O tráfego SMB2 falha na rede?

Navegue suas respostas
2

Temos tido problemas significativos de lentidão na rede nas últimas semanas, principalmente em uma manhã de sexta-feira. Executamos máquinas cliente com o Windows 7, com servidores Windows Server 2008 R2.

O que geralmente acontece é que a rede começa a desacelerar massivamente às 08:55 e retoma a velocidade normal por volta das 09:20

Isso afeta tudo na rede do logon, redefinindo senhas, abrindo programas e arquivos etc. Na minha máquina cliente, o uso da memória física permanece em torno de 40% (normal) e o uso da CPU fica em torno de 0-10% ocioso. / p>

Os servidores mostram picos de uso de memória massivamente e permanecem bastante intensos durante os tempos mencionados acima.

Eu fiz várias capturas wireshark, tanto durante a desaceleração quanto quando a rede opera bem.

Uma das principais coisas que notei é o aumento nas entradas de SMB2 no log do wireshark durante a desaceleração. 

Record Time         Source          Destination     Protocol Length Info
382    3.976460000  10.47.35.11     10.47.32.3      SMB2     362    Create Request File: pcross\My Documents
413    4.525047000  10.47.35.11     10.47.32.3      SMB2     146    Close Request File: pcross\My Documents
441    5.235927000  10.47.32.3      10.47.35.11     SMB2     298    Create Response File: pcross\My Documents\Downloads
442    5.236199000  10.47.35.11     10.47.32.3      SMB2     260    Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *
573    6.327634000  10.47.35.11     10.47.32.3      SMB2     146    Close Request File: pcross\My Documents\Downloads
703    7.664186000  10.47.35.11     10.47.32.3      SMB2     394    Create Request File: pcross\My Documents\Downloads\WestlandsProspectus\P24 __ P21.pdf

Estes são alguns dos registros SMB2 de uma lista de algumas centenas que o original do meu computador com um destino do servidor de arquivos.

Uma das coisas interessantes a se notar é que a última entrada nos exemplos acima é para um arquivo PDF. Esse arquivo não foi aberto em qualquer lugar no meu computador ou em qualquer outra pessoa. Não foram abertas pastas com os arquivos.

Quando fiz outra captura quando a rede estava funcionando bem, quase não havia entradas de SMB2 e as que eram exibidas eram principalmente do Wireshark.

Atualmente, temos cerca de 800 computadores, 90 Macs e 200 laptops e netbooks. Nossa preocupação é se esse tráfego está acontecendo no meu computador, isso está acontecendo em outros computadores e, em caso afirmativo, esses computadores estariam adicionando problemas de rede lentos?

Mais uma vez, isso só acontece durante determinados períodos. Temos certeza de que não é o nosso antivírus. Existe alguma coisa para restringir o que está inicializando esse tráfego SMB durante os horários específicos?

Ou, se alguém tiver algum conselho extra ou links para recursos, será interessante.

Editar Depois de olhar para logs wireshark em um par de outros computadores, há um aumento definitivo no tráfego SMB para os arquivos Adobe Photoshop no servidor do meu computador. Parece apenas estar procurando por arquivos do photoshop e arquivos relacionados (como configurações etc). Eu tenho CS2 (:() no meu computador, mas os outros caras têm o CS6, e alguns computadores nem têm photoshop e ainda ficam atolados.

    
por Phil Cross 07.12.2012 / 12:00

2 respostas

1

Você acha que é originário do seu PC? Você já tentou desconectar seu cabo Ethernet e verificar se ele corrige o problema da rede?

Acho que você pode estar tendo uma visão muito restrita de um problema de rede examinando apenas registros individuais do Wireshark, já tentou revisar seus registros de switches e roteadores e ver se há algum erro?

Para encontrar a origem do tráfego SMB que é suspeito de causar o problema, eu executaria um netstat -a e procuraria o programa que está usando a porta TCP 445 (a Wikipedia também diz portas UDP 137, 138 e portas TCP 137, 139) Eu faria isso tanto na estação de trabalho quanto no servidor de arquivos. Eu também configuraria alguns monitores de desempenho relacionados à rede no servidor de arquivos para ver se isso está aumentando durante esse tempo também.

Eu não acho que seria seguro se estabelecer no SMB ainda sem ver o mesmo tipo de tráfego em várias estações de trabalho. O fato de estar ocorrendo em um horário específico faz parecer que há uma tarefa, um programa ou um backup agendado em execução no momento. As configurações do WSUS e os GPOs do Windows Update causaram esse problema no passado, eu verificaria isso novamente.

Parece realmente que a melhor solução seria configurar algum tipo de monitoramento / NMS de SNMP em todas as estações de trabalho / servidores e seus NICs. Quest Foglight e Solarwinds NPM , pode fazer isso. Depois de monitorar o tráfego SNMP, você poderá ver quais interfaces estão tendo alta utilização durante esses tempos de falha. Comprador beware, isso pode ser caro. O Foglight da Quest permite monitorar até 200 interfaces, o que pode ser suficiente para uma boa amostra.

    
por 12.12.2012 / 06:49
1

Você estava usando o sistema de cotas do Windows (Gerenciador de Recursos de Servidor de Arquivos)? Nossa rede está tendo problemas semelhantes e eu estou ficando logs wireshark semelhantes ao que você postou.

    
por 11.03.2014 / 21:09

Tags

O servidor pode ser pingado de um servidor, mas não de outro? Como posso remover entradas de log antigas de um arquivo de log e arquivá-las em algum outro lugar no Linux?