Большая загрузка по ЦП

[arc-xel]

Добрый день!


Ищем замену для штатного ТМГ.
Поставили Kerio Control 9.2.6 протестировать работу.


Сабж стоит на виртуалке под гипервизором Hyper-V 2012 R2.
Виртуалке дано 6 ядер, VMQ отключено.


Сделали интеграцию с AD.


Антивирус - выкл
Вторжения - выкл
Web filter - выкл
Debug логи - выкл.


Пользователи через прокси не ходят, при этом вижу скачкообразную загрузку сервера по ЦП. С 0 - 60 %
Хост при этом подгружает на 20 % ЦП


Куда можно копать, что настраивать?


Если на этапе тестирования уже такая Петросятина, то что будет дальше....

[datusername]

Цитата

Сообщение от arc-xel

Ищем замену для штатного ТМГ.

С разморозкой. TMG умер года четыре тому взад.

Цитата

Сообщение от arc-xel

Виртуалке дано 6 ядер

Что за процессор?

Цитата

Сообщение от arc-xel

Пользователи через прокси не ходят, при этом вижу скачкообразную загрузку сервера по ЦП. С 0 - 60 %

Качки торрентов есть? График загрузки сети покажите.

Цитата

Сообщение от arc-xel

https://s8.hostingkartinok.com/uploa...51165d3929.jpg

Памяти очень мало съело. Оно вообще работает?

[exchar]

Цитата

Сообщение от arc-xel

Если на этапе тестирования уже такая Петросятина, то что будет дальше....

откуда брали дистрибутив? и в каком виде (iso, vmdk, ...)?

Цитата

Сообщение от arc-xel

Куда можно копать, что настраивать?

копать лог debug - включать доп. опции и смотреть, что начинает работу во время этих всплесков расхода цп.

Цитата

Сообщение от arc-xel

Сделали интеграцию с AD.

а она отрабатывает?
а если убрать ее - график будет тот же?

Цитата

Сообщение от arc-xel

Ищем замену для штатного ТМГ.

а чем не понравился?

[arc-xel]

Цитата

Сообщение от datusername

С разморозкой. TMG умер года четыре тому взад.
Что за процессор?

Качки торрентов есть? График загрузки сети покажите.


Памяти очень мало съело. Оно вообще работает?

1) Процессор: Xeon X5670 - должно за глаза хватать
2) Торрентов нет
3) Из пользователей только я сижу через Вебку в админке.
Оно работает, как увидели проблему тестовым пользователям прикрыли до выяснения причин.

Добавлено через 4 минуты

Цитата:

Сообщение от exchar

откуда брали дистрибутив? и в каком виде (iso, vmdk, ...)?

копать лог debug - включать доп. опции и смотреть, что начинает работу во время этих всплесков расхода цп.

а она отрабатывает?
а если убрать ее - график будет тот же?

а чем не понравился?

1) Точно не помню откуда. Давно стоит. Был ISO.
2) Попробую
3) Интеграция работает. Авторизация по доменному имени проходит.
Убирать не будем т.к без этой функции продукт не нужен.
4) Рано или поздно нужно избавляться от мёртвой лошади. Уже лет 5 вопрос поднимаем, но достойной замены пока не видели.

[datusername]

Цитата:

Сообщение от exchar

а чем не понравился?

Наверно тем, что он не поддерживается уже года четыре.

Цитата

Сообщение от arc-xel

Торрентов нет

График загрузки интерфейсов, где? Торренты это так, предположение.

Цитата

Сообщение от arc-xel

Убирать не будем т.к без этой функции продукт не нужен.

Дело в нужности. Тут ни кто кроме вас не знает, что за бардак творится в вашем AD. Если AD виновато - ищите другой продукт (хотя скорее всего не найдёте, всё так же будет тупить и виснуть) и приводите домен в чувство.

[arc-xel]

Цитата

Сообщение от datusername

Наверно тем, что он не поддерживается уже года четыре.

График загрузки интерфейсов, где? Торренты это так, предположение.

Дело в нужности. Тут ни кто кроме вас не знает, что за бардак творится в вашем AD. Если AD виновато - ищите другой продукт (хотя скорее всего не найдёте, всё так же будет тупить и виснуть) и приводите домен в чувство.

Интеграцию с AD отключил. Лучше не стало
Что в debug журнале искать?


Там море параметров.


Нагрузки на сеть нет.


Нашёл такую ошибку. Оно может повлиять?

Достигнут лимит максимального числа одновременных подключений от 1 исходного адреса.

[datusername]

Цитата

Сообщение от arc-xel

Достигнут лимит максимального числа одновременных подключений от 1 исходного адреса.

Ну так отключите лимиты. Если что это в security settings\trafic limits

Цитата

Сообщение от arc-xel

Нагрузки на сеть нет.

Ну а это что?

[naliman]

Цитата

Сообщение от arc-xel

Поставили Kerio Control 9.2.6 протестировать работу.

Цитата

Сообщение от arc-xel

Точно не помню откуда. Давно стоит. Был ISO.

что то не сходится

[exchar]

Цитата

Сообщение от arc-xel

Там море параметров.

именно все море параметров в данном случае и нужно
ставим везде галки
проверяем, что в керио и в гипервизоре время синхронизировано с мировым
дожидаемся начала загрузки процессора, засекаем время
останавливаем логирование в debug, отматываем на нужное время и смотрим, что система начала делать в это время
у вас основной просаживающий фарш отключен, поэтому смотреть надо именно так

Цитата

Сообщение от arc-xel

Достигнут лимит максимального числа одновременных подключений от 1 исходного адреса.

а что у вас там стоит в лимите?
и нафига с одного ip вам такое количество подключений? все-таки торренты? )

Цитата:

Сообщение от naliman

что то не сходится

да, вот как-то...

[arc-xel]

В общем снёс сервера kerio. Поставил заново.
Летает.


Как только сервер ввёл в домен - просадка по ЦПУ до 100%

Что он там делает? Нет времени с микроскопом шерстить debug.


Выгнал из домена. Загрузка ЦПУ - 0%
Аутентификация пользователей в домене проходит.

Есть ли резон держать сервер в домене?

Какие с этого плюшки?

[datusername]

Цитата

Сообщение от arc-xel

Как только сервер ввёл в домен - просадка по ЦПУ до 100%

Что есть ввёл в домен? Настроил авторизацию что ли?



Обычно такие фортили возникают, когда фаэрволл не в состоянии переварить структуру домена (100500 пользователей, куча подразделений, ошибки контроллеров и т.д.).

Цитата

Сообщение от arc-xel

Аутентификация пользователей в домене проходит.

В смысле? Аутентификация происходит на контроллере домена, Керио при авторизации запрашивает контроллер есть ли пользователь/пароль.

Цитата

Сообщение от arc-xel

Есть ли резон держать сервер в домене?

Какие с этого плюшки?

Можно рулить трафиком по пользователям (iivanov@domain.tld сможет ходить в инет с любого компа, где он представится этим именем). Но если нет таких задач, то можно обойтись рулёжкой по имени хоста/ip.

[exchar]

Цитата

Сообщение от arc-xel

Нет времени с микроскопом шерстить

если бы эта фигня произошла у меня, то кроме лога debug я бы глянул дамп пакетов с керио или с домена за время всплесков. ну и проверил бы чем-нибудь домен, логи на нем.
но мы же не хотим микроскоп...
"у меня все хорошо, в вашем керио все плохо, где тут выдают серебряные пули?"

[arc-xel]

Цитата

Сообщение от datusername

Что есть ввёл в домен? Настроил авторизацию что ли?

Домены и аутентификация пользователей - служба каталогов - присоеденить к домену.
т.е по сути сервер воодится в домен, как обычный виндовый сервак.

Цитата

Сообщение от datusername

Обычно такие фортили возникают, когда фаэрволл не в состоянии переварить структуру домена (100500 пользователей, куча подразделений, ошибки контроллеров и т.д.).

Домен дружит ещё с одним десятком доменов.

Цитата

Сообщение от datusername

В смысле? Аутентификация происходит на контроллере домена, Керио при авторизации запрашивает контроллер есть ли пользователь/пароль

Галочка сопостовление учётных записей пользователей и группы из службы каталогов стоит и тест проходит.

[arc-xel]

Цитата:

Сообщение от exchar

если бы эта фигня произошла у меня, то кроме лога debug я бы глянул дамп пакетов с керио или с домена за время всплесков. ну и проверил бы чем-нибудь домен, логи на нем. но мы же не хотим микроскоп... "у меня все хорошо, в вашем керио все плохо, где тут выдают серебряные пули?"

Зачем linux сервер с домене? Если присутствие его не критичто, то здесь нечего разбирать. Не вгонять в домен и жить спокойно.

[datusername]

Цитата

Сообщение от arc-xel

Домены и аутентификация пользователей - служба каталогов - присоеденить к домену.

Это ж не виндовая машина, просто создайте A-запись в DNS руками - этого должно быть более чем достаточно. А вот эти лаги, думаю какая то фигня со службы каталогов прилетает (политики там всякие и прочее), поэтому Керио и призадумывается.

Цитата

Сообщение от arc-xel

Домен дружит ещё с одним десятком доменов.

Иногда такое вот и создаёт проблемы.

Цитата

Сообщение от arc-xel

Галочка сопостовление учётных записей пользователей и группы из службы каталогов стоит и тест проходит.

Отлично. В таком случае, Керио может получать данные учёток и все смогут авторизоваться.

Цитата

Сообщение от arc-xel

Зачем linux сервер с домене?

По идее его туда и невозможно ввести нормально.

[exchar]

Цитата

Сообщение от arc-xel

Зачем linux сервер с домене? Если присутствие его не критичто, то здесь нечего разбирать. Не вгонять в домен и жить спокойно.

если вам не нужно руление пользователями через доменные учетки,
то создаете локальных юзеров на керио и не синхронизируйте ничего с доменом - и будет вам счастье.


мне же отсюда не видно, что вы хотите получить в итоге.

[Sagafon]

Всем привет!

Стоит Кирюха 9.2.6 [Для просмотра данной ссылки нужно зарегистрироваться] [Для просмотра данной ссылки нужно зарегистрироваться], введен в домен, работает классно, но до одного момента - когда включаю принудительную аутентификацию непрозрачного прокси - начинаются пляски загрузки процессора. Без принудительной аутентификации - загрузка в пределах 10%, с принудительной - для 150 пользователей загрузка прыгает до 90%, средняя - 50-60%, инет при этом на тормозах. Заметил что загрузка проца зависит от количествва пользателей, к которым применяется параметр обязательной аутентификации (галка - только для адресов).
[Для просмотра данной ссылки нужно зарегистрироваться]
Может кто сталкивался с таким? Это норм или нужно копать? Спасибо

[Sagafon]

На втором скрине [Для просмотра данной ссылки нужно зарегистрироваться] загрузка не дотягивает до 50% - попробовал применить для 60 пользователей, как только добавить еще 150 - ахтунг. Но и так видно, что без принудительной аутентификации проц отдыхает

[exchar]

Цитата

Сообщение от Sagafon

9.2.6

[Для просмотра данной ссылки нужно зарегистрироваться]
следующие три релиза подряд контрол пытались оптимизировать по производительности и наверное не спроста...

[Sagafon]

))))

Может у кого-то есть пример корректной работы с указанными выше параметрами?