Локальный DNS. Непонятная ПРОБЛЕМА.

[Музалёв Николай]

Здравствуйте, коллеги!

Проблема при подключении пользователей.
Выражается в том, что НЕРЕГУЛЯРНО (прим. 1:4) появляется достаточно длительная пауза перед выполнением логин-скрипта. Сам же скрипт выполняется быстро.

Проблема не зависит ни от ИП-адреса, ни от физического располдения пользователей в инфраструктуре. И от статуса пользователя тоже. В смысле - и "админ" тоже замирает.

Снифер показал, что в тех случаях, когда имеется замирание, как-то непонятно срабатывает DNS.
Вот:

Код: Выделить всё

"No.", "Time",   "Source",      "Destination",    "Protocol", "Info"
"1", "0.000000", "172.16.2.18", "172.16.1.2",     "DNS",      "Standard query A XYZ.BBB_CC"
"2", "0.097719", "172.16.1.2",  "172.16.2.18",    "DNS",      "Standard query response A 67.215.65.132"
"3", "0.097936", "172.16.2.18", "67.215.65.132",  "TCP",      "1145 > 524 [SYN] Seq=0 Len=0 MSS=1460"
"4", "3.062909", "172.16.2.18", "67.215.65.132",  "TCP",      "1145 > 524 [SYN] Seq=0 Len=0 MSS=1460"

2.18 -> я, W2k/XP;
1.2 -> NW51+8, MR;
XYZ.BBB_CC -> моё O.TREE

Проявилась эта ситуация после того, как коллега поставил на оба сервера SFCON от ADREM (защищённая консоль для удалённого доступа)

Естественно, что не могу утверждать, что эта установка стала причиной.

Консоль снесли, перегрузили и работали достаточно долго в норм. режиме.

Но вот опять появились задержки.

Причём, когда запускался модуль консоли, то задержка проявлялась У ВСЕХ И ВСЕГДА.

Потом, после снесения консоли и перезагрузки сервера, заминка исчезла почти на месяц...

А теперь она снова появилась, но как-то "плавает" и по пользователям и по времени и числу проявлений: при первом подключении любого прямоходящего может быть, а может и нет с указанной вероятностью...
Если потом он несколько раз подряд перелогиниваться, то заминка никогда не проявляется.

А если его ПК поработает немного (полчаса, минут 20), то опять может проявиться, как будто у него первое подлогинивание...

Вопрос: откуда сервер берёт этот левый адрес? почему он вообще на него лезет? как прибить саму эту ситуацию? куда для этого смотреть?

Спасибо.

[Павел Гарбар]

Николай!
Проверяй, чего у тебя в DNS творится. Потому как 67.215.65.132 это какой-то сервак в opendns.com.
Ты там что-то регистрировал?

[Музалёв Николай]

Так в том и вопрос: чего и где там проверять?? DNS разведён на NW сервере... смотрю настройки консолью.
Ничего, за что можно зацепиться моими сегодняшними знаниями...

Тут другое дело выяснилось: задержка (т.е. фактически - перенаправление на этот левый ДНС) происходит в случае, когда станция цепляется к серверу 1.2 (MR и DHCP/DNS-сервер для внутренней сети)

Если же станция цепляется ко второму серверу (RW, адр 1.4), то отработка подключения проистекает мгновенно.
Случайностью выбора сервера и определяется случайность задержки...

[Музалёв Николай]

Уважаемые коллеги!

Проблему решить не получается. Напомню: при регистрации в сеть у пользователя большой тайм-аут - от 30 сек до минуты и более, затем регистрация проходит пулей.
Тайм-аут получается за счёт ноиска рабочей станцией непонятно чего: посмотрите, пож., два скрина - на них процесс регистрации станции в сети с начала и до раскрытия окна с прохождением логин-скрипта.
Видно, что ищется BGD.BGD_CO и прочее...
_http://stream.ifolder.ru
muza9muza9muza9

2.77 - рабочая станция, с которой происходит регистрация в дерево
1.2 - DNS на NW сервере (MR)
1.4 - второй NW-сервер (RO)
1.1 - DNS на lin сервере
BGD - наш контейнер O
BGD_CO - наше Tree
bgd - наш домен

На время в протоколе не смотрите - это исскуственная ситуация: загнобили выход на левый DNS... но даже и в этом случае бывают большие провалы во времени...

Совершенно непонятно, почему примерно в середине сентября (может и ранее, но пожаловались мне именно тогда) стали образовываться такие странные запросы...

Ничего особенного на серверах мы не делали, ни на NW, ни на лине.

SLP и DHCP настроены, по DHCP раздаются все основные атрибуты... Если интересует ещё какие-либо данные - укажите...

ВОПРОС: с какой радости при регистрации в сеть NW формируются эти запросы? почему регистрация происходит случайным образом: то нормально, сразу на сервер и в систему, то пытается найти этот искуственно слепленный домен и при этом долбиться в DNS-сервера верхнего уровня(к провайдеру)?
(а тот отдаёт совершенно левый адрес какого-то фри-днс"а и за счёт попытки станции пролезть на него время подключения увеличивается до минуты ...

Где чего посмотреть и чего вам для большей информации надо показать?

Выручайте...

[Владимир Горяев]

Николай!
Не въехал как скрины посмотреть.
ipconfig /all - убедись, что dhcp правильно все выдал и нет ли левого dhcp, был случай, лет сто назад, один умник у себя что-то поставил типа winroute.
Возьми tcpvcon.exe ли Tcpview.exe от SysinternalsSuite (или как там сейчас в MS они называются) или на худой конец netstat -b 1 > file.txt и посмотри какие процессы куда стучатся во время логина. И еще можно вроде как-то лог днс-а включить (named -d3, навскидку).

И еще. Org совпадает с доменом... уже не помню в точности, но вроде ето не есть гуд.

[Пилютик Михаил]

Добрый день, Николай!

Я не совсем уверен, что правильно понял твою выдержку пакетов сниффера, но похоже проблема в том, что твой DNS-сервер на запрос адреса для не существующего имени выдает вполне конкретный IP (так может быть).
Novell Client для определения через какой адрес подключаться к дереву использует разные источники (протоколы), в том числе и DNS. Получив от DNS-сервера IP (в ответ на запрос IP для имени дерева) клиент пытается соединиться с деревом по этому IP, но дерева то там нет, вот отсюда и задержки.

Я с такой проблемой сталкивался у себя.

[Владимир Горяев]

но похоже проблема в том, что твой DNS-сервер на запрос адреса для не существующего имени выдает вполне конкретный IP (так может быть).

Есть такое дело. Можно в свойствах клиента настроить предпочтение - nds, dns, slp и в dns прописать, и в dhcp некоторые параметры клиенту дать.

[Музалёв Николай]

Прошу прощения за битую ссылку на скрин.
Вот прямо сегодняшний:
_http://stg895.ifolder.ru/download/?26833186&EmqnENqvYaFAUz1pYXwsMw%3D%3D

[Музалёв Николай]

Я с такой проблемой сталкивался у себя.

Совершенно верно!

Вот и два вопроса - откуда стал появляться этот странный адрес (см скрин и прокол) ? и как вы это побороли?

[Ковалев Артем]

Я с такой проблемой сталкивался у себя.

И как лечил?
У меня есть аналогичная проблема, правда, с учётом, что серверов годных для логина у меня 8, а подлагивают, похоже, только два, возникает очень неровно.

[Пилютик Михаил]

Решение мне видится здесь в изменении настроек DNS-сервера (может быть можно в свойствах Novell Client запретить использовать DNS для разрешения имен), чтобы он для не существующего имени не давал IP, а говорил - отсутствует.

У меня в локальной сети есть свои DNS-сервера, которые неизвестные им запросы перенаправляют на сервера провайдеров и я у себя запретил форвардить запросы для определенной зоны.

[Владимир Горяев]

Николай, можно сделать запись в DNS (я вышне писАл и в dns прописать) в домене BGD, алиасы напр, на BGD_CO и BGD.BGD_CO ссылка на предпочитаемый сервер. Или убрать днс в св-х клиента.
Судя по всему поиск идет в днс, не по slp (dhcp напр. не объявляет slp параметры или в настройках клиента косяк),

Putting a [Root] most partition in DNS is an adequate way for clients to resolve DSA requests, and this has been an option for many years now. Put the name of the TREE into the DNS system as a record that points to one or more of the replica holders, and the administrators that have the Novell client will resolve the tree name via DNS and connect that way. There is no need for an SLPDA.

To see all trees, add DNS entries for each of the different trees. Once you are connected to a single replica holder in a tree, you can find all servers/services in the tree via NDS lookups and referrals. I would also recommend putting all of the servers and services into DNS as well. If they are not yet connected to a particular tree and try to get to a service in that tree, they may not be able to find it unless they authenticate to the tree first. If all of the servers/services were in DNS, then they could go to a particular server/service and if they weren't yet authenticated to the tree where the server/service exists, they would be prompted to authenticate.

http://www.novell.com/support/viewConte ... &sliceId=1
http://www.novell.com/documentation/edi ... sy6kb.html
http://www.novell.com/coolsolutions/appnote/620.html

[Музалёв Николай]

Или убрать днс в св-х клиента.

Да, до этого, вроде, додумались: в свойствах клиента в закладке "настройка проколов" убрали DNS из списка "параметры компонента протокола".

Пока только в одном, тестовом, отделе (~20 ПК)...

Поскольку проблема гарантированно проявляется при утреннем логине, то посмотрю - если тайм-аута не будет (или он будет приемлимым - секунд 5-10) , то буду считать это решением.

Ага!
Похоже, найден источник геморроя: _http://ifolder.ru/26843956
pass: muza9muza9muza9

Только совершенно непонятно, почему контейнер попал в список серверов?
Причём, у всех прямоходящих практически одномоментно...

[Владимир Горяев]

Где-то что-то объявлялось, допустим, bindery context или еще какие глюки slp. А не пробовал раздать "предпочитаемый сервер", например через acu? Было бы полезно на будущее.

[Музалёв Николай]

Хм... bindery context издревле был объявлен на корневой контейнер :
bindery context = О=BGD
но до этой поры жить не мешало...

Через механизм acu ничего не раздавалось...

Как бы там ни было, будем считать, что решение найдено: сегодня в тестовой среде подключение пролетело вмиг... поставил ещё одно подразделение на эту настройку - если завтра у всех будет хорошо, то постепенно переведу всех.

Всем - спасибо, а ВГ - особая благодарность!