Discussione:
Lentezza nell'aprire gestione risorse
(troppo vecchio per rispondere)
marco
2008-01-11 13:36:44 UTC
Permalink
Ciao
nella LAN ho server e client separati da Isa server 2004 sp3.

Il traffico di rete tra client e server non è ancora limitato.

Tutto funziona benissimo, ma se attacco emule su un client si verifica una
lentezza incredibile in molte operazioni dei client. La classica... quando
un client apre gestione risorse, la finestra rimane impallata per 5 secondi
e poi si visualizzano le cartelle.
Poi se stoppo emule funziona tutto bene.

E' un comportamento normale per isa?
Edoardo Benussi [MVP]
2008-01-11 13:49:04 UTC
Permalink
Post by marco
Ciao
nella LAN ho server e client separati da Isa server 2004 sp3.
non è una buona cosa comunque....
Post by marco
Il traffico di rete tra client e server non è ancora limitato.
Tutto funziona benissimo, ma se attacco emule su un client si
verifica una lentezza incredibile in molte operazioni dei client. La
classica... quando un client apre gestione risorse, la finestra
rimane impallata per 5 secondi e poi si visualizzano le cartelle.
Poi se stoppo emule funziona tutto bene.
E' un comportamento normale per isa?
abbastanza visto che analizza tutto il traffico
che gli passa attraverso.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-11 23:08:12 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by marco
nella LAN ho server e client separati da Isa server 2004 sp3.
non è una buona cosa comunque....
Ma se dovessi essere sicuro che al PDC arrivino solo richieste di
autenticazione e al DNS solo richieste DNS ecc. come dovrei fare?
Lascia stare che ora ho buttato su emule perchè voglio sfruttare un po' la
banda di questa azienda, dopo dovrò ovviamente rimuoverlo perchè le
politiche di protezione dovranno essere iperrestrittive (almeno così mi è
stato commissionato)
Post by Edoardo Benussi [MVP]
Post by marco
E' un comportamento normale per isa?
abbastanza visto che analizza tutto il traffico
che gli passa attraverso.
Ma porco cagnolino ISA è installato su un server con 2 Opteron dual core con
frequenza effettiva da 1,8 Ghz, 4 Gb ram e con log su un disco SCSI
dedicato!!!!
Cioè... i client saranno massimo 150 e principalmente lavorano su piccoli
documenti di word ed excel ed accedono an un sito intranet... non mi sembra
un traffico di rete spaventoso.
In ogni caso però è vero che mi rallenta tutto con emule attaccato :(....
Che non funzioni emule me ne importa relativamente, ma non vorrei che ci sia
davvero un collo di bottiglia che creerà problemi futuri con l'aumento della
richiesta di banda...

Per fare il cosidetto Troubleshooting per capire meglio da cosa possa
dipendere, da cosa parto? che contatori uso?

Non potrebbe essere qualche cavo difettoso su un'interfaccia?
Edoardo Benussi [MVP]
2008-01-13 09:59:04 UTC
Permalink
Post by marco
Post by Edoardo Benussi [MVP]
Post by marco
nella LAN ho server e client separati da Isa server 2004 sp3.
non è una buona cosa comunque....
Ma se dovessi essere sicuro che al PDC arrivino solo richieste di
autenticazione e al DNS solo richieste DNS ecc. come dovrei fare?
Lascia stare che ora ho buttato su emule perchè voglio sfruttare un
po' la banda di questa azienda, dopo dovrò ovviamente rimuoverlo
perchè le politiche di protezione dovranno essere iperrestrittive
(almeno così mi è stato commissionato)
nei domini win2k e win2k3 non esiste più il concetto
di PDC che era legato a NT.
se i domain controllers devono solo autenticare
gli utenti è sufficiente aprire le porte relative ai directory services
stando però attenti al fatto che nel processo di autenticazione
entra sempre in gioco il protocollo rcp che usa
la 135 inizialmente e poi porte random oltre le well known ports
quindi con isa incontri qualche problemino a far funzionare
"tutto" tra dc e clients (vedi ad esempio autoenrollment di certificati)
Post by marco
Post by Edoardo Benussi [MVP]
Post by marco
E' un comportamento normale per isa?
abbastanza visto che analizza tutto il traffico
che gli passa attraverso.
Ma porco cagnolino ISA è installato su un server con 2 Opteron dual
core con frequenza effettiva da 1,8 Ghz, 4 Gb ram e con log su un
disco SCSI dedicato!!!!
le risorse della macchina non c'entrano.
è emule ad essere il "male". :-)
Post by marco
Cioè... i client saranno massimo 150 e principalmente lavorano su
piccoli documenti di word ed excel ed accedono an un sito intranet...
non mi sembra un traffico di rete spaventoso.
In ogni caso però è vero che mi rallenta tutto con emule attaccato
:(.... Che non funzioni emule me ne importa relativamente, ma non
vorrei che ci sia davvero un collo di bottiglia che creerà problemi
futuri con l'aumento della richiesta di banda...
isa è configurato anche come web proxy ?
la cache è attiva ?
Post by marco
Per fare il cosidetto Troubleshooting per capire meglio da cosa possa
dipendere, da cosa parto? che contatori uso?
comincia a guardare cosa succede
al servizio firewall da task manager
quando avvii un download su emule
e verifica anche cosa viene registrato
nei log di isa, quanti sockets vengono aperti, ecc.ecc.
Post by marco
Non potrebbe essere qualche cavo difettoso su un'interfaccia?
è molto improbabile.

se hai ancora dubbi torna qui scrivendo
i risultati delle verifiche che ti ho consigliato al passo precedente.

ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-14 16:52:17 UTC
Permalink
Post by Edoardo Benussi [MVP]
se i domain controllers devono solo autenticare
gli utenti è sufficiente aprire le porte relative ai directory services
stando però attenti al fatto che nel processo di autenticazione
entra sempre in gioco il protocollo rcp che usa
la 135 inizialmente e poi porte random oltre le well known ports
quindi con isa incontri qualche problemino a far funzionare
"tutto" tra dc e clients (vedi ad esempio autoenrollment di certificati)
ok, per capire quale sia il problema ed andare per esclusione ho tolto la
spunta da "enforce strict rpc compliance" ma non ho risolto il problema;
poi come prova successiva ho installato un controller con relativo DNS nella
stessa subnet e ho fatto in modo che tutti i client puntassero a quel dns -
il problema persiste
Post by Edoardo Benussi [MVP]
le risorse della macchina non c'entrano.
è emule ad essere il "male". :-)
anche io penso che emule sia un male... tanto che gli ho dato la colpa senza
motivo... in realtà mi sono reso conto che il problema si verifica
indipendentemente da lui. Semplicemente per fare ripartire la rete riavviavo
ISA Server oltre a chiudere emule, e mi sono accorto che riavviare ISA
Server era già sufficente da solo...
Post by Edoardo Benussi [MVP]
isa è configurato anche come web proxy ?
la cache è attiva ?
Sì è configurato anche come web proxy e la cache è attivata
Post by Edoardo Benussi [MVP]
comincia a guardare cosa succede
al servizio firewall da task manager
quando avvii un download su emule
e verifica anche cosa viene registrato
nei log di isa,
Non succede nulla... il servizio firewall assorbe davvero poco, anche quando
avvio emule.
c'è un assorbimento di 1,7 GB di ram per l'MSDE, ma è normale...
aprendo anche lo snap-in per monitorare le prestazioni ho un utilizzo minimo
di processore-memoria e disco
Post by Edoardo Benussi [MVP]
quanti sockets vengono aperti, ecc.ecc.
azz, se sovessi controllare quanti socket ha aperto isa non saprei dove
guardare... cosa uso netstat :) ?
Post by Edoardo Benussi [MVP]
se hai ancora dubbi torna qui scrivendo
i risultati delle verifiche che ti ho consigliato al passo precedente.
sono nel pallone più totale, altro che dubbi...
ho solo fatto le prove che ti ho detto sopra ed in più aggiungo altre cose
che ho riscontrato:

Il rallentamento nella visualizzazione di esplora risorse avviene solo la
prima volta che apro esplora risorse. Se, una volta visualizzata la
finestra, provo ad aprire altri esplora risorse l'apertura è velocissima. Se
però lascio trascorrere qualche minuto di inattività e provo nuovamente ad
aprire l'esplora risorse si impalla nuovamente.

Il rallentamento sparisce nel momento in cui disconnetto le unità di rete.

Il rallentamento non riguarda i PC con Vista, ma tutti i pc con XP.

-----
Sto pensando che possa essere stata una patch di MS, visto che le lascio
installare automaticamente (ultimamente è stata corretta una grave
vulnerabilità sul TCP/IP).... ma se così fosse avrebbero tutti lo stesso
problema ed invece sembra localizzato al mio dominio.

-------------
Ulteriore precisazione, le unità di rete sono collegate ad un percorso DFS.
I file server ed i client sono su subnet separate da ISA Server.
Per la risoluzione dei nomi uso solo il server DNS e non ho un server WINS
sul tcp/IP dei client è abilitato il netbios su TCP/IP...

non sò che altro aggiungere che possa dare una mano anche a voi nella
risoluzione del problema.
help.
marco
2008-01-15 08:24:23 UTC
Permalink
Forse ho trovato la cosa davvero importante:
Tra gli alert ISA ho trovato un SYN ATTACK ieri notte.
Altri Syn Attack li ho trovati nei giorni precedenti.
E' proprio il genere di attacco che potrebbe negare o rallentare il
servizio... proprio quello che sta succedendo.

Nell'alert però mi dice solo il tipo d'attacco e l'orario (l'ultimo ieri
notte alle 2,08). Non mi dice nulla sull'origine ecc ecc.

come faccio a capire esattamente cosa è successo ieri notte alle ore 2,08 e
da quale IP parte questo syn attack?
grazie
Edoardo Benussi [MVP]
2008-01-15 10:01:41 UTC
Permalink
Post by marco
Tra gli alert ISA ho trovato un SYN ATTACK ieri notte.
Altri Syn Attack li ho trovati nei giorni precedenti.
E' proprio il genere di attacco che potrebbe negare o rallentare il
servizio... proprio quello che sta succedendo.
Nell'alert però mi dice solo il tipo d'attacco e l'orario (l'ultimo
ieri notte alle 2,08). Non mi dice nulla sull'origine ecc ecc.
come faccio a capire esattamente cosa è successo ieri notte alle ore
2,08 e da quale IP parte questo syn attack?
grazie
aspetta.
ho letto tutto il tuo post di ieri
oltre a questo di oggi e c'è un punto
che mi insospettisce in quello che hai scritto.
il punto è questo
Post by marco
poi come prova successiva ho installato un controller
con relativo DNS nella stessa subnet e ho fatto in modo che tutti i
client puntassero a quel dns - il problema persiste
e quindi la precisazione che mi serve è questa:
il rallentamento tra i clients xp e il dc ce l'hai
anche se non passi da isa ?

puoi postare un ipconfig /all
di un client xp e del dc
nella medesima subnet dei clients ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-15 13:38:50 UTC
Permalink
Post by Edoardo Benussi [MVP]
aspetta.
ho letto tutto il tuo post di ieri
oltre a questo di oggi e c'è un punto
che mi insospettisce in quello che hai scritto.
il punto è questo
Post by marco
poi come prova successiva ho installato un controller
con relativo DNS nella stessa subnet e ho fatto in modo che tutti i
client puntassero a quel dns - il problema persiste
il rallentamento tra i clients xp e il dc ce l'hai
anche se non passi da isa ?
puoi postare un ipconfig /all
di un client xp e del dc
nella medesima subnet dei clients ?
I client

ip 172.16.7.x/24
nodo ibrido
GW 172.16.7.1 (isa server)
DHCP 162.16.6.130
DNS 172.16.7.12
DNS 172.16.6.66
DNS 172.16.6.162

Il DC nella subnet dei client:
ip 172.16.7.12/24
nodo sconosciuto
gw 172.16.7.1
DNS 172.16.7.12
DNS 172.16.6.66
DNS 172.16.6.162


SERVER DFS su cui sono mappate le unità di rete (causa del rallentamento
nell'apertura di esplora risorse)
ip 172.16.6.28/24
nodo sconosciuto
gw 172.16.6.129
DNS 172.16.6.66
DNS 172.16.6.162

ISA SERVER
IP 172.16.7.1724 (rete client + nuovo server)
IP 172.16.6.129/24 (rete server)
IP 192.168.0.63/27 (rete che collega al firewall internet)


Da premettere che non ho fatto modifiche alla rete e il rallentamento è
iniziato da solo intorno ai primi di gennaio(prima andava tutto bene)
Sono ancora portato a pensare al SYN_Attack o ad un qualche attacco DoS
(magari di un virus che ha colpito qualche client) rilevato perchè
addirittura, ho notato che ISA server nega la connessione desktop remoto
dalla postazione che dovrebbe essere autorizzata ad accedere in RDP ad ISA.
La connessione RDP viene stabilita tranquillamente se riavvio ISA SERVER. Se
trascorre un po' di tempo ricomincia a non funzionare l'RDP ed i
rallentamenti di cui parlavamo.
Edoardo Benussi [MVP]
2008-01-15 15:34:04 UTC
Permalink
Post by marco
Post by Edoardo Benussi [MVP]
aspetta.
ho letto tutto il tuo post di ieri
oltre a questo di oggi e c'è un punto
che mi insospettisce in quello che hai scritto.
il punto è questo
Post by marco
poi come prova successiva ho installato un controller
con relativo DNS nella stessa subnet e ho fatto in modo che tutti i
client puntassero a quel dns - il problema persiste
il rallentamento tra i clients xp e il dc ce l'hai
anche se non passi da isa ?
puoi postare un ipconfig /all
di un client xp e del dc
nella medesima subnet dei clients ?
I client
ip 172.16.7.x/24
nodo ibrido
GW 172.16.7.1 (isa server)
DHCP 162.16.6.130
DNS 172.16.7.12
DNS 172.16.6.66
DNS 172.16.6.162
ip 172.16.7.12/24
nodo sconosciuto
gw 172.16.7.1
DNS 172.16.7.12
DNS 172.16.6.66
DNS 172.16.6.162
SERVER DFS su cui sono mappate le unità di rete (causa del
e questo cosa c'entra ?
io ho sempre e solo parlato di un dc
nella medesima subnet dei clients.
Post by marco
rallentamento nell'apertura di esplora risorse)
ip 172.16.6.28/24
nodo sconosciuto
gw 172.16.6.129
DNS 172.16.6.66
DNS 172.16.6.162
ISA SERVER
IP 172.16.7.1724 (rete client + nuovo server)
IP 172.16.6.129/24 (rete server)
IP 192.168.0.63/27 (rete che collega al firewall internet)
Da premettere che non ho fatto modifiche alla rete e il rallentamento
è iniziato da solo intorno ai primi di gennaio(prima andava tutto
bene)
andava tutto bene anche con isa in mezzo ?
Post by marco
Sono ancora portato a pensare al SYN_Attack o ad un qualche attacco
DoS (magari di un virus che ha colpito qualche client) rilevato perchè
addirittura, ho notato che ISA server nega la connessione desktop
remoto dalla postazione che dovrebbe essere autorizzata ad accedere
in RDP ad ISA. La connessione RDP viene stabilita tranquillamente se
riavvio ISA SERVER. Se trascorre un po' di tempo ricomincia a non
funzionare l'RDP ed i rallentamenti di cui parlavamo.
quali patch hai installato su isa
da quando si manifestano i rallentamenti ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-15 16:21:46 UTC
Permalink
Post by Edoardo Benussi [MVP]
quali patch hai installato su isa
win 2003 installa le patch da wsus
isa server 2004 è sp3
Post by Edoardo Benussi [MVP]
da quando si manifestano i rallentamenti ?
piu o meno dai primi di gennaio

Isa server è configurato per loggare i dropped packet.
come faccio a capire da dove parte l'attacco (se di attacco si tratta) dalla
console monitoring, non sono riuscito a capire cona mettere nel filtro dei
log.
Edoardo Benussi [MVP]
2008-01-15 16:33:55 UTC
Permalink
Post by marco
Post by Edoardo Benussi [MVP]
quali patch hai installato su isa
win 2003 installa le patch da wsus
isa server 2004 è sp3
Post by Edoardo Benussi [MVP]
da quando si manifestano i rallentamenti ?
piu o meno dai primi di gennaio
Isa server è configurato per loggare i dropped packet.
come faccio a capire da dove parte l'attacco (se di attacco si
tratta) dalla console monitoring, non sono riuscito a capire cona
mettere nel filtro dei log.
ma perchè deve per forza esserci un attacco ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-15 16:53:08 UTC
Permalink
Post by Edoardo Benussi [MVP]
ma perchè deve per forza esserci un attacco ?
non per forza, ma vorrei fugare questa eventualità.
in realtà non credo si tratti di attacco, ma di una o più macchine infette.

Se dovessi capire da dove parte questo syn_attack che trovo tra gli alert di
isa, che filtro devo usare nel logging?
Edoardo Benussi [MVP]
2008-01-16 08:24:37 UTC
Permalink
Post by marco
Post by Edoardo Benussi [MVP]
ma perchè deve per forza esserci un attacco ?
non per forza, ma vorrei fugare questa eventualità.
in realtà non credo si tratti di attacco, ma di una o più macchine infette.
Se dovessi capire da dove parte questo syn_attack che trovo tra gli
alert di isa, che filtro devo usare nel logging?
gli alerts che trovi dovrebbero darti
anche l'ip di origine del pacchetto.
altrimenti aggiungi informazioni agendo sulle
proprietà del log.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-16 17:34:11 UTC
Permalink
Che brutta situazione ....
meno male che è finita, ma ho perso 10 anni di vita :)

Ore passate sui log controllando spoof syn_attack ecc...
Utenti inkazzati perchè tutto era lentissimo. Errori di sincronizzazione tra
le repliche DFS...


L'ultima prova disperata è stata quella di cambiare lo switch in cui
arrivavano ISA e i client.
Da lì in poi il paradiso. Tutto è tornato alla normalità !!!

però che rabbia
Edoardo Benussi [MVP]
2008-01-17 13:34:06 UTC
Permalink
Post by marco
Che brutta situazione ....
meno male che è finita, ma ho perso 10 anni di vita :)
Ore passate sui log controllando spoof syn_attack ecc...
Utenti inkazzati perchè tutto era lentissimo. Errori di
sincronizzazione tra le repliche DFS...
L'ultima prova disperata è stata quella di cambiare lo switch in cui
arrivavano ISA e i client.
Da lì in poi il paradiso. Tutto è tornato alla normalità !!!
però che rabbia
grazie per esser tornato a riferire, ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
marco
2008-01-17 20:55:01 UTC
Permalink
:(

in verità vi dico...
che la rete ha ripreso a funzionare dopo il cambio dello switch, ma i
rallentamenti sono ricominciati dopo qualche ora.

Quando mi sono arrivate le telefonate di persone che non riuscivano più a
caricare i profili personali mi sarei sparato.

ora davvero non so più che cercare. L'unica strada che mi sembra papabile è
questa, visto che ho installato da poco la sp2 sul 2003, ma appena creo un
filtro per assegnare l'interrupt di ogni scheda ad un processore diverso, la
scheda non riparte più...
http://support.microsoft.com/kb/934809/en-us

e ultimo in isa server general->connection limit, ho visto che devo essermi
lasciato prendere la mano qualche tempo fa.
Ho creato un range di computer (quelli del ced) ai quali ho consentito
100000 connessioni... il che presumo sia esagerato e
per il default - connection per secon = 2000
e connection per client 500

adesso ho tolto completamente il settaggio per i pc del CED ed ho consentito
1000 connessioni per secondo e
250 connessioni per client.

incrocio le dita per domani.
marco
2008-01-19 19:25:54 UTC
Permalink
Aggiungiamo questo;

a questo punto mi verrebbe da non patchare più

http://support.microsoft.com/kb/942880/en-us
Edoardo Benussi [MVP]
2008-01-20 11:54:43 UTC
Permalink
Post by marco
Aggiungiamo questo;
a questo punto mi verrebbe da non patchare più
http://support.microsoft.com/kb/942880/en-us
ho l'impressione che tu ti stia facendo trascinare
troppo dagli articoli della kb.
ti spiace provare a riepilogare con calma
e ordine i sintomi dei quali soffre questa rete ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Continua a leggere su narkive:
Loading...