Categorization Failed

It's not constant..it's intermittent.  I have two installations on that don't fail at the same time..they both use opendns and they both are linked into AD.  If it were a dns problem internally simply removing the machines from AD and clearing the dns links would do it..it never does.  If it was internal dns i would not be able to resolve internal FQDN's when this occurs..i can.  I can also resolve external FQDN's when this issue occurs.  The only thing that fails in the http transaction itself.  That's not DNS that's not IPS.  I have also disabled ALL ips features when this occurs..that does not solve the issue...not an IPS problem.  The only thing that fixes it is either turning off content filtering(CFF) or disabling the http proxy altogether(that's a big hammer).  I've seen it when using the isp dns servers AND when using opendns..so it's not those dns servers either.  The only thing i have not done is try to ping and trace the cff servers when this occurs...i will next time.

The only thing i have not done is try to ping and trace the cff servers when this occurs...i will next time.

That is EXACTLY where the problem is.  Support says the box is supposed to check ping times every 10 minutes. We have found that is NOT the case.  Plus, some of these ping times are absolutely horrible and would definitely lend credence to the fact that their categorization lookup systems are NOT reliable at all.

We DID some ping and traceroute tests and only have a FEW of their cffs servers that respond in a timely fashion.  Over half respond in times greater than 100ms.  Once you get over and above those types of ping times, it is BOUND to fail.

The only thing i have not done is try to ping and trace the cff servers when this occurs...i will next time.

That is EXACTLY where the problem is.  Support says the box is supposed to check ping times every 10 minutes. We have found that is NOT the case.  Plus, some of these ping times are absolutely horrible and would definitely lend credence to the fact that their categorization lookup systems are NOT reliable at all.

We DID some ping and traceroute tests and only have a FEW of their cffs servers that respond in a timely fashion.  Over half respond in times greater than 100ms.  Once you get over and above those types of ping times, it is BOUND to fail.

The reason some of those content filter category servers have such high ping times is that some of them are located on an entirely different continent than you are on... hence the Astaro's constant (mine, and our customers, units do it many, many times a day) check on the ping times to the various servers.  It uses that data to determine in which order to access content filter category servers; so, just becuase some of the servers show high ping times in the log doesn't mean they are "not reliable."

I can say I have not seen an issue as you describe yet (and we have more than 30 customers running this solution)... maybe there is a hardware issue of sorts going on.

All this said, I am a proponent of hosting the category database locally on the Astaro Appliance itself, with updates retrieved from up2date servers to keep the category database updated...  It would increase performance, and reduce issues due to intermittent internet connectivity on the Internet that could result in the category servers being temporarily unavailable.  I believe you can vote for that feature request at Astaro Gateway Feature Requests.