Ldap zerschossen

frankb · 8. August 2022 um 14:34

Hallo zusammen…so wie es aussieht hats mir das ldap zerschossen…

Was ist passiert: ich habe (aus Versehen…sorry…) die Firewall (OpnSense) hart ausgeschaltet…da wurde das Netz extrem langsam…ein Blick in das Syslog des Servers zeigt folgendes: ldap3.core.exception.ldapsocketopenerror …unable to open socket…connection refused…127.0.0.1 …das ist eine richtig lange Fehlermeldung…aber ich denke die entscheidenden Punkte hab ich rausgeschrieben. Ich habe dann die Firewall aus dem letzten Backup wiederhergestellt (ist eine VM…wurde gestern zuletzt gesichert) und wieder gestartet…ohne Probleme…(ist auch anpingbar). Ein Serverneustart bringt leider nichts…geht extrem lange und besagte Fehlermeldung ist immer noch im Syslog…linuxmuster-import-devices und sophomorix-check bestätigen dies auch (sinngemäß: no connection to samba4 AD)…habt ihr mir einen Tip wie ich das AD wieder zum Laufen bekomme? Kann das wirklich mit der Firewall zusammenhängen? Ist eine Linuxmuster V7…ich freue mich sehr auf Eure Hilfe! Liebe Grüße Frank

Nachtrag: Was ich auch gemacht habe was zumindest mal thematisch passt: ich habe die devices.csv um 5 Geräte händisch auf der Konsole ergänzt und habe ein linuxmuster-import-devices ausgeführt…was augenscheinlich aber keinen Fehler gemeldet hat…kann auf diese Weise das AD abgeschossen werden bzw. in einen inkonsistenten Zustand gebracht werden? Falls ja, wie bekomme ich da fehlerhafte Einträge wieder raus? linuxmuster-import-devices funktioniert ja auch nicht mehr…ich kann also keine devices.csv aus dem Backup oder so zurückspielen…

Arnaud · 8. August 2022 um 20:41

Hallo Frank,

Ich kann mich nicht vorstellen, dass es an OPNSense liegt. Es gibt viele mögliche Gründe, warum ldap nicht mehr funktionieren könnte, ein mal habe ich es erlebt, dass einen externen Dienst von uns 200 Anfragen per Sekund auf unseren LDAP geschickt hat, und damit war das ganze Netzwerk sehr lahm …

Konkret zu deinem Problem, es wäre hilfreich eine Fehlermeldung zu sehen, ansontens können die mithelfer hier gar nicht machen. Was heißt genau „linuxmuster-import-devices funktioniert nicht mehr“ ?
Welche Fehlermeldungen hast du sonst im syslog gekriegt ?

Gruß

Arnaud

frankb · 9. August 2022 um 04:43

Hallo Arnaud,

vielen Dank für deine Nachricht. Ja…ich glaube auch nicht mehr dass es an der OPNSense liegt…vermutlich ist es mir beim Neustart der Firewall erst aufgefallen…

ich hänge hier mal meine aktuelle syslog dran.

linuxmuster-import-devices liefert folgenden Fehler:

root@server:~# linuxmuster-import-devices 
------------------------------------------------------------------------------
#### linuxmuster-import-devices startet at 2022-08-09 06:38:34            ####
------------------------------------------------------------------------------
#### Starting sophomorix-device syntax check:                             ####
Command line::
Option json is a modifier option
Option verbose is a modifier option
Hmmh. do not know what to do with option info
* forcing info mode
Option combinations successfully checked
#### No connection to Samba4 AD!                                              ####
Use of uninitialized value $json in numeric eq (==) at /usr/share/perl5/Sophomorix/SophomorixBase.pm line 4796.
Calling console printout
ERROR   -1: No connection to Samba4 AD!                                       
Traceback (most recent call last):
  File "/usr/sbin/linuxmuster-import-devices", line 66, in <module>
    result = subprocess.check_call('sophomorix-device --dry-run', shell=True)
  File "/usr/lib/python3.6/subprocess.py", line 311, in check_call
    raise CalledProcessError(retcode, cmd)
subprocess.CalledProcessError: Command 'sophomorix-device --dry-run' returned non-zero exit status 1

…deshalb das „linuxmuster-import-devices funktioniert nicht mehr“.

Welche Dateien/Fehlermeldung darf ich noch zur Verfügung stellen?

Liebe Grüße Frank

syslog.zip (4,1 KB)

Arnaud · 9. August 2022 um 07:09

Hallo Frank,

Was sagt systemctl restart samba-ad-dc.service
Gibt es evtl eine Fehlermeldung die man mit journalctl isolieren kann ?

Man kann auch die Fehler beim Boot mit journalctl anschauen :

journalctl -b -p err

Vielleicht kann man damit sehen was los ist.

Gruß

Arnaud

frankb · 9. August 2022 um 16:58

Hey hey,

erstmal vielen lieben Dank!

Ich glaube das Problem ist an einer ganz anderen Stelle…der erste restart des ADs brachte eine Timeout-Fehlermeldung…der 2. auch…beim 3. hats funktioniert…aber alles ätzend langsam…aber so richtig…hab dann den Server neugestartet…ging ewig bis der gestartet war und dann lief alles auch ätzend langsam…dann habe ich mal die anderen VMs angeschaut…die laufen genauso lahm…ein Neustart des Hosts (ESXi 7) hat da keine Besserung gebracht…alles ätzend lahm…ich muss das AD auch wieder 3 mal starten das es funktioniert hat

…ich denke es liegt an der unerträglichen „Langsamheit“ des Hosts dass das AD beim booten nicht mehr hochkommt…das rennt einfach in einen Timeout

…ich glaube ich muss da ansetzen…echt komisch…das kopieren von Dateien aus den Netzlaufwerken geht mit voller Gigabitgeschwindigkeit…kopiere ich eine Datei innerhalb des Servers (z.B. von Projekte in ein Homelaufwerk) gehts ewig…ganz seltsam…

Das mit der Firewall ist wohl nur zufällig zur gleichen Zeit passiert

Dir lieber Arnaud aber vielen Dank für „AD-Neustart-Befehl“…der hat mich da jetzt schon weitergebracht…auch wenn es mir grad nicht wohl dabei ist…ein schlagartig langsamer Host verheißt nichts gutes… naja…mal schauen…

Liebe Grüße Frank

Buster · 9. August 2022 um 18:37

Hallo,

funktioniert die DNS-Auflösung bei dir? Alles lahm, könnte auch ein Anzeichen dafür sein, dass DNS nicht funktioniert und alles auf die Netzwerktimeouts für DNS-Antworten wartet. Der erste DC sollte da irgendwie schon selbstreferenzierend sein (127.0.0.1 als 2. DNS-Server im LAN-Interface konfiguriert) oder einen irgendeinen funktionierenden DNS-Forwarder nutzen.

MfG Buster

garblixa · 10. August 2022 um 06:15

Ein sehr interessanter und guter Hinweis! Das würde auch erklären, warum das Kopieren von Dateien über das Netzlaufwerk gut funktioniert. Da braucht es kein DNS.

Viele Grüße
Klaus

frankb · 10. August 2022 um 07:46

Hi zusammen, danke Euch für Eure Antworten und Hinweise. Seit dem das AD wieder geht funktioniert auch das DNS wieder…(der DNS war auch der erste Verdacht den ich hatte). Das „langsame“ betrifft auch VMs die den Linuxmuster-Server garnicht als DNS nutzen…das booten des Linuxmuster-Server dauert ja allein auch schon ewig…(alle VMs brauchen richtig lange zum Booten…).

Etwas nervig grad aber ich beobachte…recherchiere… und gebe auch hier bescheid

Liebe Grüße
Frank

alois · 12. August 2022 um 07:03

Hallo Frank,

hast Du schon einmal das Dateisystem untersuchen lassen? Vielleicht ist ein Fehler die Ursache für die Langsamkeit.

Viele Grüße

Alois

frankb · 12. August 2022 um 09:26

Hallo zusammen,

erstmal: vielen lieben Dank an alle!

Es läuft wieder alles so wie es soll: eine Festplatte im RAID war am Kaputtgehen… dadurch war dann alles so langsam…der Controller hat sich etwas Zeit gelassen besagte Platte als defekt zu erkennen…die defekte Festplatte ist getauscht und alles läuft wieder

Doof wenn verschiedene Dinge zeitgleich passieren und man so zum Teil auf falsche Fährten gelockt wird…

Wie gesagt: vielen lieben Dank nochmal an alle!!

Liebe Grüße und ein wunderschönes Wochenende (und schöne Ferien für die die haben )

Frank

alois · 12. August 2022 um 09:34

Hallo Frank,

regelmäßig ein

smartctl -a /dev/sdx

oder ein

smartctl -A /dev/sdx

absetzen bringt Informationen über den Zustand der Festplatten.

Viele Grüße

Alois