VrDrakon
@VrDrakon
Начинающий системный администратор.

Причины медленной работы DNS в ЛВС?

Здравствуйте ребят. Познакомлю сразу с сетью и оборудованием... В локальной сети есть:
  • маршрутизатор Mikrotik RB2011 (DHCP и WAN),
  • СХД Synology RS814 на DMS 5.2-5967 (Update 9),
  • сервер HP DL320e Gen8 (На котором установлены службы DNS и AD с Windows Server 2022),
  • виртуальная машина с Windows Server 2022 (AD и DNS в качестве второго DC для локального домена),
  • порядка ~30 клиентов (Windows 10 и немного Ubuntu с Manjaro),
  • домен (Имя изменено): contoso.lc


Теперь как сия работает:
Есть два коммутатора, 1-й неуправляемый, где каждый порт на 1 гигабит и 2-й тоже неуправляемый и каждый порт на 100 мбит. Все клиенты подключены к 2-ому коммутатору, а он в свою очередь соединён с 1-м коммутатором, так же, маршрутизатор, сервера и СХД аналогично подключены к 1-ому коммутатору по гигабиту, так же у СХД сделан Bond обоих портов. У каждого клиента есть учётная запись в AD, так же через AD (Точнее по GPO, но не суть) подключены "сетевые диски" от Synology (Который тоже в домене), дисков в среднем 5 и в них много мелких файлов (В некоторых папках может достигаться до нескольких сотен, а то и тысяч файлов, думаю не стоит говорить что происходит с проводником) весом от ~100 кб до ~5 ГБ.

Теперь сама проблема:
Периодически СХД принимает позицию "Нагрузка CPU ~ 90 - 100% и у всех диски отваливаются" (Да грубо, но тем не менее), после ручной перезагрузки, продолжает нормальную работу и спустя 1-5 дней, проблема повторяется. Теперь кратко о том, откуда она возникает - когда в системе появляется новый пользователь или пользователь пробует получить доступ к папке/диску на который не имеет прав, прекрасный СХД Synology начинает "умирать", а точнее его убивают такие службы как:
65e81fad41e06193682728.png
И к слову... Это не единственная проблема, порой долго думать могут сами ПК при обработке каких-то прав, естественно изучая проблемы и читая форумы, пришёл к тому, что с DNS в ЛВС что-то не так, на форумах было описано мол продвижение пакетов DNS по сети медленное, хотя dcdiag /test:dns /v /s: показывал что всё в порядке на обоих DC:
(Имя домена изменено) Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:

DNS-сервер: 192.168.1.1 () (Маршрутизатор)
Все проверки для данного DNS-сервера пройдены

DNS-сервер: 192.168.1.14 (HPV-AD-DC-002) (Виртуальная машина)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered

DNS-сервер: 192.168.1.4 (replic-hp320e.contoso.lc.) (Основной сервер)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered
DNS delegation for the domain _msdcs.contoso.lc. is operational on IP 192.168.1.4

DNS-сервер: 192.168.3.2 (replic-hp320e.contoso.lc.) (Второй Ethernet порт сервера)
Все проверки для данного DNS-сервера пройдены
DNS delegation for the domain _msdcs.contoso.lc. is operational on IP 192.168.3.2

DNS-сервер: 8.8.8.8 ()
Все проверки для данного DNS-сервера пройдены

Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: contoso.lc
REPLIC-HP320E PASS WARN PASS PASS WARN PASS n/a

......................... contoso.lc - пройдена проверка DNS
Проверка пропущена по запросу пользователя: LocatorCheck
Проверка пропущена по запросу пользователя: Intersite

А вот и DNS самого маршрутизатора.
65e6d9f61063b369728586.png
(Да банально, но не буду расписывать почти месяц поисков и проб решений). Насчёт скорости ЛВС от 100 мбитных клиентов до 1 гигабитного СХД - средняя скорость передачи 11 - 14 мбайт (что является нормой для 100 мбит, хотя и с переходом в гигабит).

Попробованные решения:
Пробовал странное деяние, а именно, отключал 2-й коммутатор, всем клиентам сбрасывал сетевые настройки (ПК перезагружал, но в сеть не включал), затем не включая 2-й, отключал 1-й коммутатор на всех серверах сбрасывал настройки сетевых адаптеров, перезагружал маршрутизатор и постепенно всё включал обратно (С надеждой в сердце, что DNS у всех будет очищен и старые проблемные места уйдут). Использовались следующие команды для Windows:
  • netsh winsock reset
  • netsh int ip reset all
  • netsh winhttp reset proxy (Прокси нет, но для надёжности)
  • ipconfig /flushdns
  • route -f (Так же для надёжности)

Теперь Linux:
  • sudo iptables -F
  • sudo ifdown -a
  • sudo ifup -a
  • sudo nmcli d set eth0 managed no
  • sudo nmcli d set eth0 managed yes
  • sudo systemctl restart NetworkManager

На СХД (Ибо не знаю как, так как прошивка Synology молчит скромно) и маршрутизаторе не стал делать. И... Это не помогло, проблема как была, так осталась. Отключал по одному клиентов и пробовал менять коммутаторы, чтобы исключить "случайную" "петлю" или "широковещательный шторм", так же не помогло. Дальше... Пока не экспериментирую и сбрасывать что-то не особо желаю (поскольку пока идей нет), а посему обращаюсь к миру с вопросом как сия поправить иль чего ещё предоставить?)
  • Вопрос задан
  • 1802 просмотра
Пригласить эксперта
Ответы на вопрос 4
b1ora
@b1ora
Настройка Микротик РФ
СХД сделан Bond обоих портов


И коммутаторы неуправляемые.
Какой тип Bound используется?
Отключит Bound и проверить без него.
Коммутаторы должны быть управляемыми и с двух сторон делается LACP
Ответ написан
@mvv-rus
Настоящий админ AD и ненастоящий программист
Уберите 8.8.8.8 из всех списков серверов DNS на всех клиентах, которым нужно обращаться к домену (на NAS, в частности). Этот сервер почти наверняка не способен разрешать имена ваших КД в IP вашей локальной сети (подробности разных сценариев опускаю). По умолчанию DNS на КД вполне способен справляться с разрешением всех имен (и из интернета - тоже, через корневые сервера). Если это вдруг не так - кто-то (ваш маршрутизатор или провайдер) почему-то блокирует исходящие запросы DNS с КД - настройте на них пересылку запросов на внешний сервер DNS, запросы на который не блокируются (например, тот же 8.8.8.8).
PS Если маршрутизатору не нужно обращаться к домену (в том числе - если он настроен как DNS Proxy для локальной сети), то 8.8.8.8 можно оставить, чисто на случай отказа всех КД.
Ответ написан
@Billander
Как вариант еще можно использовать разные версии smb и посмотреть нагрузки или вообще посмотреть что происходит если использовать другой протокол. В интернетах эта проблема встречается довольно часто на этой версии DSM.
тыц1
тыц2
тыц3
Ответ написан
@karvadimru
Попробуйте задампить трафик во время сбоя с КД, СХД (если получится, конечно) и нового клиента. Судя по вашему изначальному описанию вы можете этот сбой вызвать самостоятельно, а значит можете подготовиться к нему, запустив сниффер на целевых устройствах.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы