[megoldva]Zentyal lassú webes felület

Hálózatok egyéb

Sziasztok!

 

Zentyal 7.0-t frissítettünk 7.1-re majd a 7.1-et 8.0-ra és felmerült némi kellemetlenség, hogy iszonyatosan lassú a webes felület.

 

A /var/log/zentyal/error.log, ami egy általa indított nginx annyit ír, hogy timeout-ra futott az Unix socket-en, amit proxy-zik.

A /var/log/zentyal/zentyal.log sok érdemit nem mond, miközben várakozik a kliens, semmi infó. Néha egy-egy alkalommal egy pillanat alatt bentvan az admin gui, de máskor hosszú másodpercekig vár, majd villanásra betölt, tehát nem az van, hogy lassan jön a response, ha egyszer megindul, akkor pörög. Ugyanez a cURL is, az is a head-ereket lehúzza, de aztán időtlen időkig vár a tartalomra, akár egy sima login oldalra is.

 

Amit eddig megnéztem és nem vezetett előrébb
 - Redis, firewall, DNS, samba-ad-dc kikapcsolása ideiglenesen, nem oldotta meg
- zs firewall, dns stop és start, nem segített
- DNS-bejegyzések átnézése, nem segített, elvileg jók, a nslookup és host is jól adja vissza a külső és belső címeket

 

A log időnként ezt írja ki, ha a DNS-t próbálja módosítani
2025/07/02 10:58:49 ERROR> GlobalImpl.pm:728 EBox::GlobalImpl::saveAllModules - The following modules failed while saving their changes, their state is unknown: dns  at The following modules failed while saving their changes, their state is unknown: dns  at /usr/share/perl5/EBox/GlobalImpl.pm line 728
EBox::GlobalImpl::saveAllModules('EBox::GlobalImpl=HASH(0x563a9bd9aa10)', 'progress', 'EBox::ProgressIndicator=HASH(0x563a9bc63dd8)') called at /usr/share/perl5/EBox/Global.pm line 95
EBox::Global::AUTOLOAD('EBox::Global=HASH(0x563a9bc52050)', 'progress', 'EBox::ProgressIndicator=HASH(0x563a9bc63dd8)') called at /usr/share/zentyal/global-action line 32
eval {...} at /usr/share/zentyal/global-action line 30

 

A Google-keresés, AI-k nem adtak használható választ, annyit árul el a Zentyal a /var/log/zentyal/uwsgi.log-ban, hogy néha 30--40 másodpercig is vár egy kérés, aztán vagy kifut a nginx timeout, vagy nem, vagy kifut a böngészőié, vagy nem.

 

Van esetleg valami ötletetek, mit lehetne elkövetni, hol kéne keresni a hibát, vagy hogy lehetne újrakonfigoltatni vele a DNS-t?

 

Köszi előre is!

 

Megoldás:

 

Az én esetemben a /var/lib/samba/CA mappában lévő index.txt okozta a problémát. Lejárt a CA és meg kellett újítani, csak így mégtovább hízott az itt lévő, lejárt, visszavont cert-ek száma.

Az r betűvel jelzett revoke-olt sorokat kivettem, illetve azokat, amik szerinte valid-ak voltak, de a fölötte lévő CA már neméppen.

Így begyorsult a webfelület és megy rendesen minden.

 

Köszi mindenkinek a segítséget!

  • 587 megtekintés

( ggallo | 2025. 08. 13., sze – 16:29 )

Szerkesztve: 2025. 08. 13., sze – 16:29

Én kettő dologgal szívtam eddig minden Zentyal-on.

1) A BIND DNS szerver AD user-nek lejár a jelszava, és onnantól nem megy a DNS service restart meg ilyenek. Ezt megoldani samba-tool user set-expiry szerverneve-dns --noexpiry paranccsal lehet leggyorsabban. Mondjuk ettől a felület nem lassú, csak gyakori szívás oka.

2) Ha nem tudja bármiért lekérdezni az elérhető legfrissebb Zentyal verziószámot (mert pl. a Zentyal-nál nem működik a webszerver, ami ezt szolgáltatja) akkor a Dashboard bazi lassan jelenik meg (akkor is, ha a legfrissebb verzión van és nem is jelenítene meg semmi frissítési felhívás zöld ablakot a kép tetején). Ez egy időben annyira gáz volt, hogy meg sem jelent az admin felület (mert bedőlt az eredeti Zentyal cég és leállították a kiszolgálókat), a Perl forrásban kellett kikommentezni a check-részt mert nem volt timeout a lekérésre.

Köszi! a másodikhoz tudsz adni kérlek egy kis hintet, hogy merre keressem? Megpróbálnám kiütni, hátha...

 

Egyébként ha bekapcsolom a debug-ot, a kb. 80 cert-re látok openssl x509-es olvasásból vagy 600 darabot, amikor megnyitom a webgui-t a /var/log/zentyal/zentyal.log-ban. Nem vagyok benne biztos, hogy ez normális, hogy ennyit olvassa a tanusítványokat, akár ez is lassíthatja...

TheAdam

Persze, itt van a Zentyal Gihub-os Issue, amiben írtam a megoldásról is anno. Ebben megtalálod, hol van ez az ellenőrzés és akár ki is dobhatod teljesen, helyettesítve valami fix eredménnyel a lekérést.

A tanúsítvány olvasgatásra nincs tippem, sohasem találkoztam vele (nem néztem ilyen szemmel a debug log-ot sose). De valóban, egy csomó openssl futtatás is megfoghatja.

Köszi ezt is! Meg fogom nézni.

Közben nyomoztam kicsit, a /var/lib/zentyal/CA/index.txt fogja meg. Ha azt kiveszem, akkor begyorsul. Csak hát elég sok cert van benne, így újra kéne index-elni, vagy hasonló...

 

Lehet a teljes CA-tól megpróbálom újraépíteni és kidobom a régieket, mert rengeteg tanusítvány van benne, az elmúlt 10--15 év összes termése, sok sok visszavont etc. cert.

TheAdam

( Ritter | 2025. 08. 13., sze – 18:14 )

Szerkesztve: 2025. 08. 13., sze – 18:14

Zentyal volt a belépőm a Linux világába. Szerencse, hogy nem fordítottam hátat azonnal neki emiatt a spanyol borzalom miatt. A Zentyal egyetlen dologra jó, összeszedni belőle a programlistát, azt egész jól összeállítják, majd utána az egészet felépíteni egy épkézláb Ubuntu serverre. 

A Zarafa SOGo váltás is elég meredek volt tőlük, miután a userek megszokták kaptak egy teljesen más webUI-t és persze jönnek tömegesen panaszkodni. Már 15 éve is sok probléma volt ezen túl is egy Zentyal upgrade után. Fogadd meg a jótanácsot és felejtsd el a Zentyal-t. Csinálj egyet magadnak inkább egy értelmes disztribúcióra. A spanyolok műszaki érzéke és mérnöki képessége sajnos a nullával egyenlő. 

Amit a Zentyal tud, azt 99%-ban el lehetne kezelgetni egy RSAT-os Windows-os masináról. OpenVPN-hez kéne még valami GUI, de gondolom két perc Google/ChatGPT megmondaná, hogy mi erre a legjobb sokcsillagos GitHub projekt. Úgyhogy ja, abszolút igazad van, hogy ez azért igen sok sebből vérzik.

 

Köszi mindenesetre a feedback-et, az megnyugtató, hogy ezek szerint a szoftver is hemzseg a problémáktól, nem nálunk keresendő a hiba. Frissítés után például második rebootra jött fel a desktop GUI-ja meg a belső hálózatunkra néző interfész.

TheAdam

Alapvetően egyetértek én is, viszont szerintem annyira nem rossz, hogy kézzel rakjak össze egy ugyan ilyen rendszert a komponensekből és text konfigokban matassak mindenért (kivéve az RSAT-os user management).

Amennyiben azt az egyszerű dolgot betartja az ember, hogy minden főverzióról csak annak ténylegesen legutolsó frissítése után vált új főverzióra, akkor csak néhány kisebb szívás marad. De tapasztalatom szerint ilyen egy több feladatot ellátó Debian vagy Ubuntu rendszernél is becsúszik olykor.

Én az utóbbi években frissítettem több örökölt Zentyal rendszert 5-ről egészen 8-ig, és kisebb debaug-okkal mind működött a végére. Szerencsére a Zarafa-s 4-es és régebbi verziók kimaradtak az életemből, a neten olvasottak alapján azért ahhoz az időhöz képest sokat javult.

Az a gond, hogy mára nincs más kész és működő alternatíva, ha csak annyi kell, amit a Zentyal tud. Mármint olyan, amit nem magamnak faragok, hanem a legkisebb energiával ügyfélnél is felteszek és üzemeltetek. Minden más szereplő kiesett vagy fókuszt váltott (lásd NethServer). Egyetlen "konkurencia" a német UCS, de az teljesen más filozófia szerint épül, és nem modanám sem egyszerűbbnek, sem robosztusabbnak (de félreértés ne essék, elég jó szoftver és jó a támogatása is, csak a support előfizetés már bőven Windows Server árban van fizetendők terén). Ha csak fájl szerver, AD DC, meg levelező kell egy kis ügyfélhez nem-Windows alapon, én most is Zentyal-t teszek fel, nem UCS-t és nem kézzel épített rendszert.

Ez a mostani ez egy 3.2-ről (vagy valami ilyesmi) indult történet, felfrissítették 4-esre, meg talán 5-re is és utána kezdtem vele el foglalkozni.

 

A 7-esre átállásnál volt egy fizikai vas csere is, ott a backup-ot vittük át. Visszaállásnál kijött valami hiba, egy olyan fájl meglétét hiányolta, amit ő maga hoz létre, az ellenőrzés után, ez a teljes backup folyamatot megakasztotta. Itt az volt a megoldás, hogy a Perl kódban ki kellett cserélni néhány sort a backup-ot visszaállító script-ben.

 

Igen, szerencsére amúgy ki lehet simogatni, meg ha mindig felfrissített környezetből indul a nagyobb frissítés, akkor ritkán törik. Ráadásul, ha ki van rendesen simítva, akkor utána ideális esetben csak működik és nem igazán igényel több törődést mint a felügyelet, meg a frissítések. Debug-olni nehéz kicsit, mert sok esetben a Zentyal oldali fórumbejegyzések igen hiányosak, illetve nagyon egyediek tudnak lenni az issue-k.

TheAdam

Alapvetően egyetértek én is, viszont szerintem annyira nem rossz, hogy kézzel rakjak össze egy ugyan ilyen rendszert a komponensekből és text konfigokban matassak mindenért (kivéve az RSAT-os user management).

Megértem ha nem saját magad akarod Ubuntu alapról felépíteni a szervert, ami nálam bevált a Zentyal frusztrációk után, de természetesen teljesen valid igény egy all-in-one rendszer. Erra azóta van pár (majdnem)kulcsrakész megoldás.

NethServer és Univention (UCS). Az előbbi Rocky Linux alapú, korábban persze CentOS volt. Az utóbbi Debianos. Egyiket sem ismerem, de ismerősök akik használják nem szoktak rájuk panaszkodni. 

A TrueNAS SCALE az utóbbi időben keltette fel a figyelmemet, amióta Debiant behozták a Scale-lel. Egy kicsit más filozófiát követ, mint a NethServer vagy az UCS, vagy a Zentyal ezért is érdemes részletesebben bemutatnom a különbségeit. Míg az előbbiek "all-in-one szolgáltatás-szerverek", addig a TrueNAS SCALE egy "tároló-központú" storage-first platform, amit egy rendkívül erős alkalmazás-réteggel egészítettek ki.

A kulcs a TrueNAS SCALE Apps rendszerében rejlik, ami egy felhasználóbarát felület a Docker konténerek és Kubernetes alkalmazások futtatására. Ezzel felhúzható a Zentyal összes szolgáltatása. Nézzük ezeket, legalábbis amikre szükség volt amikor még Zentyal-oztam:

Gdrive szerű fájlkezelő
Ez a TrueNAS SCALE-nek abszolút hazai pályája. Két szinten is tökéletes megoldást nyújt,

Alap Fájlszerver: A világ egyik legjobb és legmegbízhatóbb fájlszerver rendszere (ZFS alapokon!!), ami villámgyors SMB és NFS megosztásokat kínál.

Nextcloud App: A Gdrive-élményhez itt is a Nextcloud a tökéletes válasz, ami appként telepíthető. A hatalmas előnye, hogy a Nextcloud adatai közvetlenül a TrueNAS által kezelt, ZFS által védett, ultrabiztonságos tárolón helyezkednek el. Ez a kombináció verhetetlen.

 

VPN Menedzsment
Ezt is az Apps rendszeren keresztül oldja meg. Telepíthetsz: WireGuard appot wg-easy-t, aminek saját egyszerű webes felülete van.
OpenVPN szervert, amihez OpenVPN-AS ajánlott. Mivel ez utóbbi kereskedelmi termék van egy 2 darab openvpn egyidejű kapcsolatos limit a free licencnél. 
Vagy Tailscale klienst, ami egy modern, zero-config VPN megoldás.
Bár egyik esetben sem lesz a menedzsment a TrueNAS központi felületébe beépítve, helyette az adott VPN app saját felületén vagy konfigurációs fájljain keresztül történik. Ez elfogadható kompromisszumnak tűnik.

 

Webmail & Webcalendar
Itt jön elő a storage-first filozófia.
Webmail és Webcalendar: Ezt a funkciót a Nextcloud app tökéletesen biztosítja, a névjegyekkel (Contacts) együtt. Fontos, hogy ez csak webmail és társai kliens, email-szervert nem tud. 
Saját email szerverre: Mailcow. Részemről soha többet saját e-mail szervert, de erre azt mondják nagyon jó és egyben van. Kapsz vele egy második webmailt, a jól ismet SOGo-t. 

A TrueNAS SCALE a legjobb választás, ha a kiindulási pontod az, hogy elsősorban egy sziklaszilárd, modern és gyors fájlszerverre van szükséged, ami ZFS-t használ, és EMELLETT szeretnél rajta további szolgáltatásokat, appokat is futtatni. A TrueNAS inkább egy tároló-központú Storage-first kiváló alkalmazás-réteggel még a fentiek, NethServer és UCS illetve a béna Zentyal egy szolgáltatás-központú, Service-first rendszer. 

Szóval szerintem a TrueNAS SCALE egy fantasztikus rendszer, és abszolút a Zentyal modern alternatívái között van a helye. Ha a fájlok biztonságos tárolása és megosztása az elsődleges prioritás, és mellette szeretnél egy könnyen használható alkalmazás-platformot, de nem magadnak akarod szűz Ubuntu alapról összerakni, akkor valószínűleg a legjobb választás. De ha nem a fájlszerver az elsődleges, szerintem akkor is a legjobb választás az Apps miatt. Még csak kísérletezek vele, de esélyes, hogy egyszer átveszi az éles szervereimet. 

A saját tapasztalatom a következő az elhangzottakról:

A NethServer a 7-es verzióig egy Zentyal-UCS-Windows Server Essentials alternatíva volt, jól összerakva, de elavult OS-sel és csomagokkal. A lázas fejlesztésben (ami vagy 3 évig tartott...) elvesztették a fonalat (szerintem), és átalakították az egész rendszert egy konténer alapú futtató környezetté, ahol az addigi funkciók csak egy a sok lehetőség közül - ennyi figyelmet is kapva a minőség terén.

Az UCS rettentő átgondolt és kidolgozott, naprakész szoftverekkel, jó dokumentációval. Egy baja, hogy kizárólag szólóban használhatod az ingyenes verziót, mert a licence nem engedi semelyik adat replikálását, így a licenc alapján nem lehet pl. két DC-d az ingyenesből. Fizetősen pedig annyiba kerül, mintha Windows Server-t vennél... Ezen felül kicsit meredekebb a tanulási görbéje a másik kettőnél, mert meg kell szokni az alap LDAP directory-t, amiben mindent tárol, és az AD funkció csak egy erre épített plusz rendszer (pl. az UCS DS-ből automatikusa replikálja a változásokat az AD-be és vissza, szóval elég összetett egy sima Samba AD-hez képest a működése, és ha baja van, akkor nem egyszerű kibogozni, helyrehozni).

A TrueNAS egy szuper (ha nem a legszuperebb) tároló platform. Viszont applikációs platformnak, pláne AD szervernek nem túl jó (finoman szólva). Értem a motivációjukat, miért fejlesztik ilyen hiperkonvergens app platform irányba, de egyelőre nem sikerül nekik (pedig vagy 5-6 éve van Scale...). Mondom ezt úgy, hogy FreeNAS felhasználó vagyok a 0.x verzióktól. A főverziónként cserélt technológiák miatt van vele gond, mióta Scale. Indított Kubernetessel, majd lett Docker és most van az Incus, amiból csak a konténerek production ready, a VM-ek még nem, majd talán a 26-os verziókban (ha addig meg nem gondolják és le nem cserélik megint). Szóval egyelőre a tároláson kívüli részei nem túl jövőállóak, nem könnyen frissíthetőek (pl. 24.04-ről le kellett menteni a VM-eket és újracsinálni a 24.10-ben...). Ha nem csak tárolás használsz, akkor általában reinstall a főverzió váltás a gyökeresen más technológiák miatt. Ez fenntarthatatlan üzemeltetési szempontból. Majd ha 5 éve nem változott az alap, akkor teszek rá mást is, mint fájlmegosztás.

A Nextcloud szuper, mi is használjuk cégesen bizonyos feladatokra. Viszont nem tudod vele kiváltani a sima Windows megosztás funkcionalitást, és nem igazán kompatibilis az Office programokkal natívan (sima állományt a Nextcloud szinkronizált mappából persze lehet szerkeszteni velük, csak nem életbiztosítás, hogy más megnyitotta-e weben keresztül...).

A Mailcow szuper, ha on-prem mail szerver kell valahová, rá se nézz másra, használd ezt.

Jelenleg sajnos az a két valódi, fenntarthatónak tűnő (ingyenes) alternatíva, hogy Zentyal vagy kézzel konfigurált rendszer.

Az Incus-ig el sem jutottam TrueNAS-on. Jelenleg még csak kísérletezés terepe. Azt írták, hogy a usereik nem boldogultak kubernetessel ha valami probléma adódott. Miattuk váltottak Incus-ra, ahol a többség otthonosabban érzi magát. Ez klasszikus rendszergazda szemléletű inkább szerintem, még a Kubernetes inkább devops szemléletű. Hátránynak nem tekintem, hogy figyelnek a usereik visszajelzéseire, még akkor is ha egyébként nincs igazuk, mert a kubernetes jobb lenne, de nem tudják megszokni. Ha jól értem az Incus már maradni fog. Ez már a userek többségének is megfelel. Magának az Incusnak a jövőjét stabilnak látom. Inkább a Canonical LXD jövőjénél érzek kérdőjeleket ahonnan kiforkoltak, ráadául az eredeti fejlesztőkkel. 

Ha ma még nem is, de pár év múlva szerintem egy nagyon jó alternatíva lehet a TrueNAS SCALE. Szerintem ehhez 5 év sem kell. 

Így van. A Kubernetes túlzás volt úgy, hogy még csak kezdegették az elosztott rendszereket. Aztán a Docker-nek megörült mindenki, aztán az Incus váltásnak megint nem, mert a Docker pont megfelet mindenre.

Ahogy mondod, majd 5 év múlva, mikorra kiforranak ezek a próbálkozásaik, akkor jó lesz app. platrofmnak is. Addig én csak tárolónak használom, mert annak már most is jó.