Ahoy,
Pár napja jelentkezett a probléma, hogy a levelező kliensek (Outlook,Thunderbird) lassan, vagy egyáltalán nem, vagy sikeresen tudnak csatlakozni a levelező szerveren futó dovecot imaps kiszolgálóhoz. Olyan is előfordult hogy az SSL kapcsolatok nem jönnek létre. Webmail-en viszonylag jól megy. A dovecot 3.1TB-ot szolgál ki maildir formátumban, a szerver Dell T710, raid 5-el.
Ami érdekes hogy néha a belső hálózatból külsős SSL-es email kapcsolatokat sem lehet felépíteni. De nem hálózati probléma, mert más adatforgalom hiba nélkül, megfelelő sebességgel működik. A dovecot egy AD-ból authentikál. AZ alap rendszer Fedora, próbáltuk Debi-vel is, de egy friss telepítésnél ott is gond volt az SSL eléréssel.
Tippeket szeretnék kérni hogy milyen gond lehet.
Köszi
Hozzászólások
Szép játékszer, ezt hozta a Mikulás? :D Komolyra fordítva a szót:
Ha ilyen gondom lenne, megnézném a logokat először is.
Aztán meg:
Van e elég RAM a gépben?
Milyen a disk load? top jobb felső sarokban kiirja "wa" értéket, ha várnia kell a lemezre a rendszernek. Még amit megnéznék az iotop, iostat.
tcpdump -al ráülni az interface-re és nézni mi történik "külsős SSL-es email kapcsolat" esetén. Esetleg tolnék telnet -et kintre megfelelő porton. Megnézném a DNS-t, stb.
-
Telnetet SSL-re? Viccezel-e?
openssl s_client -connect <külső_ip>:993
Így inkább, de ez meg nem telnet.
--
PtY - www.onlinedemo.hu
Szerintem arra teljesen jó hogy letesztelje nyitott e a port. Egyes helyeken port scan-t policy nem tesz lehetővé, és ott így nézik meg.
-
Sorrendben ezeket nézném meg:
- iostat
- bbwc/bbu ugye van a raiden, ha nem software raid?
- dovecot log, lehet csak simán kevés az engedélyezett kapcsolat vagy kevés a futó auth szál
- dmesg és tsai, ahogy írták lehet kevés memó
- az AD auth nem ad hozzá nagy késleltetést a belépéshez?
Csak érdekesség képpen. Hétfőn délután jelentkeztek a problémák, mint derült égből a villámcsapás egyszerre 3 szerveren. Elötte senki, semmit nem konfolt, és plussz user sem lett hozzáadva. Ua. a konfig futott rajta amikor működött, mint amikor a hibákat elkezdte tolni. Igy kizárnám a konfigurációs megoldásokat, pl: dovecot szálak növelése. Jól gondolom ?
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
Semmit sem lehet kizárni. Simán elképzelhető, hogy addigra jutott el annyi szálig a szerver, ami sokk lett. A logok nézegetése és processzek számolása nélkül igen nehéz más tippet adni a fenti listánál, hacsak valami nem találkozott pont ilyennel. Nálunk olyan 200G-nyi emailen szalad a dovecot, de 1000 körüli már a fiókszám, imap és pop3 vegyesen, általában SSL-el. Eddig nem volt gond. Azt sem gondolnám, hogy a tárolt emailek mennyisége és az ssl vagy bármilyen kapcsolódás között közvetlen összefüggés lehet.
"Olyan is előfordult hogy az SSL kapcsolatok nem jönnek létre. Webmail-en viszonylag jól megy."
Jól sejtem, hogy a webmail imap-ot használt, míg a kliensek imaps-ot?
webmail is imaps-ot használ.
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
Nálam is jelentkezett ilyen hiba postfixnél levélküldésnél. A szerveren régi csomagok voltak, frissítettem a certificateket, meg a postfixet is, meg saslauth ot, nem tudom melyik oldotta meg, de jó lett, igaz a levelező klienset újra kellett indítani hozzá (fura).
Egyébként dec. 3-án történt, minden ismert ok nélkül:
Dec 3 08:16:04 xyxyxy postfix/smtpd[27439]: warning: TLS library problem: 27439:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1195:SSL alert number 42:
Ilyen hibák voltak. Ezeket frissítettem (Gentoo)
app-misc/ca-certificates
dev-libs/openssl
net-mail/courier-imap
dev-libs/cyrus-sasl
mail-mta/postfix
+ minden szolgáltatás restart után kliens restart után jó lett. Azóta megy minden (újra)
Mindig elcsodálkozom azon, hogy mennyire képtelenek az önálló feladatmegoldásra korunk rendszergazdái. :(
--
zsebHUP-ot használok!
Akkor a 32 évemmel már öreg én is vagyok? :) Be kéne vezetni az UltraSeniorAdmin titulust is lassan. Egyébként nekünk annó nem volt internet, meg hasonló kézfogás, legfeljebb egy vagy néhány haver akitől lehetett kérdezni. Azt is csak rtfm után...
Hát igen az a baj hogy nagyon elkényelmesedtünk, megszoktuk, hogy problémáink 80 százalékára a google, vagy egy fórum megoldást ad. Már nem próbáljuk meg boncolgatni, körbejárni a problémát, minek csak időveszteség, valaki már megcsinálta. A probléma mindig az a 20%, amire nem lesz így megoldás, és ez különbözteti a szakembert az egyszeri munkásembertől, hogy ő azt a 20%-ot is meg tudja oldani. Csak manapság nem divat szakembereket alkalmazni, hiszen minek megy az anélkül is, meg drága, stb...
Annyira azért nem vagy öreg, hogy "Bezzeg a mi időnkben!"-nezzél, azt meg pláne nem mondhatod, hogy annó nem volt internet, ha csak 1981-ben a szülészeten nem azt kerested azonnal... ;)
Ha zavar hogy van aki kérdez, esetleg megoszt tapasztalatot, akkor ne olvasd a fórumot, de ha már olvasod, akkor tartsd magadban a hasonló hozzászólásaidat, aminek nincs értelme, és még csak smile sincs a végén. Egyébként nem te szopsz a problémával, és baromi szar érzés, hogy még a hiba lehetséges okát sem tudjuk....
Több céggel a hátam mögött saját vállalkozással nem mondanám, hogy képtelen vagyok az önálló feladatmegoldásra. Nem, nem a sértődés beszél belőlem.
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
Nem az zavar, hanem az, amikor feltesz valaki egy kérdést, anélkül, hogy megcsinálta volna a házi feladatát, vagy közölné az eredményt, amire jutott.
Ha részletesen leírtad volna, hogy mivel próbálkoztál, mit néztél át, mit látsz, milyen beállítások vannak, logot, trace-t, akármit gyűjtöttél volna, és nem azok próbálnák meg kihúzni belőled a részleteket, akik segíteni akarnak, nem írtam volna ilyet.
Egyébként meg egy jelenséget írtam csak le, amit tapasztalok, és erről a topicról jutott eszembe. :)
--
zsebHUP-ot használok!
A jelenség teljesen általános - külföldi levlistákon is gyakran előfordul, hogy a dokumentáció hiányosságaira hivatkozva kérnek segítséget olyan dologban, ami értelmesen leírva megtalálható több dokumentációban is, és lusták használni a google/archivum egyéb lehetőségeit is.
Ez csupán lustaság, minek keressen a problémára, ha elég leírni egy levlistán/fórumban, valaki majd megírja a tutit.
Igen, általános dolog (sajnos), és ebben egyetértek Veled, de lehetett volna finomabban is utalni a jelenségre :)
--
PtY - www.onlinedemo.hu
2 nap tömény szo*/*sát nem tudom leírni nap közben mert nem irodában dolgozom. Ha hazaértem megpróbálom összefoglalni.
A többit vettem......
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
Letörésszerű teljesítménycsökkenést okozhat a TCP kapcsolatok magas száma.
A jelenség látszólag nem mérhető. Tehát
- nincs magas CPU terhelés
- nincs magas diszk IO
- nincs magas hálózati forgalom
Egyszerűen meg kell számlálni a hálózati kapcsolatok számát.
Az imap meg pont ilyen.