none
Дико тормозит AD на 2012 сервере RRS feed

  • Общие обсуждения

  • Описание проблемы:

    При поиске пользователя в AD не с контроллера домена дико тормозит и поиск может длится 30сек.

    В организации 100+ человек.

    Exchange 2010 так же тормозит и обновление любого параметра может длится до двух минут.

    DCDiag говорит следующее:

    PS C:\Users\ххх> dcdiag /test:dns -a

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = server1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\SERVER1
          Запуск проверки: Connectivity
             ......................... SERVER1 - пройдена проверка Connectivity

       Сервер проверки: Default-First-Site-Name\SERVER2
          Запуск проверки: Connectivity
             ......................... SERVER2 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\SERVER1

       Сервер проверки: Default-First-Site-Name\SERVER2

             Запуск проверки: DNS

                Проверки DNS выполняются без зависания. Подождите несколько минут...

                   Запуск проверки: DNS
                      ......................... SERVER2 - пройдена проверка DNS
             ......................... SERVER1 - пройдена проверка DNS

       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок разделов на: iskra-avigaz

       Выполнение проверок предприятия на: iskra-avigaz.local
          Запуск проверки: DNS
             Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:

                DNS-сервер: 192.168.0.1 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.0.1
                DNS-сервер: 192.168.100.1 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.100.1
             ......................... domain.local - пройдена проверка DNS

    Данных записей я не нашел на DNS серверах и от куда он их подцепляет для меня загадка.

    DNS сервера:

    192.168.0.2 (главный)

    192.168.0.3

    10 февраля 2015 г. 3:49

Все ответы

  • Описание проблемы:

    При поиске пользователя в AD не с контроллера домена дико тормозит и поиск может длится 30сек.

    В организации 100+ человек.

    Exchange 2010 так же тормозит и обновление любого параметра может длится до двух минут.

    DCDiag говорит следующее:

    PS C:\Users\ххх> dcdiag /test:dns -a

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = server1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\SERVER1
          Запуск проверки: Connectivity
             ......................... SERVER1 - пройдена проверка Connectivity

       Сервер проверки: Default-First-Site-Name\SERVER2
          Запуск проверки: Connectivity
             ......................... SERVER2 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\SERVER1

       Сервер проверки: Default-First-Site-Name\SERVER2

             Запуск проверки: DNS

                Проверки DNS выполняются без зависания. Подождите несколько минут...

                   Запуск проверки: DNS
                      ......................... SERVER2 - пройдена проверка DNS
             ......................... SERVER1 - пройдена проверка DNS

       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок разделов на: iskra-avigaz

       Выполнение проверок предприятия на: iskra-avigaz.local
          Запуск проверки: DNS
             Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:

                DNS-сервер: 192.168.0.1 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.0.1
                DNS-сервер: 192.168.100.1 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.100.1
             ......................... domain.local - пройдена проверка DNS

    Данных записей я не нашел на DNS серверах и от куда он их подцепляет для меня загадка.

    DNS сервера:

    192.168.0.2 (главный)

    192.168.0.3

    С этим разобрался, надо было откорректировать сервера пересылки в свойствах DNS сервера!.

    Есть гуру по сети, которые помогли бы пойти в нужном направлении, почему тормоза в сети? (идей больше нет, как и косяков в домене)

    10 февраля 2015 г. 7:03
  • если с DNS разобрались, то почитайте еще про сервера глобальных каталогов в домене. возможно это поможет ускорить поиск в AD.

    исходной информации не так много, поэтому все только на предположениях. вполне возможно что у Вас просто сама сеть притормаживает. но приведенный лог показывает на недонастроенный DNS.

    10 февраля 2015 г. 7:44
  • если с DNS разобрались, то почитайте еще про сервера глобальных каталогов в домене. возможно это поможет ускорить поиск в AD.

    исходной информации не так много, поэтому все только на предположениях. вполне возможно что у Вас просто сама сеть притормаживает. но приведенный лог показывает на недонастроенный DNS.

    Я не очень понял при чем тут это про сервера глобальных каталогов? Он и так у меня глобальный, без этого AD не будет существовать.


    И по исходной информации, что нужно показать?
    10 февраля 2015 г. 10:52
  • Для начала убедитесь, что торомозит именно сеть: проверьте загрузку процессора, диска и частоту страничного обмена (высокое её значение указывает на недостаток памяти).

    Если из подсистем сервера ни одна не перегружена, то только тогда имеет смысл искать задержки в сети. В противном случае надо разбираться, почему перегружен сервер.


    Слава России!

    10 февраля 2015 г. 11:14
  • Для начала убедитесь, что торомозит именно сеть: проверьте загрузку процессора, диска и частоту страничного обмена (высокое её значение указывает на недостаток памяти).

    Если из подсистем сервера ни одна не перегружена, то только тогда имеет смысл искать задержки в сети. В противном случае надо разбираться, почему перегружен сервер.


    Слава России!

    В том то и дело, что загрузки ЦП, дисков, памяти не наблюдается, как в целом и сети.

    Память

    Общее

    http://s017.radikal.ru/i404/1502/86/ca057945b673.jpg
    http://s014.radikal.ru/i326/1502/15/ed1aa679d4a9.jpg
    http://s04.radikal.ru/i177/1502/33/c82e4a5b4ce3.jpg




    10 февраля 2015 г. 11:36
  • это у вас картинка покоя?

    это картинка контроллера?

    если два раза ДА, то... у меня масса вопросов )))

    например... почему память занята на три четверти при том что если не ошибаюсь ее под сотню гиг?!

    у Вас на этом сервере еще куча всего установлено?

    и по поводу нагрузки сети... Вам надо проверить не нагрузку на сетевой адартер сервера, а нагрузку на собственно ЛАН, то есть на физическую сеть. самое простое - запустите с какой либо рабочей станции на тот же сервер бесконечный пинг и посмотрите минут пять-десять. по наличию провалов и пиков можно косвенно судить о качестве связи.

    10 февраля 2015 г. 12:39
  • это у вас картинка покоя?

    это картинка контроллера?

    если два раза ДА, то... у меня масса вопросов )))

    например... почему память занята на три четверти при том что если не ошибаюсь ее под сотню гиг?!

    у Вас на этом сервере еще куча всего установлено?

    и по поводу нагрузки сети... Вам надо проверить не нагрузку на сетевой адартер сервера, а нагрузку на собственно ЛАН, то есть на физическую сеть. самое простое - запустите с какой либо рабочей станции на тот же сервер бесконечный пинг и посмотрите минут пять-десять. по наличию провалов и пиков можно косвенно судить о качестве связи.

    Это картина середины рабочего дня.

    Оба вопроса "да"

    Скажу одно: В данном случае оба контроллера являются кластером Hyper-V, на котором вертится 5 серверов и один из них Exchange 2010. По этому памяти там почти в притык, но свободной там хватит еще на работу физического сервера.

    А по поводу провалов:

    Статистика Ping для 192.168.0.2:
        Пакетов: отправлено = 2703, получено = 2694, потеряно = 9
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 2мсек, Максимальное = 275 мсек, Среднее = 2 мсек

    11 февраля 2015 г. 7:07
  • при том что качество сети оставляет желать лучшего, есть очень не гуд факт размещения контроллеров домена в кластерах.

    и наоборот (если я не совсем правильно понял), нагружать контроллер посторонними ролями тоже не бэст практик ;) то есть крутить роль Hyper-V на компе с DC ... как бы помягче сказать... особый вид мазохизма (ИМХО)

    в любом случае у Вас букетик проблем аппаратно-архитектурного плана. даже решив вопросы с физической сетью будете продолжать получать задержки в работе DC до тех пор, пока не разнесете физически контроллеры и кластеры.

    11 февраля 2015 г. 9:00
  • Добрый день.

    Смотрите сеть, явно в ней проблема.

    Посмотрите роутинг, vlan, настройки активного сетевого оборудования. Попробуйте обновить на оборудовании ПО. Смотрите настройки сети Hyper -V


    Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-technet.com/

    Заметил такую вещь!

    На всех серверах поднятых виртуально Hyper-V идут тормоза. Как определил!

    1) Запустил пинги до физических серверов

    2) запустил пинги до виртуальных серверов с параметрами -t -l 10000

    3) Зашел на файловый физический сервер начал копировать большой объем себе на комп, через сеть соответственно.

    4) Пинги стали обрываться только на виртуальных серверах, при чем Exchange бывает и по 5-9(пингов) подряд тайм аут идет. (физические сервера и два контроллера даже не запнулись)

    Что можно посмотреть в настройках Hyper-V?

    Ведь по сути между серверами должна связь быть 10Гб\с....

    11 февраля 2015 г. 10:39
  • при том что качество сети оставляет желать лучшего, есть очень не гуд факт размещения контроллеров домена в кластерах.

    и наоборот (если я не совсем правильно понял), нагружать контроллер посторонними ролями тоже не бэст практик ;) то есть крутить роль Hyper-V на компе с DC ... как бы помягче сказать... особый вид мазохизма (ИМХО)

    в любом случае у Вас букетик проблем аппаратно-архитектурного плана. даже решив вопросы с физической сетью будете продолжать получать задержки в работе DC до тех пор, пока не разнесете физически контроллеры и кластеры.


    Да, я прекрасно понимаю, что все не гуд, но есть тонкие моменты у каждой компании по финансированию, по этому, как говорят, что имеем с тем и живем! И такой вариант, я без пары дней месяц тут работаю и довел до ума только GPO внутри домена...был полный хаус!
    11 февраля 2015 г. 10:41
  • в настройках Hyper-V посмотрите виртуальный коммутатор... там не так много настроек, но посмотрите типы подключений и использование VLAN.

    если есть физическая возможность, используйте возможность NIC Teaming, причем объединять сетевые адаптеры лучше на уровне системы хоста. не забудьте оставить вне teaming адаптер для управления хостом и адаптер для кластера. получившийся team отдайте коммутатору. так Вы физически разведете трафик хоста и Hyper-V.

    11 февраля 2015 г. 11:28
  • в настройках Hyper-V посмотрите виртуальный коммутатор... там не так много настроек, но посмотрите типы подключений и использование VLAN.

    если есть физическая возможность, используйте возможность NIC Teaming, причем объединять сетевые адаптеры лучше на уровне системы хоста. не забудьте оставить вне teaming адаптер для управления хостом и адаптер для кластера. получившийся team отдайте коммутатору. так Вы физически разведете трафик хоста и Hyper-V.

    А если все таки нет возможности, то придется менять физическое оборудование и расширять канал?
    12 февраля 2015 г. 5:10
  • сколько физических сетевых адаптеров на каждом сервере? и как они задействованы?

    (если смотреть скрины, то похоже что teaming есть... вопрос в правильности его организации)

    12 февраля 2015 г. 7:14
  • сколько физических сетевых адаптеров на каждом сервере? и как они задействованы?

    (если смотреть скрины, то похоже что teaming есть... вопрос в правильности его организации)

    Да, но там мостом сделаны карты сетевые, а не с помощью данной технологии!

    13 февраля 2015 г. 8:43
  • эмм...

    есть архитектурная необходимость в использовании моста? ведь мост может расширить канал, но при этом притормаживает трафик...

    подумайте над этим ))

    13 февраля 2015 г. 9:29
  • Мост канал не расширяет: протокол моста (IEEE 802.1D или его наследники) блокирует все избыточные пути, чтобы избежать появление петель.


    Слава России!

    13 февраля 2015 г. 11:14
  • ))) ну тогда скажем так: "может создать иллюзию расширения канала" при выполнении нескольких условий. конечно мост предназначен для решения иных вопросов, но голь на выдумки хитра )))
    13 февраля 2015 г. 14:13
  • Мост канал не расширяет: протокол моста (IEEE 802.1D или его наследники) блокирует все избыточные пути, чтобы избежать появление петель.


    Слава России!

    Господа, я решил вопрос с торможением AD.

    Дрогнула у меня рука при установке корпоративного антивируса Eset (не сочтите рекламой) и автоматом установилось все на сервера.

    После установки сеть, как-будь то преобразилась и стала летать))) Настроил на серверах антивирус, что бы все везде пускало и выпускало по правилам организации, теперь смотрю логи..кто пинал мою сеть.

    Всем спасибо за советы)

    3 марта 2015 г. 4:22