Регистрация в сети (3)

Обсуждение технических вопросов по продуктам Novell

Регистрация в сети (3)

Сообщение Доменика » 21 май 2020, 17:36

Имеется сеть с несколькими сегментами. Строение лучевое через маршрутизаторы.
Во всех сегментах сети в наличии один или более серверов OES/Netware на которых личные каталоги пользователей + DHCP\DNS.
Если смотреть на сегмент - то как минимум на одном из серверов имеется реплика R\W дерева + свой раздел.
Всё было заточено для возможной автономной работы в сегментах нескольких часов при технических проблемах(коммутация, электричество...).

На карантине решили заглушить несколько сегментов. И получили неприятность - перестала проходить регистрация на рабочих станциях в любых других сегментах сети. Включая сервера с репликой в сегментах - регистрация на рабочих станциях возобновляется.
При всем не понятно, что ругань везде происходит на потерю дерева.

Как утверждают старожилы предприятия - проблема стала при появление\замене платформ на серверах на OES(Linux). Т.е. лет 15, когда все сервера были NetWare - всё было просто супер. Работало как задумывали - отключение любого сегмента не вызывало проблем как в самом сегменте так и в других.

В чем может быть засада?
Доменика
 
Сообщения: 323
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Регистрация в сети (3)

Сообщение Павел Гарбар » 21 май 2020, 20:33

Сервер по-умолчанию для пользователя может быть не тот, который в его локальном сегменте, а как раз тот, который выключили. Иногда ситуация облегчается, если в клиенте явно при регистрации указать ближайший сервер.
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Регистрация в сети (3)

Сообщение Доменика » 21 май 2020, 22:37

Павел Гарбар писал(а):Сервер по-умолчанию для пользователя может быть не тот, который в его локальном сегменте, а как раз тот, который выключили. Иногда ситуация облегчается, если в клиенте явно при регистрации указать ближайший сервер.


Ближайший сервер всегда выдаётся по DHCP в конкретном сегменте.
И ни как остановка одного сервера с репликой с любом сегменте не должна останавливать регистрацию по всей сети.
Если так должна работать регистрация в сети под управлением OES - это не просто не нормально - это аморально.
Доменика
 
Сообщения: 323
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Регистрация в сети (3)

Сообщение Константин Ошмян » 22 май 2020, 10:15

Сначала клиент ищет дерево, чтобы затем узнать, какие серверы могут предоставить ему возможность в этом дереве аутентифицироваться. Возможные причины проблем:
  • имя дерева в DNS разрешается в один IP-адрес сервера, который сейчас выключен;
  • на клиентах прописаны (либо выдаются по DHCP) ссылки на SLP DA, который недоступен.
Если при регистрации на клиенте нажимать кнопочку "Advanced", то открываются (если это явно не заблокировано админом) дополнительные поля. Так вот, при нажатии кнопки "Trees" (рядом с полем "Tree:") должен отображаться список доступных деревьев, а после выбора конкретного дерева при нажатии кнопки "Contexts" (рядом со следующим полем "Context:") должна быть возможность видеть структуру дерева и явно выбирать нужный контекст. Подчёркиваю - это всё должно быть доступно ещё до логина.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Re: Регистрация в сети (3)

Сообщение Павел Гарбар » 22 май 2020, 11:42

Вот-вот, Костя более подробно описал суть. SLP DA не обязаны располагаться в каждом сегменте, а маршрутизаторы и некоторые умные коммутаторы могут резать мультикасты, которые доводят до клиентских станций где SLP и всяческие ресурсы есть.
А собственно дерево показывается одним из серверов с репликой. При установке клиента он надолго запоминает первый сервер, к которому его подключили - и это может быть не ближайший сервер. Особенно, если это автоматизированная разливка станций.
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Регистрация в сети (3)

Сообщение Доменика » 22 май 2020, 14:30

Константин Ошмян писал(а):Сначала клиент ищет дерево, чтобы затем узнать, какие серверы могут предоставить ему возможность в этом дереве аутентифицироваться. Возможные причины проблем:
  • имя дерева в DNS разрешается в один IP-адрес сервера, который сейчас выключен;
  • на клиентах прописаны (либо выдаются по DHCP) ссылки на SLP DA, который недоступен.


Рассмотрим один сегмент 61.
Сервер - 172.16.61.254 (srv61.int.corp.ru) Имеет реплику + раздел. Настроен как DA для SLP.

Настройка DHCP в сегменте
78 - 172.16.61.254, 172.16.1.254
79 - DEFAULT
85 - 172.16.61.254, 172.16.1.254, 172.16.1.253
86 - MAINCORP
6 - 172.16.61.254, 172.16.1.254

По мне, так все настроено для самодостаточности сегмента.
И как отключение сервера в каком-то другом сегменте должно вызывать проблемы с регистрацией.

Не по теме - кажется с OES15 в настройках SLP появилась странная опция - стать LDAP-сервером. Ни где не нашлось вменяемого определения что это и для чего. Или это ошибка отображения?
Доменика
 
Сообщения: 323
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Регистрация в сети (3)

Сообщение Константин Ошмян » 25 май 2020, 11:59

Ну, я не могу сказать, что именно там происходит. Про LDAP, к сожалению, никак прокомментировать не могу.
Как бы я пытался решать проблему:
  • выбрал бы одну рабочую станцию в качестве подопытной;
  • залогинился бы на ней с админскими правами в режиме "Workstation only";
  • установил бы Wireshark;
  • запустив сбор сетевого трафика, пытался бы повторить действия из предыдущего сообщения (окошко "Login" новеловско-майкрофокусного клиента, кнопка "Advanced", далее - кнопки "Trees" и "Contexts"), делая паузы между каждым действием;
  • смотрел бы собранный трафик, пытаясь разобраться - что же там происходит, и где идёт "не так"
По идее, при нажатии кнопки "Trees" идёт поиск дерева - можно ожидать запросов к SLP DA, обращений к DNS с именем дерева, бродкастов и мультикастов. Смотреть, какие запросы делаются реально, и какие ответы на них приходят (или не приходят).
При нажатии на кнопку "Contexts" должно идти обращение уже к конкретному серверу с репликой (по NCP - TCP:524): опять же, смотреть, куда он ломится, отвечают ли ему.
Может, что-то ещё интересного удастся обнаружить.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Re: Регистрация в сети (3)

Сообщение Доменика » 29 май 2020, 15:49

Константин Ошмян писал(а):,,,,,,
Про LDAP, к сожалению, никак прокомментировать не могу.

Предполагаю SLP Вы настраиваете на своих OES/Linux и такое трудно пропустить в настройках.

Изображение

Константин Ошмян писал(а):,,,,,,
По идее, при нажатии кнопки "Trees" идёт поиск дерева - можно ожидать запросов к SLP DA, обращений к DNS с именем дерева, бродкастов и мультикастов. Смотреть, какие запросы делаются реально, и какие ответы на них приходят (или не приходят).
При нажатии на кнопку "Contexts" должно идти обращение уже к конкретному серверу с репликой (по NCP - TCP:524): опять же, смотреть, куда он ломится, отвечают ли ему.
Может, что-то ещё интересного удастся обнаружить.


Можно было вместо Дерева eDirectory вписывать на клиенте IP и тогда жизнь будет лучше.
Но сегменты сети уникальны и надо на каждой рабочей станции корректировать эту уникальность - а это уже смахивает на моразм.

Что-то не то. Если в DHCP все правильно настроено и раздается и slpinfo показывает корректную информацию - НЕ ПОНИМАЮ какого ещё надо.
Доменика
 
Сообщения: 323
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Регистрация в сети (3)

Сообщение Иван Левшин aka Ivan L. » 02 июн 2020, 00:48

Если у Вас сеть спроектирована "на случай атомной войны" из соображений полной автономности - в каждом сегменте должны быть свои DNS и SLP DA.
Клиент в попытках найти сервер NCP использует: SLP, DNS, широковещание. Пишу по памяти, NCP не касаюсь уже очень давно. Насколько я помню, порядок опроса настраивается в самом клиенте.
Вообще говоря, запись типа А с именем дерева и адресом сервера с rw-репликой - очень, очень старая рекомендация. Про которую, по неизвестной мне причине, практически никто не помнит. Номер TID или название документа - не приведу, придется поверить мне на слово. В общем, в Вашем случае в каждом сегменте сети должна быть такая запись. И, понятно, должен быть сервер с rw-репликой.
Далее: SLP. Опции 85 и 86 - выбросите, они давно не работают. В Вашем случае достаточно 78 и 79. Плюс на клиенте нелишне выставить по умолчанию unicast (он по умолчанию лупит multicast, которые, как справедливо отметили коллеги, режутся маршрутизаторами).
Имя SLP Scope "DEFAULT" - это как-то даже и несерьезно. Настоятельно всегда рекомендовалось менять этот DEFAULT на что-нибудь осмысленное.
На сервере OES Linux для работы slp достаточно, на самом деле, net.slp.isDA=true - для DA, а также net.slp.Scope=. Можете указать второй DA при необходимости, при этом DA сам на себя ссылаться не может!
Ну и, понятно, надо проверять, что DA работает, что на нем производится регистрация сервисов. Например, SLP Browser в ясте - или скачать из интернетов приложение WIn32. Придется погуглить, у себя я его давно удалил и не вспомню сейчас, где его взять. Намного более полезная и информативная (по отношению к slpinfo) штука.
TID, который может быть полезен
Еще один

В Вашей сети в каждом сегменте должно быть по SLP DA и по записи типа А с именем дерева. Все это должно быть правильно и аккуратно настроено.

Был еще Cool Solution для 4.91SP2, но я его не найду. Очень дельный документ был, жалко, что выпилили - там вообще все подробно было описано.
Я, когда еще работал с NCP, всегда настраивал LDAP Contextless Login - он много удобнее и полезнее всех этих приседаний с SLP.

А в то, что говорят Ваши старожилы - простите, не верю. Миллион раз видел, когда старожилы утверждали, что вот во времена нетвари и трава зеленее была, и вообще - а по факту оказывалось, что в сети с тех пор столько всего попеременяли, что мало уже кто может восстановить всю последовательность изменений. OES Linux работает ничуть не хуже нетвари. Если у Вас при отключении сегментов начинается чехарда - разбирается с архитектурой. Лично мне подобная "неубиваемость" непонятна, т.к. ни к чему, кроме подобного бардака, она привести не может, но - Ваш выбор, я с ним спорить не собираюсь.
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 4

cron