none
Загрузка цп на контроллерах домена RRS feed

  • Общие обсуждения

  • Доброго времени суток! Неделю бьюсь с проблемой загрузки цп. Есть два контроллера. Первый - ad (все роли), dns, wsus, iis, wins, файловые службы (dfs); Второй - ad (глобальный каталог), dns, dhcp, файловые службы (dfs). В сети 200 пк, 5 подсетей, каждая в отдельном vlan. При этом, контроллеры находятся в разных vlan, связано лишь с тем, что dhcp нужен в другом vlan. Репликация при этом проходит нормально. Без ошибок. Ситуация такая. Народ уходит... Цп на двух контроллерах падает до 5%, с утра... Загрузка цп достигает 60-70% на обоих серверах. Перезагружаю... Тот, что не ушел в ребут, держит загрузку 60%, при этом... ушедший в ребут, загрузка у него минимальна... 4-5%. Держится до ребута другого контроллера. Т.е., перезагружу тот, что в данный момент имеет высокую загрузку цп, тот, что был стабилен, у него загрузка возрастет до 60%. Память при этом не более 2 гб использует. Зачастую, перезагрузка серверов дает хороший показатель в простое цп, но ненадолго, минут 10, затем опять цп на 2-ух серверах на 40-60%. Сеть грузится на 15-30%, при отключении сети, загрузка спадает... Журналы молчат, как партизаны... Ничего критичного нет... Поставил все обновления, все исправления, хотфиксы, драйвера, которые нарыл в internet по этой теме. Заменил сетевые карты. Результата ноль. Обратился в службу symantec, т.к. у нас корпоративная защита от этого продукта. Все проверили с инженерами. Вирусов в сети нет. Порты наружу открыты только те, которые нужны для работы. Procexp "говорит", что цп грузит процесс system, при этом, открыв "внутрь" видно, что виноват в этом srv2.sys, порядка 20 процессов, в куче дают загрузку, каждый по 3 - 5% процессорного времени. Сеть при этом работает стабильно, глюков и задержек нет. Все службы и сервисы работаю правильно! Помогите, пожалуйста. Идеи и советы свежего взгляда на ситуацию очень помогают. Готов предоставить любую нужную Вам информацию. Спасибо заранее!



    23 июня 2014 г. 6:42

Все ответы

  • А напишите какой у вас процессор.

    Не ясно как у вас что используется, если говорите что srv2 грузится то может быть дело в шарах и большом кол-ве используемых пользователями файлов, находящихся на сервере, ну и dfs репликация между серверами.

    А еше что бы понять что там у вас, можно использовать системный монитор, с счетчиками затрудняюсь сказать, можно было бы конечно все что есть включить, но это создать приличную нагрузку на систему, а потом методом исключения посмотреть что вырастает вместе с процессором.

    23 июня 2014 г. 7:19
  • А напишите какой у вас процессор.

    Не ясно как у вас что используется, если говорите что srv2 грузится то может быть дело в шарах и большом кол-ве используемых пользователями файлов, находящихся на сервере, ну и dfs репликация между серверами.

    А еше что бы понять что там у вас, можно использовать системный монитор, с счетчиками затрудняюсь сказать, можно было бы конечно все что есть включить, но это создать приличную нагрузку на систему, а потом методом исключения посмотреть что вырастает вместе с процессором.

    intel(r) Core(TM)i7-3370k cpu @ 3.50 Ghz

    intel(r) Core(TM)i7 CPU 960 @ 3.20 Ghz - это тот, где dhcp

    Шар на этих серверах нет априори. Только служебные шары. WSUS, AD

    "Не ясно как у вас что используется"

    вот тут непонятно немного, что конкретно Вы хотите узнать .Спасибо


    23 июня 2014 г. 7:46
  • i7 3770? ivy bridge?
    23 июня 2014 г. 8:59
  • i7 3770? ivy bridge?

    да, опечатался... intel(r) Core(TM)i7-3770k cpu @ 3.50 Ghz

    а вот это ivy bridge где глянуть?

    23 июня 2014 г. 9:12
  • получается у вас на сервере стоит настольный проц, по-моему нехорошо
    23 июня 2014 г. 9:21
  • получается у вас на сервере стоит настольный проц, по-моему нехорошо

    Да, на одном так и есть... Не было финансирования, собирал из того, что было...

    Раньше, не было такой загрузки... Кол-во людей больше стало, поползла...

    23 июня 2014 г. 12:36
  • Похоже, к вашим контроллерам домена идут многочисленные запросы на аутентификацию. Надо искать, откуда они идут. У меня на практике такое было, когда на IIS был запущен внешний веб-сайт с заметной посещаемостью, в котором для анонимного доступа использовалась доменная учетная запись.

    Искать, откуда идут запросы придется, скорее всего, с помощью сниффера, например - MS Network Monitor - уделите внимание сессиям по протоколу Kerberos и RPC (используется в NTLM). Но можно попробовать включить аудит событий входа в систему - может быть, он покажет наличие аномально большого числа входов на каком-либо компьютере.

    PS Нехватка мощности процессора тут вряд ли при чём - две сотни обычных клиентов не создавали проблем на КД с куда более слабыми процессорами.


    Слава России!



    • Изменено M.V.V. _ 23 июня 2014 г. 12:55
    23 июня 2014 г. 12:53
  • Похоже, к вашим контроллерам домена идут многочисленные запросы на аутентификацию. Надо искать, откуда они идут. У меня на практике такое было, когда на IIS был запущен внешний веб-сайт с заметной посещаемостью, в котором для анонимного доступа использовалась доменная учетная запись.

    Искать, откуда идут запросы придется, скорее всего, с помощью сниффера, например - MS Network Monitor - уделите внимание сессиям по протоколу Kerberos и RPC (используется в NTLM). Но можно попробовать включить аудит событий входа в систему - может быть, он покажет наличие аномально большого числа входов на каком-либо компьютере.

    PS Нехватка мощности процессора тут вряд ли при чём - две сотни обычных клиентов не создавали проблем на КД с куда более слабыми процессорами.


    Слава России!



    Спасибо! На процессор и не грешил. Раньше контроллер был с "core 2 duo" и справлялся. Дело точно не в этом. Про авторизации Вы правы. Буду мониторить... Есть у меня подозрения на сайт, который крутится на другой машине. 
    23 июня 2014 г. 13:23
  • Похоже, к вашим контроллерам домена идут многочисленные запросы на аутентификацию. Надо искать, откуда они идут. У меня на практике такое было, когда на IIS был запущен внешний веб-сайт с заметной посещаемостью, в котором для анонимного доступа использовалась доменная учетная запись.

    Искать, откуда идут запросы придется, скорее всего, с помощью сниффера, например - MS Network Monitor - уделите внимание сессиям по протоколу Kerberos и RPC (используется в NTLM). Но можно попробовать включить аудит событий входа в систему - может быть, он покажет наличие аномально большого числа входов на каком-либо компьютере.

    PS Нехватка мощности процессора тут вряд ли при чём - две сотни обычных клиентов не создавали проблем на КД с куда более слабыми процессорами.


    Слава России!



    Спасибо! На процессор и не грешил. Раньше контроллер был с "core 2 duo" и справлялся. Дело точно не в этом. Про авторизации Вы правы. Буду мониторить... Есть у меня подозрения на сайт, который крутится на другой машине. 
    запустил снифер, увидел компы, которые стучатся на контроллер по порту 445. Пытается залезть в sysvol, политика где... Таких запросов порядка 1000, скрин не могу выложить, учетка не проверена... Есть мысли? Спасибо!
    24 июня 2014 г. 6:20
  • Проблему решил! Проблема была в "закольцованности" одного скрипта групповых политик! Я удалил папку с gpo и создал новую политику на сервере, ситуация исправилась.Symantec в свою очередь расценивал это, как флуд и атаку на 445 порт, и выдавал загрузку своего драйвера, а также драйвера smb! Не пойму только, зачем столько обращений делали клиенты...
    25 июня 2014 г. 7:17
  • можно подробнее про "закольцованность" ? спасибо
    25 июня 2014 г. 7:35