No i mój kolejny dzień spędzony nad PIXem.
Objawem jest wyciek pamieci który w rezultacie powoduje generowanie błędu "Memory allocation error"
Powodów moze być kilka.
1. Wywaliłem logowanie do pamieci - no logging buffered ....
2. błąd w konfiguracji urzadzenia - zestawianie tunelu VPN na nie istniejące połączenie.
3. atak DoS na urzadzenie - wtedy jest duzo sessji i brakuje pamieci,
Do sprawdzenia :
Just an update in case someone else runs across this problem. The timeout settings and the amount of embryonic connections have serious impact on Pix memory usage. If you are receiving memory allocation errors check both.
To check the number of embryonic connections:
show local-host | include host|count/limit
The default timeout settings:
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute"
wtorek, 30 grudnia 2008
poniedziałek, 29 grudnia 2008
ssh na routerach cisco
aby wykorzystywaćdostęp zdalny do urządzenia należy wygenerować odpowiedni certyfikat:
!--- Generate an SSH key to be used with SSH.
cry key generate rsa
ip ssh time-out 60
ip ssh authentication-retries 2
środa, 24 grudnia 2008
diagnozowanie DNSa na kontrolerach domeny
C:\Users\ad-kurzeja>dnscmd ad03 /EnumDirectoryPartitions DomainDnsZones.domain.local
Lista wyliczonych partycji katalogów:
Liczba partycji katalogów = 2
DomainDnsZones.domain.local Enlisted Auto Domain
ForestDnsZones.domain.local Enlisted Auto Forest
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad03 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad1 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Primary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad2 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Secondary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad02 /EnumZones
Lista wyliczonych stref:
Liczba stref = 21
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Secondary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Wnioski : na ad03 brak kopii strefy jakasdomena !!
C:\Users\ad-kurzeja>dnscmd ad1 /ZoneInfo jakasdomena
Wynik kwerendy strefy:
Informacje o strefie:
WskaŸnik = 003585A8
Nazwa strefy = jakasdomena
Typ strefy = 1
Zamknięcie = 0
Wstrzymanie = 0
Aktualizacja = 0
Integracja z usł. domen. = 0
Strefa tylko do odczytu = 0
Plik danych = jakasdomena.dns
Stosowanie usługi WINS = 0
Stosowanie pamięci Nbstat = 0
Przedawnienie = 0
Interwał odœwieżania = 168
Brak odœwieżania = 168
Oczyszczanie dostępne = 0
Strefy nadrzędne stref Pusta tablica adresów IP.
Serwery pomocnicze strefy Pusta tablica adresów IP.
Bezpieczne sekundy = 1
Polecenie zostało wykonane pomyœlnie.
Lista wyliczonych partycji katalogów:
Liczba partycji katalogów = 2
DomainDnsZones.domain.local Enlisted Auto Domain
ForestDnsZones.domain.local Enlisted Auto Forest
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad03 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad1 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Primary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad2 /EnumZones
Lista wyliczonych stref:
Liczba stref = 20
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Secondary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
C:\Users\ad-kurzeja>dnscmd ad02 /EnumZones
Lista wyliczonych stref:
Liczba stref = 21
Nazwa strefy Typ Magazyn Właœciwoœci
. Cache AD-Legacy
10.1.10.in-addr.arpa Primary AD-Legacy Secure Rev
jakasdomena Secondary File
domain.local Primary AD-Legacy Update
Polecenie zostało wykonane pomyœlnie.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Wnioski : na ad03 brak kopii strefy jakasdomena !!
C:\Users\ad-kurzeja>dnscmd ad1 /ZoneInfo jakasdomena
Wynik kwerendy strefy:
Informacje o strefie:
WskaŸnik = 003585A8
Nazwa strefy = jakasdomena
Typ strefy = 1
Zamknięcie = 0
Wstrzymanie = 0
Aktualizacja = 0
Integracja z usł. domen. = 0
Strefa tylko do odczytu = 0
Plik danych = jakasdomena.dns
Stosowanie usługi WINS = 0
Stosowanie pamięci Nbstat = 0
Przedawnienie = 0
Interwał odœwieżania = 168
Brak odœwieżania = 168
Oczyszczanie dostępne = 0
Strefy nadrzędne stref Pusta tablica adresów IP.
Serwery pomocnicze strefy Pusta tablica adresów IP.
Bezpieczne sekundy = 1
Polecenie zostało wykonane pomyœlnie.
niedziela, 21 grudnia 2008
usuwanie force kontrolera domeny
Procedura usuwania nieistniejącego ( uległ awarii) kontrolera który pełnił role FSMO wygląda tak:
ntdsutil - wchodzimy do zarzšdzania rolami
Roles - zarzšdzanie rolami kontrolerów domeny
------
najpierw podłanczamy sie do sprawnego kontrolera domeny
Connections
Connect to domain domain.local
quit
------
Wybieramy cel operacji i podłanczamy sie do domeny, serwera itd
fsmo maintenance: Select operation target
select operation target: List Domains
Domen odnalezionych: 1
0 - DC=domain,DC=local
select operation target: select domain 0
Listujemy sit-y i podłanczamy sie pod domyslnego
select operation target: List sites
Lokacji odnalezionych: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain ,DC=local
select operation target: select site 0
select operation target: List naming contexts
Odnalezionych kontekstów nazewnictwa: 5
0 - CN=Configuration,DC=domain,DC=local
1 - CN=Schema,CN=Configuration,DC=domain,DC=local
2 - DC=domain,DC=local
3 - DC=DomainDnsZones,DC=domain,DC=local
4 - DC=ForestDnsZones,DC=domain,DC=local
select operation target: List servers for domain in site
Serwerów odnalezionych: 4
0 - CN=XP1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
1 - CN=XP2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
2 - CN=AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
3 - CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select server 3
Lokacja - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Domena - DC=domain,DC=local
Serwer - CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Obiekt agenta DSA - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Nazwa hosta DNS - AD02.domain.local
Obiekt komputera - CN=AD02,OU=Domain Controllers,DC=domain,DC=local
Brak bieżšcego kontekstu nazewnictwa
quit
------------
Wychodzimy do zarzadzania rolami FSMO i robimy size dla wszystkich ról
fsmo maintenance: Seize schema master
Próba dokonania bezpiecznego transferu schema FSMO przed przejmowaniem.
ldap_modify_sW błšd 0x34(52 (Niedostępny).
Rozszerzonym komunikatem o błędzie Ldap jest 000020AF: SvcErr: DSID-03210380, pr
oblem 5002 (UNAVAILABLE), data 1722
Zwróconym błędem systemu Win32 jest 0x20af(Żšdana operacja FSMO nie powiodła się
. Nie można połšczyć się z bieżšcym posiadaczem FSMO.)
)
fsmo maintenance: Seize RID master
Próba dokonania bezpiecznego transferu RID FSMO przed przejmowaniem.
ldap_modify_sW błšd 0x34(52 (Niedostępny).
Rozszerzonym komunikatem o błędzie Ldap jest 000020AF: SvcErr: DSID-03210B34, pr
oblem 5002 (UNAVAILABLE), data 1722
Zwróconym błędem systemu Win32 jest 0x20af(Żšdana operacja FSMO nie powiodła się
. Nie można połšczyć się z bieżšcym posiadaczem FSMO.)
)
fsmo maintenance: size pdc
Błšd podczas analizowania danych wejœciowych - nieprawidłowa składnia.
fsmo maintenance: Seize PDC
Próba dokonania bezpiecznego transferu PDC FSMO przed przejmowaniem.
ldap_modify_sW błšd 0x34(52 (Niedostępny).
Rozszerzonym komunikatem o błędzie Ldap jest 000020AF: SvcErr: DSID-03210575, pr
oblem 5002 (UNAVAILABLE), data 1722
fsmo maintenance: Seize naming master
Próba dokonania bezpiecznego transferu domain naming FSMO przed przejmowaniem.
ldap_modify_sW błšd 0x34(52 (Niedostępny).
Rozszerzonym komunikatem o błędzie Ldap jest 000020AF: SvcErr: DSID-03210380, pr
oblem 5002 (UNAVAILABLE), data 1722
Zwróconym błędem systemu Win32 jest 0x20af(Żšdana operacja FSMO nie powiodła się
. Nie można połšczyć się z bieżšcym posiadaczem FSMO.)
)
Wyłanczamy wykaz globalny na serwerze na którym chcemy przenieœć wzorzec infrastruktury
fsmo maintenance: Seize infrastructure master
Próba dokonania bezpiecznego transferu infrastructure FSMO przed przejmowaniem.
ldap_modify_sW błšd 0x34(52 (Niedostępny).
Rozszerzonym komunikatem o błędzie Ldap jest 000020AF: SvcErr: DSID-03210380, pr
oblem 5002 (UNAVAILABLE), data 1722
Zwróconym błędem systemu Win32 jest 0x20af(Żšdana operacja FSMO nie powiodła się
. Nie można połšczyć się z bieżšcym posiadaczem FSMO.)
)
Etap II - usuniecie uszkodzonego kontrolera domeny
C:\Windows\system32\ntdsutil.exe: Metadata cleanup
metadata cleanup:
podłanczamy sie do sprawnego kontrolera
metadata cleanup: connections
Podłšczono do \\AD02.domain.local przy użyciu poœwiadczeń zalogowanego lokalnie użytk
ownika.
server connections: connect to server ad02
Trwa rozłšczanie z \\AD02.domain.local...
Trwa powišzywanie z ad02 ...
Podłšczono do ad02 przy użyciu poœwiadczeń zalogowanego lokalnie użytkownika.
server connections:
quit
------
metadata cleanup: Select operation target
select operation target:
-------
select operation target: list domains
Domen odnalezionych: 1
0 - DC=domain,DC=local
select operation target: select domain 0
Brak bieżšcej lokacji
Domena - DC=domain,DC=local
Brak bieżšcego serwera
Brak bieżšcego kontekstu nazewnictwa
-------
select operation target: list sites
Lokacji odnalezionych: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select site 0
Lokacja - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Domena - DC=domain,DC=local
Brak bieżšcego serwera
Brak bieżšcego kontekstu nazewnictwa
select operation target:
--------
select operation target: list servers in site
Serwerów odnalezionych: 4
0 - CN=XP1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain
,DC=local
1 - CN=XP2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain
,DC=local
2 - CN=AD01(uszkodzony),CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=x
p,DC=local
3 - CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=x
p,DC=local
select operation target: select server 2
Lokacja - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Domena - DC=domain,DC=local
Serwer - CN=AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration
,DC=domain,DC=local
Obiekt agenta DSA - CN=NTDS Settings,CN=AD01,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Nazwa hosta DNS - AD01.domain.local
Obiekt komputera - CN=AD01,OU=Domain Controllers,DC=domain,DC=local
Brak bieżšcego kontekstu nazewnictwa
select operation target:
--------
usuwamy uszkodzony server
--------
select operation target: quit
metadata cleanup: remove selected server
Transferowanie/przejmowanie ról FSMO z wybranego serwera.
Usuwanie metadanych FRS dla wybranego serwera.
Wyszukiwanie elementów członkowskich FRS w "CN=AD01,OU=Domain Controllers,DC=domain,
DC=local".
Usuwanie elementów członkowskich FRS "CN=AD01,CN=Domain System Volume (SYSVOL sh
are),CN=File Replication Service,CN=System,DC=domain,DC=local".
Usuwanie poddrzewa w "CN=AD01,CN=Domain System Volume (SYSVOL share),CN=File Rep
lication Service,CN=System,DC=domain,DC=local".
Usuwanie poddrzewa w "CN=AD01,OU=Domain Controllers,DC=domain,DC=local".
Próba usunięcia ustawienia FRS na serwerze CN=AD01,CN=Servers,CN=Default-First-S
ite-Name,CN=Sites,CN=Configuration,DC=domain,DC=local nie powiodła się z powodu
"Nie można odnaleŸć elementu."; czyszczenie metadanych jest kontynuowane.
"CN=AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,D
C=skok" usunięto z serwera "ad02"
metadata cleanup:
-----
usuwamy wpisy w DNS dla każdej strefy wskazujšcej na inne ( usunięte serwery nazw )
wtorek, 9 grudnia 2008
analiza disconectów na Citrix presentation server
Są dwa protokoły do komunikacji klienta z serwerem.
Po rozłączeniu klient próbuje nawiązac ponownie połączenie z serwerem.
W właściwościach farmy do ustawienia:
-Session Reliability - umożliwia powrót do zerwanej sesji w skonifgurowanym czasie.
pełny opis znajduje się tu: http://support.citrix.com/article/CTX104147
Common Gateway Protocol - wykorzystywany w funkcji Session Reliability wykorzystuje domyślnie port 2598 protokołu UDP. Musimy przepuścić łaczność między serwerami terminali a klientami systemu na firewallu.
- Keep-alive - czas przez który system podtrzymuje aktualiną sesje i moża sie do niej podłaczyc
Narzędzie do analizy aktywnych sesji :SMCConsole.
opis opcji ICA KeepAlive
http://support.citrix.com/article/CTX107659
http://support.citrix.com/article/CTX708444
Rozwiązanie:
Po rozłączeniu klient próbuje nawiązac ponownie połączenie z serwerem.
W właściwościach farmy do ustawienia:
-Session Reliability - umożliwia powrót do zerwanej sesji w skonifgurowanym czasie.
pełny opis znajduje się tu: http://support.citrix.com/article/CTX104147
Common Gateway Protocol - wykorzystywany w funkcji Session Reliability wykorzystuje domyślnie port 2598 protokołu UDP. Musimy przepuścić łaczność między serwerami terminali a klientami systemu na firewallu.
- Keep-alive - czas przez który system podtrzymuje aktualiną sesje i moża sie do niej podłaczyc
Narzędzie do analizy aktywnych sesji :SMCConsole.
opis opcji ICA KeepAlive
http://support.citrix.com/article/CTX107659
http://support.citrix.com/article/CTX708444
Rozwiązanie:
- dla każdego servera ustawiamy parametr Keep-alive na 60s - opcja użyj ustawień dla całej farmy nie działa prawidłowo.
- w własciwościach "aplikacji" opublikowanego desktopu - Advanced>Limits > Allow only one instance of application for each user - zaznaczycz - czyli blokujemy aplikacje tylko do jednej instancji. Wtedy mechanizm load balancingu nie "kombinuje" chcac umieścić usera na innym "szybszym" serwerze tylko wrzuca go spowrotem na sesję disconect.
- W własciwościach farmy Presentation Server > Session reablity odchaczamy allow users to view sessions during broken connection - czyli wyłanczamy session reliability
Subskrybuj:
Komentarze (Atom)