eDirectory 8.8.5 on NW6.5sp8 (опыт наступания на грабли)

[Константин Ошмян]

Ввиду того, что новая версия IDM 3.6.1 требует для своей работы eDirectory не ниже чем 885, пришлось мне ставить в нашей сети эту версию (до этого была 8.8.4 + патч edir884_ftf1_nw.zip). Ну а поскольку всегда рекомендуется иметь выровненную версию на всех серверах, то я её и ставил на все наши серверы NetWare 6.5sp8. Может, кому-то окажется полезным мой опыт, чтобы не наступать на те же грабли.

Грабли 1. Если Вы специально не конфигурировали распределение памяти для eDirectory, то при установке eDirectory 885 автоматически прописывается верхний предел в 200 МБ. К сожалению, где-то что-то срабатывает не так; по крайней мере результат этого - то, что модуль DS.NLM начинает отъедать 200 МБ сразу же после загрузки (в моём случае до апгрейда он занимал 40-50 МБ на серверах с репликами и около 15 МБ на серверах без реплик). Это хорошо видно, например, через Remote Manager (https://сервер:8009) на закладке "Manage Applications" -> "List Modules". На серверах с достаточным количеством оперативки это бросается в глаза не сразу (просто сервер начинает подтормаживать, т.к. под остальные задачи памяти остаётся меньше). Серверам с малым объёмом плохеет сразу (при наличии лишь полгигабайта RAM сервер после перезагрузки просто абендится).
Решение. Самый простой вариант - это через NDS iMonitor (из Remote Manager-а: "Manage eDirectory" -> "NDS iMonitor", или же просто https://сервер:8009/nds-summary) зайти в Agent Configuration -> Database Cache, и переключиться обратно на "Dynamic Adjust" (при следующей загрузке DS.NLM займёт места меньше). Альтернативный вариант - отредактировать напрямую (или удалить, как это было изначально) текстовый файл, где эти настройки сохраняются: SYS:\_NETWARE\_NDSDB.INI .

Грабли 2. После установки на eDir885 патча edir885_Patch3.zip при перезагрузке сервера в экране LOGGER видна ругань на неразрешённые внешние ссылки, в результате чего не может загрузиться модуль SPMNWCC.NLM. В дальнейшем после этого, если зайти Remote Manager-ом, то на экране Health Monitor видны куча ругани на неадекватное количество Failed Logins Per Hour.
Решение. Если ставите патч edir885_Patch3.zip, то не забудьте сразу же поставить и патч nmas3323patch1.zip, он решает эти проблемы. Между публикациями этих патчей - несколько дней, а я умудрился первый из своих серверов пропатчить как раз в этот промежуток.

Грабли 3. В процессе установки, если выбрать Local (non-RConsole) installation, то в графическом интерфейсе задаётся вопрос про то, какие NMAS-методы ставить и конфигурировать ли данный сервер для SecretStore (при выборе варианта "Remote (via RConsole)" графический интерфейс вообще не запускается, а ставится всё безо всякого выбора). Так вот, если данный сервер конфигурируется для SecretSore, а реплик eDirectory на нём нет, то после перезагрузки на консоли идёт ругань следующего вида:

Код: Выделить всё

4-10-2010   6:18:01 pm:    SERVER-5.70-836
     Error unloading killed loadable module (SSS.NLM) Novell SecretStore
     3.4.1.32

4-10-2010   6:18:02 pm:    SERVER-5.70-836
     Error unloading killed loadable module (LSSS.NLM) Novell SecretStore LDAP
     Extension Manager 3.4.1.32

4-10-2010   6:18:33 pm:    SERVER-5.70-836
     Error unloading killed loadable module (SSLDP.NLM) Novell SecretStore LDAP
     Transport Plugin 3.4.1.32

Решение: не конфигурировать сервер как SecretStore при установке. Если на эти грабли уже наступили - то пока не знаю. Может, кто-нибудь уже разобрался с этим SecretStore?

[Dimerson]

про 1 - спасибо - любопытно - хотя серверов с 512 метрами и свежими ос найти сложно - станции берутся с 1-2 гигами уже. у меня хадж по северам - 65сп6SBS пересборка на новое железо (и харды в тч) и добивание рамы с 2 до 4 гигов.

про 2 - гляну на стенде - стоит с 885 п3 и вроде безсимптомен.

про 3 - простите за тупость - так и не удосужился можно ли воспользоваться функционалом Secret Store без докупки тучи софта ... ?

вопрос вам как к спецу по ds.nlm - топовая версия для 60 sp5 какая у нас - 8739 или 87310 встает ? светит вживлять в 862 дерево oes 2 свежекупленный (да мы извращенцы) потому и интересуюсь.

UPD: по 2 - все чисто - Failed Logins = 0

[Ковалев Артем]

вопрос вам как к спецу по ds.nlm - топовая версия для 60 sp5 какая у нас - 8739 или 87310 встает ? светит вживлять в 862 дерево oes 2 свежекупленный (да мы извращенцы) потому и интересуюсь.

Я не спец, конечно, но встряну.
У меня OES2 стоит в одном дереве с NW60SP5 (Novell eDirectory Version 8.6.2 SMP NDS Version 10350.30 December 15, 2003) и с NW5.1SP1 (Server Version 5.00.11 January 19, 2005 NDS Version 8.85 c December 19, 2003).
Полёт нормальный.

[Dimerson]

Спасибо за ответ. Если не секрет где живёт мастер и CA ?

[Константин Ошмян]

Спасибо за ответы

Про 1. Ну, про новые серверы согласен. Хотя, с другой стороны, если старый сервер под свою конкретную задачу крутится себе с 512 МБ и каши не просит - так чего суетиться?..

Про 2. Dimerson, а у вас патч edir885_Patch3.zip установлен? Эта проблема возникала лишь в случае, когда edir885_Patch3.zip проставлен, а nmas3323patch1.zip - нет.

Про 3. Я сам сейчас с этим пытаюсь разобраться. Поскольку рассматривается возможность использования Secure Login (который этим SecretStore точно активно пользуется), то хотелось бы сразу делать правильно. Пока что в документации удалось вычитать, что для того, чтобы "воспользоваться функционалом", нужна клиентская часть, которая существует лишь для платформы Windows и доступна, в частности, для бесплатной загрузки с http://developer.novell.com. Т.е. при некотором умении софт можно написать и самим.

Насчёт версий DS.NLM для NetWare 6.0, к сожалению, не скажу. Слишком давно эта версия не поддерживается, и у нас её нет. Для 5.1 я в своё время ставил eDirectory 8.7.3.9 (официально поддерживалась, только надо было перед этим найти нужные SecurityServices, в которые входили NMAS; для eDir8.8 NMAS входит в дистрибутив). Про sp10 для 8.7.3 я спрашивал здесь на форуме, но, по-моему, так никто и не ответил тогда (можно поискать). Я думаю, что, скорее всего, работать будет, но не тестировалось (поскольку к тому моменту NetWare 5.1 уже тоже ушла с поддержки).

Насчёт сосуществования разных версий в одном дереве - как правило, они довольно терпимо сосуществуют, если устаревшие версии не содержат реплик. Например, у нас на момент развёртывания eDirectory 8.7.3 ещё были серверы NetWare 4.11 (которые категорически не рекомендовалось держать в одном дереве с eDirectory). Поскольку реплик на них не было, то больших проблем не заметили (так, косметические только - поругивание на пропадание IPX-адресов из свойств сервера после DSREPAIR).

Что ещё? При установке новой OES2 автоматом ставится eDirectory 8.8.4. Текущая версия - 8.8.5. В README к 8.8.5, в частности, говорится, что для неё нужна минимум NetWare 6.5 SP7:

NOTE:Installing eDirectory 8.8 SP5 is not supported on NetWare 5.1, NetWare 6.0, NetWare 6.5 SP4, SP5, and SP6.

Но вы же и не собираетесь ставить eDir88 на NetWare 6.0, вас интересует лишь вопрос мирного сосуществования, правда? Тогда ищем дальше. Вот eDirectory 8.8.5 Installation Guide открытым текстом пишет, что

If you are installing into an eDirectory tree that has NetWare and Windows servers, each NetWare server must be running:
•NetWare 5.1 with Support Pack 8 or later
•NetWare 6.0 with Support Pack 5 or later
•NetWare 6.5 with Support Pack 3 or later
Each Windows server must be running eDirectory 8.7.3 or later.

Т.е. eDir8.8 на NetWare 6.0 точно ставить нельзя, в одном дереве с NetWare 6.0sp5 ужиться должны (даже без установки туда eDirectory), а вот насчёт eDir8.7 на NetWare 6.0 - не знаю, надо рыть дальше документацию и README к ним.

[Dimerson]

спасибо за развернутый ответ (я так и прикидывал про 8739) - а на 885 патч 3 похоже стоит - m ds Кажет версию 205003.15 от 12 января сего года.

[Константин Ошмян]

Грабли 3. [...] Так вот, если данный сервер конфигурируется для SecretSore, а реплик eDirectory на нём нет, то после перезагрузки на консоли идёт ругань следующего вида:[...]
Решение: не конфигурировать сервер как SecretStore при установке. Если на эти грабли уже наступили - то пока не знаю. Может, кто-нибудь уже разобрался с этим SecretStore?

Кажись, разобрался сам.
Во-первых, при конфигурировании сервера как SecretStore в конец AUTOEXEC.NCF добавляются следующие строки:

Код: Выделить всё

# --The following line should be uncommented if the SNMP subagent is desired
#load dssnmpsa.nlm
# Begin SecretStore commands
LOAD NICISDI.XLM s
LOAD SASDFM.XLM
# SSNCP automatically loads SSS.NLM without any command line options.
# If you want to specify options, uncomment the following line and add
# the appropriate options.
# LOAD SSS
LOAD SSNCP
# End SecretStore commands


При том, что загрузка NICISDI и SASDFM там уже была (гораздо раньше), и она так и осталась незакомментированной. Собственно, это-то я заметил довольно быстро и указанную секцию перенёс на своё место (сразу после этих команд):

Код: Выделить всё

SYS:\SYSTEM\NMA\NMA5.NCF
BSTART.NCF
load nile.nlm
load httpstk.nlm /SSL /keyfile:"SSL CertificateIP"
LOAD PORTAL.NLM
LOAD NDSIMON.NLM


и к тому же команду LOAD SSNCP закомментировал. Однако этого оказалось мало потому что... см. "во-вторых".

Во-вторых, существуют взаимозависимости, благодаря которым одни модули автоматом подгружают другие. В частности, в данном случае - при загрузке NLDAP.NLM автоматом подгружался LSSS.NLM, который подгружал SSLDP.NLM, а уже тот, в свою очередь, подтягивал и сам SSS.NLM. А всё из-за того, что при конфигурировании SecretStore добавляются LDAP extensions, о чём в документации сказано предельно лаконично:

Deconfiguring SecretStore
Deconfiguration of SecretStore has to be done manually. LDAP extensions lsss.dlm from the extensioninfo from the LDAP server has to be deleted manually.

В переводе на более понятный язык, это означает, что надо в eDirectory у объекта LDAP Server - ИмяСервера поубирать атрибуты extensionInfo, которые ссылаются на модуль lsss.nlm (а не dlm, кстати, как у них написано). Это можно сделать через ConsoleOne (закладка Other), но гораздо проще сделать LDAP Browser-ом: выбираем нужный объект, находим "лишние" атрибуты (там их с таким названием ещё несколько десятков), выделяем их мышкой, жмём правую клавишу мышки -> Edit -> Delete Attribute... -> Selected Values. Всё, если явную загрузку SecretStore (см. "во-первых") убрали, то при последующих перезагрузках ругани больше не будет.