Содержание

Skip to end of metadata
Go to start of metadata

Условия возникновения проблемы

Снижение производительности службы dirsrv в составе контроллера домена FreeIPA может наблюдаться при следующих условиях:

  • Инициализация сервера была выполнена с поддержкой Windows Active Directory SMB (опция -s при установке с помощью инструмента astra-freeipa-server );
  • В сети одновременно работают несколько сотен клиентских компьютеров под управлением ОС  Windows;


Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Симптомы проблемы

  • При одновременной работе большого количества клиентов Windows доменные службы FreeIPA перестают отвечать на запросы;
  • Выполнение команды ldapsearch -x занимает значительное время (десятки минут);
  • При перезагрузке сервера FreeIPA могут стартовать не все доменные службы;
  • В системном журнале /var/log/syslog и в журналах службы samba регистрируются сообщения службы  samba вида:

    ipadc smbd[12777]: pdb backend ipasam:ldapi://%2fvar%2frun%2fslapd-DOMAIN-RU.socket did not correctly init (error was NT_STATUS_UNSUCCESSFUL)
  • В нерабочее время (клиенты Windows отключены) работоспособность доменных служб восстанавливается.

Решение проблемы

Убедитесь, что сервер FreeIPA развёрнут на компьютере, имеющем достаточное количество ресурсов:

  • Не менее 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).
Убедитесь, что на сервере FreeIPA выполнены рекомендации по устранению проблемы нехватки файловых дескрипторов;


Для предотвращения проблемы падения производительности при массовой работе клиентов Windows следует использовать версию службы sssd 1.16.3 или более новую.

Проверить номер установленной и доступной для обновления версии службы sssd можно командами:

sudo apt update
apt-cache policy sssd

Если версия службы sssd ниже 1.16.3, то обновите службу sssd командами:
sudo apt update
sudo apt install sssd

  • No labels

4 Comments

  1. Клиенты Windows периодически создают пиковые нагрузки (например, массовое одновременное включение компьютеров в начале рабочего дня);
    =>
    наверное убрать ибо нагрузку генерируют в течении дня.

    При массовом подключении клиентов Windows доменные службы FreeIPA перестают отвечать на запросы;
    =>
    При большом количестве клиентов Windows в сети доменные службы FreeIPA перестают отвечать на запросы;


    про ядра лучше убрать
    памяти от 4!


    версия sssd от 1.16.3 или может ссылку на http://download.astralinux.ru/astra/testing/orel/repository/pool/main/s/sssd/
    или и то и другое...


  2. в апдейте 4 подвезем и в Орле скоро .. ссылки можно будет туда направить


  3. Инициализация сервера была выполнена с собственным удостоверяющим центром (инициализация с опцией --dogtag в ОС СН Орёл или подключение этой службы в ОС СН);

    =>
    Инициализация сервера была выполнена с поддержкой AD SMB. (опция -s при установке)