Egy samba4 szervert üzemeltetek, debian wheezy-n, bind dns-el, a rendszernek van külső és belső lába, ActiveDirectory csak a belső hálón kell. Kb 50db win7 64bit kliens, oktatási intézmény és a velejáró ciklikus ki-be jelentkezések, egyidőben. Roaming profiles, és hálózati home könyvtár van, amire menthetnek. Nem tudom releváns-e, de a dokumentumok mappájuk meg be van állítva a saját home könyvtárukra.
Két problémát tapasztalok a belső hálózaton, ami szerintem mind ugyanarra vezethető vissza:
* Esetenként nagyon lassú belépés
* Beragadó kapcsolatok (smbstatus), ennek következtében pl. néha nem is old fel bizonyos lockolásokat.Az iptables logban nem látok elkapott kapcsolatokat, a teljes rendszer beállítását kb. SzBlackY leírása alapján készítettem: http://hup.hu/node/128109
Semmilyen hálózati optimalizációt nem csináltam, a korábbi samba3+xp kliensek semmi ilyesmit nem csináltak fizikailag ugyanezen a hálózaton, azonos igénybevételek mellett se.
Tudtok-e valami ötletet adni, hogy merre induljak el, találkoztatok-e ilyesmivel, milyen infókat másoljak esetleg még be?
- 4988 megtekintés
Hozzászólások
Pontosan mit értesz beragadó kapcsolat alatt? A kliens (user) már eltűnt, de a szerver még nyitottnak érzi a kapcsolatot? A kapcsolatoknál megnyitott fájl is ragad benn? Ha nem, akkor egy deadtime megoldhatja. Ha igen: meg kéne nézni, hogy mit nem enged el. Ill. a log.samba/log.smbd-ben körülnézni, amikor van egy lassú belépés vagy beragadt egy kapcsolat.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Most épp teljesen tiszta, de ugye ma egyáltalán nem volt bejelentkezés.
Emlékeim szerint volt fájl, service és pid is, ami beragadt.
Samba logban semmi értelmes nincs, a legutolsó bejegyzés 14-ei. Hogy érdemes magasabb loglevelt beállítanom, hogy ne is tömje meg 5 perc alatt a particiót hétfőn?
- A hozzászóláshoz be kell jelentkezni
A max log size -al tudod korlátozni, hogy mekkora log fájl után kezdjen újat (az addigit átnevezi .old végződésre). 2-es/3-as log levelnél már valószínűleg látható lesz a gond és még nem lesz tele zajjal.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
A samba-t újraindítottam a loglevel miatt, esti (terheletlen) időszakban a belépés villám gyors volt, több gépen váltogatva, fájlokat létrehozva, nyitva tartva, listázva is próbáltam. Kijelentkezés után pár másodperccel az smbstatus is szépen kiürült. Elindítottam az összes klienst, hátha az floodolja a hálózatot, de úgy se tapasztaltam belépési sebesség gondot.
Samba logban (level 2) igazából sok-sok NT_STATUS_OK volt, két dolgot vettem észre:
[2014/09/29 17:52:45.944768, 2] ../source3/smbd/open.c:3053(open_directory)
open_directory: unable to create user.V2/Videos. Error was NT_STATUS_OBJECT_NAME_COLLISION
[2014/09/29 17:53:25.772057, 2] ../source3/smbd/server.c:419(remove_child_pid)
Could not find child 20820 -- ignoring
Én alapvetően arra gyanakszom, h a samba újraindítás segített, kérdés, hogy 2 hét után megint belassul-e. Még a squid ntlm auth amire gyanakszom, hogy ő eszi meg a samba-t.
Ha van értelme, holnap tudok nézni 3-as loglevelt is.
- A hozzászóláshoz be kell jelentkezni
Kicsit késlekedtem, ugyanis elég érdekes dolgokat tapasztalok a tesztek alapján:
- Reggeli órában, amikor még semelyik belső gép sincs bekapcsolva, este minden hálózati kapcsolatot volt idő lezárni... Na akkor 11 perc volt a login, gép terhelése alacsony, partíciókon van bőven hely. Squid direkt lelőve.
- Napközben hol beragadnak smbstatusba bizonyos usereek, akár több órára is, hol meg tök jól kiürül. Ez igaz terhelés nélküli, általam kontrollált (azaz azonos programok, fájlok megnyitása esetén) logineknél és terhelés alattinál is.
- Mivel az smbstatus jellemzően nem mutat file-lock-ot, így most deadtime bent van, de az hogy ez kirugdal dolgokat, az nem nyugtat meg, hiszen valamiért mégiscsak bennragadtak. Terhelés alatt még ezt az állapotot nem tudtam tesztelni, hétfőn kiderül.
- Iptables logban semmi sincs, smb loglevel 3-an se látok semmi informatív dolgot.
- Bind logban látok egyedül néha érdekes dolgokat:
Oct 3 10:14:53 host named[24221]: samba_dlz: starting transaction on zone domain.hu
Oct 3 10:14:53 host named[24221]: client 10.2.3.6#55047: view internal-view: update 'domain.hu/IN' denied
Oct 3 10:14:53 host named[24221]: samba_dlz: cancelling transaction on zone domain.hu
Oct 3 10:14:53 host named[24221]: samba_dlz: starting transaction on zone domain.hu
Oct 3 10:14:53 host named[24221]: samba_dlz: allowing update of signer=client006\$\@domain.hu name=CLIENT006.domain.hu tcpaddr= type=AAAA key=304-ms-7.1-91c0.59737bac-4ad5-11e4-32b7-0024219e1a93/160/0
Oct 3 10:14:53 host named[24221]: samba_dlz: allowing update of signer=client006\$\@domain.hu name=CLIENT006.domain.hu tcpaddr= type=A key=304-ms-7.1-91c0.59737bac-4ad5-11e4-32b7-0024219e1a93/160/0
Oct 3 10:14:53 host named[24221]: samba_dlz: allowing update of signer=client006\$\@domain.hu name=CLIENT006.domain.hu tcpaddr= type=A key=304-ms-7.1-91c0.59737bac-4ad5-11e4-32b7-0024219e1a93/160/0
Oct 3 10:14:53 host named[24221]: client 10.2.3.6#49789: view internal-view: updating zone 'domain.hu/NONE': deleting rrset at 'CLIENT006.domain.hu' AAAA
Oct 3 10:14:53 host named[24221]: client 10.2.3.6#49789: view internal-view: updating zone 'domain.hu/NONE': deleting rrset at 'CLIENT006.domain.hu' A
Oct 3 10:14:53 host named[24221]: samba_dlz: subtracted rdataset CLIENT006.domain.hu 'CLIENT006.domain.hu.#0111200#011IN#011A#01110.2.3.6'
Oct 3 10:14:53 host named[24221]: client 10.2.3.6#49789: view internal-view: updating zone 'domain.hu/NONE': adding an RR at 'CLIENT006.domain.hu' A
Oct 3 10:14:53 host named[24221]: samba_dlz: added rdataset CLIENT006.domain.hu 'CLIENT006.domain.hu.#0111200#011IN#011A#01110.2.3.6'
Oct 3 10:14:54 host named[24221]: samba_dlz: committed transaction on zone domain.hu
Illetve:
Oct 3 10:16:40 host named[24221]: samba_dlz: starting transaction on zone domain.hu
Oct 3 10:16:40 host named[24221]: samba_dlz: disallowing update of signer=client010\$\@domain.hu name=CLIENT010.domain.hu type=AAAA error=insufficient access rights
Oct 3 10:16:40 host named[24221]: client 10.2.3.10#62266: view internal-view: updating zone 'domain.hu/NONE': update failed: rejected by secure update (REFUSED)
Oct 3 10:16:40 host named[24221]: samba_dlz: cancelling transaction on zone domain.hu
Illetve:
Oct 5 09:59:44 host named[24221]: client 8.8.4.4#51994: view external-view: query 'domain.hu/SOA/IN' denied
Oct 5 09:59:44 host named[24221]: client 8.8.4.4#60171: view external-view: transfer of 'domain.hu/IN': IXFR ended
Oct 5 10:43:39 host named[24221]: client 8.8.8.8#55957: view external-view: query 'domain.hu/SOA/IN' denied
Oct 5 10:43:39 host named[24221]: client 8.8.8.8#59157: view external-view: transfer of 'domain.hu/IN': IXFR ended
Oct 5 11:25:38 host named[24221]: client 8.8.8.8#63972: view external-view: query '3.2.1.in-addr.arpa/SOA/IN' denied
Oct 5 11:25:38 host named[24221]: client 8.8.8.8#59139: view external-view: transfer of '3.2.1.in-addr.arpa/IN': IXFR ended
Oct 5 11:59:50 host named[24221]: client 8.8.4.4#58502: view external-view: query '3.2.1.in-addr.arpa/SOA/IN' denied
Oct 5 11:59:50 host named[24221]: client 8.8.4.4#62935: view external-view: transfer of '3.2.1.in-addr.arpa/IN': IXFR ended
A bindhez annyi, hogy hidden master vagyok a külső lábon, split-view beüzemelve. Kifelé a transfer látszólag jól működik, de bindhez nem vagyok nagy guru. Illetve még annyi van, hogy a samba provision-kor a külső és a belső láb is be volt kapcsolva, és úgy látom, hogy a külső láb lett az elsődleges, legalábbis ha windows dns managerét megnyitom, akkor a külső ip mellé írja hogy static, a többi mellé hivatkozást ír.
Kérek szépen tanácsokat miket nézzek, vagy merre kutassak még.
- A hozzászóláshoz be kell jelentkezni
signer=client010\$\@domain.hu name=CLIENT010.domain.hu type=AAAA error=insufficient access rights
A domain.hu az tényleg domain.hu vagy csak átírtad? Ha tényleg az elég nagy probléma, mert az valszeg nem a Te domain-ed. Helyette használj belső domaineket ,amik mondjuk .lan-ra végződnek.
- A hozzászóláshoz be kell jelentkezni
természetesen átírtam, a domain, és hozzátartozó sok-sok publikus ip a mienk, belső hálón persze belső ip-k vannak. Nyilván ettől még kérdés, h mi az oka a jogosultsághibának.
allow-update, allow-query a tartományra engedélyezve van, recursion yes az internal-view-ra.
Milyen egyéb beállítás kellhet?
- A hozzászóláshoz be kell jelentkezni
Mekkorát a profilok? Ezeket le szokta másolni, nem ez tart sokáig?
- A hozzászóláshoz be kell jelentkezni
A profilok ugye első bejelentkezésnél a kliensen jönnek létre, kijelentkezéskor kerülnek a szerverre. A bejelentkezés jellemzően ugyanazon a gépen történnek, tehát a helyi másolat is narakész, így lefelé se kéne nagyon másolgatni. A p saját profilom az pl 74MB és tart vagy 8 percig mire bejelentkezik.
- A hozzászóláshoz be kell jelentkezni