[9.100][BUG] Endpoint Web Protection Categorization failed

Categorization Failed would be if the Endpoint cannot talk to the SXL servers at all.  Performance of the servers is not a factor.

When you are getting this problem, are the Endpoints in the office (eg behind the UTM)?

Is there anything being blocked by the firewall (anything in packetfilter.log)?
Can you do a screenshot of your firewall rules?

Are you using standard or transparent mode?

Can you post a sample of your eplog?

HI,

The endpoint is behind another UTM.　Another UTM is using only FW.
I uploaded FW rule and log files.

It generates, even if it accesses one site at a time.
If some sites are accessed simultaneously, it will occur notably.

There is definitely a problem, but I don't know if is the UTM or Endpoint.  So lets look at both.

=== UTM ===

To understand the configuration:
UTM-A has Endpoint Web Protection turned on
Endpoint-A is configured against UTM-A

UTM-B is a firewall-only

Endpoint-A must talk to UTM-B before going out to the internet.  The traffic never flows through UTM-A.  Is Endpoint-A using transparent mode or full transparent?  Is the default gateway set to the IP of UTM-B?

It is the configuration of UTM-B that is important.
The firewall rules and packetfilter log that you posted, is that from UTM-B?

Are you using UTM-B to do any DNS?  If so can you also post the DNS Forwarders tab?

=== Endpoint ===

Run regedit
(32-bit OS) Go to HKEY_LOCAL_MACHINE\Software\Sophos\Web Intelligence
(64-bit OS) Go to HKEY_LOCAL_MACHINE\Software\Wow6432Node\Sophos\Web Intelligence

Create a new DWORD key called LogLevel and set it to 4

Reproduce the error

Find the file  C:\windows\temp\swisdiag.log

Set LogLevel to 0 (if you don't turn off logging the log file will grow to fill your harddrive)

Post the swisdiag.log file here.

Alternately, use the forum feature to email me directly and we'll take the investigation of this offline.

> UTM-A has Endpoint Web Protection turned on
> Endpoint-A is configured against UTM-A
Yes

> UTM-B is a firewall-only
Yes

> Endpoint-A must talk to UTM-B before going out to the internet. The traffic never flows through UTM-A.
Yes

> Is Endpoint-A using transparent mode or full transparent? 
Is it UTM-A? Is this option in Endpoint?
UTM-A is standard mode. Endpoint-A has not set up the proxy. 

> Is the default gateway set to the IP of UTM-B?
Yes. 

> The firewall rules and packetfilter log that you posted, is that from UTM-B?
Yes. It is UTM-B.

> Are you using UTM-B to do any DNS? If so can you also post the DNS Forwarders tab?
I used google DNS(8.8.4.4 and 8.8.8.8).
And DNS of Endpoint-A is UTM-B.

These units are connected as follows.

Internet ---┬---UTM-A
　　　　　　　└---UTM-B---Endpoint-A


I tried registry. 
CPU usage became 100%, when this registry is set to 4 and accessing a website.
It will take several minutes, display of a website is completed.
And issue of Categorization failed stops occurring.
If the registry is set to 0, issue will occur again.

Thanks for reporting. We are now tracking this as Mantis ID #25684

The Mantis ID #25684 is now under investigation.