DSFW name-mapped slow login

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

DSFW name-mapped slow login

Сообщение capricious » 24 мар 2011, 10:55

Всем привет

поставил в существуещее дерво DSFW (name mapped installation) и логин в домен занимает 1.5 -2 min у пользователей. Сервер OES2 SP3 с последними официально доступными патчами. Почему так медленно ? Можно ли как то ускорить? Есть ли кто еще кто проделывал такой же тип инсталляции - как у Вас ?

Может кто посоветует документацию которая детально описывает процесс входа в домен при DSFW ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение Clericos » 24 мар 2011, 15:51

Покажите ipconfig /all с проблемной машины, а также аналогичные настройки с сервера.
Очень похоже на проблемы с DNS.
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Re: DSFW name-mapped slow login

Сообщение capricious » 24 мар 2011, 16:22

C:\WINDOWS>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : W2k3TermServ
Primary Dns Suffix . . . . . . . : dom.domain.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom.domain.ru

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : dom.domain.ru
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-BB-67-35
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.20.252
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : 172.16.1.100
DNS Servers . . . . . . . . . . . : 172.16.10.79

prdc:~ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:C1:34:C8
inet addr:172.16.10.79 Bcast:172.16.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13744305 errors:951 dropped:1268 overruns:0 frame:0
TX packets:5267967 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3184996789 (3037.4 Mb) TX bytes:1626500881 (1551.1 Mb)
Interrupt:59 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:183766 errors:0 dropped:0 overruns:0 frame:0
TX packets:183766 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:30319337 (28.9 Mb) TX bytes:30319337 (28.9 Mb)
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение Clericos » 24 мар 2011, 16:55

capricious писал(а):C:\WINDOWS>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : W2k3TermServ
Primary Dns Suffix . . . . . . . : dom.domain.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom.domain.ru

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : dom.domain.ru
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-BB-67-35
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.20.252
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : 172.16.1.100
DNS Servers . . . . . . . . . . . : 172.16.10.79

prdc:~ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:C1:34:C8
inet addr:172.16.10.79 Bcast:172.16.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13744305 errors:951 dropped:1268 overruns:0 frame:0
TX packets:5267967 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3184996789 (3037.4 Mb) TX bytes:1626500881 (1551.1 Mb)
Interrupt:59 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:183766 errors:0 dropped:0 overruns:0 frame:0
TX packets:183766 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:30319337 (28.9 Mb) TX bytes:30319337 (28.9 Mb)


Если "W2k3TermServ" - это рабочая станция, а "prdc" сервер - то DNS настроен правильно...
DNS сервер на prdc запущен? Работает?
На клиенте запустите
"nslookup dom.domain.ru" что отвечает? Адреса серверов возвращает?

Какой адрес DNS сервера указан на prdc?
Что в логах на клиенте?
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Re: DSFW name-mapped slow login

Сообщение capricious » 24 мар 2011, 17:20

C:\WINDOWS>nslookup dom.domain.ru
Server: prdc.dom.domain.ru
Address: 172.16.10.79

DNS request timed out.
timeout was 2 seconds.
Name: dom.domain.ru
Address: 172.16.10.79




prdc:~ # xadcntrl validate
Tree Name: XXXXXXX
Server Name: .CN=prdc.OU=OESSystemObjects.O=XX.T=XXXXXXX.
Binary Version: 20602.00
Root Most Entry Depth: 1
Product Version: eDirectory for Linux i586 v8.8 SP6 [DS]

Checking for nameserver BIND
number of zones: 2
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/1000
tcp clients: 0/100
server is up and running
zone details are dumped at /var/opt/novell/log/named/named_zones.info
running
Checking for Name Service Cache Daemon: running
Checking for RPC Endpoint Mapper Service running
Checking for Kerberos KDC Service running
Checking for Kerberos Password Change Server running
Checking for Domain Services Daemon running
Checking for Samba NMB daemon running
Checking for Samba WINBIND daemon running
Checking for Samba SMB daemon running
Checking for service sshd running
Checking for rsync daemon: running

и какие именно логи на клиенте? вход в домен?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение Clericos » 24 мар 2011, 17:46

capricious писал(а):C:\WINDOWS>nslookup dom.domain.ru
Server: prdc.dom.domain.ru
Address: 172.16.10.79

DNS request timed out.
timeout was 2 seconds.
Name: dom.domain.ru
Address: 172.16.10.79

эээ... у вас зона "dom.domain.ru" есть на сервере? Клиенты ищут контроллеры по записям в этой зоне...
Правильный ответ должен был быть таким:
D:\>nslookup dom.domain.ru
Server: prdc.dom.domain.ru
Address: 172.16.10.79

Name: dom.domain.ru
Addresses: 172.16.10.79


capricious писал(а):и какие именно логи на клиенте? вход в домен?

Да обычный журналы Windows. "Приложения", "Система"... ошибки там есть?
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Re: DSFW name-mapped slow login

Сообщение capricious » 24 мар 2011, 17:58

List of Zones:
Zone Name Role
dom.domain.ru Designated Primary

в system event log


Time Provider NtpClient: The response received from domain controller prdc.dom.domain.ru is missing the signature. The response may have been tampered with and will be ignored.


исправил теперь так

D:\>nslookup dom.domain.ru
Server: prdc.dom.domain.ru
Address: 172.16.10.79

Name: dom.domain.ru
Addresses: 172.16.10.79



но все равно долго логинится
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение Clericos » 24 мар 2011, 18:58

capricious писал(а):исправил теперь так

D:\>nslookup dom.domain.ru
Server: prdc.dom.domain.ru
Address: 172.16.10.79

Name: dom.domain.ru
Addresses: 172.16.10.79



но все равно долго логинится


Важно понять, как вы исправили... На Windows домене это фиксится "netdiag /fix" (вроде... давно не делал просто).
Как это пофиксить на OES не заню. Там куча записей должна создасться в "dom.domain.ru", по этим записям клиенты и будут понимать кто здесь КД и к кому подключаться. Когда с этими записями не порядок - происходит долгий логин в несколько минут...
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Re: DSFW name-mapped slow login

Сообщение capricious » 24 мар 2011, 21:13

исправил в настройках TCP/IP в DNS на терминальном сервере W2k3TermServ

может из за того что это терминальный сервер все юзеры так долго логинятся ?

что конкретно должно быть в DNS по поводу единественной машины W2k3TermServ в домене ?

Вы это советуете на основании быстро работающего DSFW (name mapped installation ) или у Вас родной микрософтовский домен?

у меня 1300 юзеров , 800 групп, все это переплетено но одновременно логинится 1 юзер !!!

если логинится Administrator то это 1 мин
если юзер из name mapped раздела где 0 групп и 1 юзер то 1.5 мин
если юзер из name mapped раздела где 1300 юзеров , 800 групп то 2+ мин или вообще получает ошибку RPC error


плюс само включение сервера в домен прошло мин за 2 , это разве нормально ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение capricious » 25 мар 2011, 11:35

типа починил, быстрее думаю будет либо после сервис пака либо на следующей OES

в resolv.conf оставил единственный DNS его самого , до этого было 2 : первый он сам и второй из сетки

логин Админа теперь 15-20 сек
логина юзера из name mapped раздела где 0 групп и 1 юзер - 20-30 сек
логин юзера из name mapped раздела где 1300 юзеров , 800 групп около минуты


спасибо что направили в этом направлении
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение Clericos » 25 мар 2011, 22:31

capricious писал(а):Вы это советуете на основании быстро работающего DSFW (name mapped installation ) или у Вас родной микрософтовский домен?


У меня родной MS домен и тут как правило долгий логин в 99% случаев = неправильно настроенный DNS.

Кстати - просмотрел документацию на OES:DSFW - Как-то про DNS написали (http://www.novell.com/documentation/oes ... ml#bkxab8o), однако никаких подробностей правильной настройки не дают...
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Re: DSFW name-mapped slow login

Сообщение Владимир Горяев » 26 мар 2011, 12:07

capricious писал(а):у меня 1300 юзеров , 800 групп... , это разве нормально ?
:shock: Считаю данный вопрос недоработанным, надо пойти дальше и увеличить кол. групп как минимум до 1300. Даешь каждому юзеру отдельную группу! :) Одноклассники вконтакте? :lol:
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: DSFW name-mapped slow login

Сообщение WizardNT » 29 мар 2011, 10:18

На клиенте DSfW первым должен стоять DNS адрес сервера DSfW. Я уже развернул PDC и 3 child DC. В пределах локального сегмента все порхает... Вот только сетевик теперь жалуется, что я канал DNS запросами забиваю. Ведь до сих пор на child DC DNS сервер поднять нельзя...А очень бы пригодилось.
WizardNT
 
Сообщения: 58
Зарегистрирован: 17 фев 2010, 16:40

Re: DSFW name-mapped slow login

Сообщение capricious » 29 мар 2011, 12:41

В пределах локального сегмента все порхает...

А юзеров сколько ? не одновременно входящих в домен а в разделе PDC ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: DSFW name-mapped slow login

Сообщение ITCrow » 08 июл 2011, 12:59

WizardNT писал(а):На клиенте DSfW первым должен стоять DNS адрес сервера DSfW. Я уже развернул PDC и 3 child DC. В пределах локального сегмента все порхает... Вот только сетевик теперь жалуется, что я канал DNS запросами забиваю. Ведь до сих пор на child DC DNS сервер поднять нельзя...А очень бы пригодилось.

>>И на child DC можно поднять DNS сервер и даже реплицировать некоторые конкретные зоны.
Только сначала через iManager необходимо активировать роль DNS-сервера (Roles and Tasks -> DNS -> DNS Server Management ->В Select the operation you would like to perform: выбираем Create Server и дальше выбираем сервер, вводим его хостнайм, домайн наме и нажимаем Create) только после етого можно будет через iManager или DNSDHCP JavaConsole реплицировать на него нужную DNS - зону.
PS: Точно работает в OES 2 SP2/SP3

Прошу прощения, ступил, я все забываю что разношу DNS сервера по удаленным сегментам (например совмещая на одном сервере,не DSFW, несколько сервисов NSS, DNS, iFolder, Zen ....), как вариант попробуй на дочернем PDC поднять не Novell-named а обычный bind (как кеширующий DNS) только придется чуть потанцевать с бубном.
ITCrow
 
Сообщения: 5
Зарегистрирован: 22 мар 2011, 22:14
Откуда: Киев


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot], Google [Bot] и гости: 2

cron