Terimal session (TS)
[2920] 07-02 17:57:39:738: CRasProvider::UnAdvise
[2920] 07-02 17:58:10:613: CRasProvider::~CRasProvider
[2920] 07-02 17:58:10:613: CRasProvider::_Cleanup


http://s009.radikal.ru/i309/1507/ba/7ef0784dbfebt.jpg (http://radikal.ru/fp/a31b77994084497fa7a16e8f923cc396)
- Какой файл смотреть?
Может аналогично глянуть сетевым монитором, привязав его к сетевухе смотрящей в локальную сеть, и аналогично затем сюда скину?

IT Shepherd, гляньте пожалуйста мой пост выше.

Какой файл смотреть? »
На быструю руку не могу найти инфу как работать с логами RRAS. MS также обнадежила, что данные логи в большинстве случае полезны только для службы поддержки MS или сетевых администраторов, которые очень опытны в использовании RRAS. К последним я себя не отношу.

Давайте пока попробуем глянуть сетевым монитором.

Доброе время суток. Сегодня, 08.07.15, в 07:30 по Москве проблема повторилась. Интересно то, что после прошлого повтора проблемы, я перевел всех пользователей на работу с нашим FTP-ресурсом без использования шифрованного протокола - т.е. по обычному FTP-протоколу. У меня были мысли, что большой объем шифрованного трафика "что-нибудь где-нибудь ломает" и получается проблема. НО, сегодня в момент проблемы, не было доступа к корпоративной почте, TeamViewer'у и FTP - ресурсу, без использования шифрованного протокола. ПРоблема опять решилась выключением сервера на 5 минут. Собрал логи сетевым монитором в момент проблемы с клиента и интернет-сервера, сделав фильтр по адресу назначения - 188.40.77.142 - это наш корпоративный почтовый сервер.
Файлы: залью чуть позже
Пробовал их смотреть, анализировать - ничего не понятно.
Может у кого есть мысли как найти причину проблемы?

__sa__nya, я конечно все понимаю, но зачем пароли от фтп выкладывать? :) Сервер ip динамически получает?

я конечно все понимаю, но зачем пароли от фтп выкладывать? Сервер ip динамически получает? »
Lonely_Mouse, можете в личку отписать, где какой пароль "просочился" ? - Вроде в момент проблемы при сборе данных монитором по FTP не подключался....
У сервера IP статический.

По соображениям безопасности файлы записи трафика убрал. При следующем появлении проблемы смогу снять показания и выложить. Есть у кого идеи без файлов сетевого монитора?

Lonely_Mouse, по установке Flow Control и Task Offload.
- На внешней сетевухе таких параметров нет вообще, на внутренней есть только "Flow Control", его выключил. Слежу за полетом.

__sa__nya, беглый анализ лога сервера показал, что ступор происходит на прикладном уровне сетевой модели TCP\IP. Если говорить конкретно, то не происходит SSL\TLS рукопожатия. Я рассмотрел работу с почтовым сервером клиента 2.66.

1. Клиент и почтовый сервер проходят TCP рукопожатие и устанавливают TCP соединение.
2. Клиент отправляет сообщение Client Hello как первоначальный шаг в процедуре SSL\TLS рукопожатия. Видно, что данный пакет уходит с "внешней" карты шлюза.
3. ..... а в ответ - тишина. Почтовый сервер должен ответить сообщениями Server Hello, Certificate и т.д., но не делает этого.
4. Клиент повторяет запрос Client Hello до тех пор, пока не сбрасывает TCP соединение.
5. Затем устанавливает с сервером TCP соединение заново, пройдя процедуру рукопожатия и все пошло по кругу.

На основании этого я делаю вывод, что что-то не так с самим сервером. Это не ошибка конфигурации или сертификата, в этом бы случае сервер отвечал ошибкой, а не молчал. Можно предположить, что пакеты теряются где-то по дороге, но в таком случае трудно объяснить почему с завидным постоянством устанавливается TCP соединение с сервером.

Конечно, мое предположение о проблеме на стороне сервера не объясняет проблему с TeamViewer'ом или FTP, но я не видел сетевой лог работы с ними.

Поскольку, на мой взгляд, проблема с почтовым сервером внешняя, рекомендую обратиться в службу поддержки хостера, чтобы они посмотрели на своей стороне что происходит.

IT Shepherd, проблема не с почтовым сервером, т.к.:
1. В момент проблемы к почтовому серверу можно подключаться без проблем с интернет-сервера
2. Если в момент проблемы я быстро меняю для офиса выход в интернет вместо интернет-сервера на шлюз (т.е. к модему подключаю шлюз, например Zyxel Keenetik Omni, которому назначаю адрес локальной сети такой же как у сервера, шлюз подключаю к интернету, сервер от локалки отключаю) - проблема сразу уходит. Подключаю интернет-сервер обратно - проблема появляется
3. В момент проблемы к почтовому серверу можно без проблем подключиться с любой другой точки вне нашего офиса
4. В момент проблемы в офисе, к почтовому серверу можно подключиться не по шифрованному протоколу.

IT Shepherd, После того как я изменил подключение к FTP с шифрованного канала на нешифрованный, и проблема повторилась, у меня создалось впечатление, что на интернет-сервере (в операционке, или где-то в оборудовании) есть какие-то рамки, ограничения что-ли, и вот когда они каким-то образом достигаются, происходит проблема, т.к. теперь видно что проблема не только в шифрованных соединениях, если бы так было, то в момент проблемы доступ к FTP был, а его нет.
Что думаете?

__sa__nya, вы можете вспомнить, после чего или при каких обстоятельствах возникла эта проблема?

у меня создалось впечатление, что на интернет-сервере (в операционке, или где-то в оборудовании) есть какие-то рамки, ограничения что-ли, и вот когда они каким-то образом достигаются, происходит проблема, т.к. теперь видно что проблема не только в шифрованных соединениях, если бы так было, то в момент проблемы доступ к FTP был, а его нет.
Что думаете? »
Возможно, но возникает вопрос: Почему эти "рамки" действуют только на определенные соединения? Тем более, как я написал, TCP соединение устанавливается без проблем, проблема возникает на прикладном уровне. К тому же, если верить логам, запрос на установку безопасного соединения уходит с внешней карты шлюза.
Пока для меня это не понятно, попробую найти время, чтобы посмотреть логи более детально.

Тем не менее, попробуйте использовать встроенные в Win 2008 инструменты для отслеживания производительности для определения узкого места в системе.

И еще, я бы попробовал заменить карту Realtek RTL8139/810x Family Fast Ethernet на что-то другое.

__sa__nya, вы можете вспомнить, после чего или при каких обстоятельствах возникла эта проблема? »
IT Shepherd, первый раз эта проблема возникла после того как сменили Интернет-провайдера для основного интернет-канала+ начали выходить в интернет вместо шлюза через имеющийся интернет-сервер.
Было раньше:
1. 2 интернет-канала.
2. 1 интернет-Канал подключен через ADSL-модем к интернет-серверу, сервер является держателем зоны для ДНС-имени, FTP-сервером, так же являлся шлюзом для выхода в интернет для тех клиентов в сети, которым не нужна была высокая исходящая скорость.
3. 2 интернет-Канал подключен через интернет-шлюз Zyxel Keenetic Omni к более быстрому интернет-каналу, который офис использовал для выхода в интернет.
4. каналы подавали 2 разных провайдера
5. Провайдер подающий канал по DSL, смог подать канал по оптике, в итоге что имеем сейчас:
- от 2 интернет-канала отказались, убрали шлюз Zyxel Keenetic Omni
- 1 интернет-канал провайдер заменил на оптику, в офис заходит оптоволокно, стоит модем провайдера, к модему подключен интернет-сервер, сейчас весь офис выходит в интернет через него.
6. Примерно через пару недель после "переезда" на новый интернет-канал началась данная проблема.

Сначала грешил на Интернет-провайдера или на его модем для оптоволокна, но, рассудив логически, провайдера отбросил, т.к.
1. В момент проблемы с самого интернет-сервера можно получить доступ к ресурсам, к которым не имеют доступа клиенты локальной сети
2. В момент проблемы отключение модема провайдера на 3 минуты, перезагрузка модема не решают проблему, решает только выключение интернет-сервера
3. В момент проблемы подключение вместо интернет-сервера интернет-шлюза решает проблему.

Почему эти "рамки" действуют только на определенные соединения? »
- тоже думал об этом, думаю потому что эти "рамки" действуют на определенное количество соединений к одному целевому адресу. Т.е, например, весь офис - 40 компов, одновременно не работает с сайтом mail.ru, kaspersky.ru и т.д., но одновременно работает с FTP, корпоративной почтой, причем интенсивно, и вот эта интенсивность может что-то где-то "ломает". Может как-то так.

Тем не менее, попробуйте использовать встроенные в Win 2008 инструменты для отслеживания производительности для определения узкого места в системе. »
Дело в том, что в момент проблемы на самом интернет-сервере загрузки на процессор, память, диск, сетевухи нет...
И еще, я бы попробовал заменить карту Realtek RTL8139/810x Family Fast Ethernet на что-то другое. »
Попробую. Но, кажется, ничего не даст:
- Не могу спорить насчет производительности этих карточек, но в плане безглючности в моей практике они самые лучшие. В них зашито минимум настроек, да, скорость не гигабитная, но зато работают, не создавая никаких проблему
- Интернет сервер когда менял, со старого, кроме дисков, ничего не брал, т.е. получается карточки уже заменены.

IT Shepherd, и еще:
1. 1. Клиент и почтовый сервер проходят TCP рукопожатие и устанавливают TCP соединение.
2. Клиент отправляет сообщение Client Hello как первоначальный шаг в процедуре SSL\TLS рукопожатия. Видно, что данный пакет уходит с "внешней" карты шлюза.
3. ..... а в ответ - тишина. Почтовый сервер должен ответить сообщениями Server Hello, Certificate и т.д., но не делает этого.
4. Клиент повторяет запрос Client Hello до тех пор, пока не сбрасывает TCP соединение.
5. Затем устанавливает с сервером TCP соединение заново, пройдя процедуру рукопожатия и все пошло по кругу. »

- можете написать номера строк в трафике, хочу глянуть эти моменты, чтобы понять для себя о чем речь.
- вот ссылка (https://cloud.mail.ru/public/E97d/bbZF8hYAv) на захват трафика по почте с клиента 192.168.2.48 на сервер 188.40.77.142, когда проблемы нет (зашел на стартовую страницу почтовика), выполнил вход в систему, проверил почту). Я просто почти не имею опыта с сетевым монитором, в отличие от вас, может сравнение логов в момент проблемы и когда проблемы нет, могут дать какие-то мысли...

PS: у меня уже была мысль опять сделать выход в интернет через шлюз Zyxel Keenetic Omni, а с него просто подключения по нужным портам перенаправлять на интернет-сервер (DNS, FTP, и еще около 15 важных подключений к службам локальной сети), но столкнулся с проблемой: Zyxel Keenetic Omni не перенаправляет соединения по нужным мне портам...

думаю потому что эти "рамки" действуют на определенное количество соединений к одному целевому адресу. Т.е, например, весь офис - 40 компов, одновременно не работает с сайтом mail.ru, kaspersky.ru и т.д., но одновременно работает с FTP, корпоративной почтой, причем интенсивно, и вот эта интенсивность может что-то где-то "ломает". Может как-то так. »
В логе клиента (2.48) видно, что он не может установить SSL-соединение с хостом go.trouter.io
Насколько я понял, этот хост каким-то образом связан с почтой от Microsoft. Не думаю, что все пользователи также одновременно работают с этой почтой.

но столкнулся с проблемой: Zyxel Keenetic Omni не перенаправляет соединения по нужным мне портам... »
Попробуйте pfSense в качестве шлюза. Это не займет много времени разобраться с базовой настройкой.

В логе клиента (2.48) видно, что он не может установить SSL-соединение с хостом go.trouter.io »
- это в логе в момент проблемы или в логе когда проблемы нет?
Попробуйте pfSense в качестве шлюза. »
Пока не могу рассмотреть данный вариант.
Мне бы решить причину моей проблемы в моей имеющейся инфраструктуре.

это в логе в момент проблемы или в логе когда проблемы нет? »
В момент проблемы. Вы разве выкладывали логи в момент когда проблемы нет?

Вы разве выкладывали логи в момент когда проблемы нет? »
- мой 37-й пост когда проблемы нет, с интернет-сервера.