Solução de problemas de conexão do IIS para o SQL 2005 em ambiente complexo

Navegue suas respostas
2

Eu tenho um ambiente complexo, muitas caixas de rede cisco highend, firewalls e roteadores. Eu tenho muitos (100-200) erros de tempo limite de conexão (apenas a autenticação, não executando quaisquer consultas) se conectando do IIS para o SQL Server 2005 usando a autenticação do Windows. Nossos engenheiros de rede despejaram mais de tcp / ip dumps, não temos especialistas em AD internos, o Kerberos parece não funcionar em nosso ambiente db, então achei que todos poderiam apontar para a documentação sobre como o IIS faz uma conexão ao servidor SQL em que o domínio dos servidores é diferente do domínio do usuário e o domínio do usuário está alojado em outro estado por meio de linhas dedicadas dedicadas. Ambos os locais têm controladores DC redundantes e configuração de métricas do site. Os nerds da rede acham que o tempo que o kerberos leva para falhar e o padrão para o NTLM pode ser um problema.

Mais informações: Trouxemos o primeiro consultor do MS novamente e encontramos o LSASS.exe sp? estava consumindo toneladas de CPU em caixas AD. O culpado era a caixa Barracuda SPAM fazendo consultas contra o AD para colunas de metadados inexistentes. Se eu descobrisse como ele descobriu isso, vou postar.

TIA, Chuck

    
por SQLGuyChuck 29.05.2009 / 01:23

3 respostas

2

Não sei se você receberá uma boa resposta, a menos que você divida seu problema em partes menores.

Eu começaria com estas etapas, desfazendo quaisquer alterações que não ajudassem. Por favor, atualize sua pergunta enquanto você obtém mais informações sobre o problema:

  • Verifique o DNS - verifique se seus servidores DNS estão respondendo prontamente:

    • tente usar um endereço IP codificado na sua fonte de dados ou
    • adicione uma entrada no arquivo de hosts para eliminar a latência da resolução de nomes como um problema.

  • Exclua a autenticação do NT como o problema ao alternar seu aplicativo da web para usar a autenticação do SQL. Normalmente, eu nem pensaria nisso, mas você mencionou alguns problemas de autenticação em sua pergunta.

  • Verifique se não há perda de pacotes entre o servidor da web e o servidor de banco de dados.

    • Tente executar o ping com um tamanho de pacote alto, mesmo executando várias instâncias do seguinte comando ping de uma só vez: ping -t -w 100 -l 5000 dbhost

  • Tente alterar suas configurações de pool de conexão.

por 29.05.2009 / 02:05
0

O KB319723 da Microsoft descreve o uso do Kerberos com o SQL Server e o IIS. Não deve ser um problema autenticar servidores SQL em um domínio usando contas de usuário de outro domínio, desde que estejam na mesma floresta do AD. No entanto, tenho visto problemas na conexão com instâncias nomeadas do SQL Server de fora do domínio. Você precisa configurar um alias de SQL para a instância nomeada.

    
por 29.05.2009 / 04:47
0

Aqui está a ferramenta Suporte Premier usada para descobrir porque o lsass estava usando muita CPU: spa_v2.msi “Consultor de desempenho do servidor” Alterar o valor suspenso para o diretório ativo e com o auxílio do valor de alteração REG_DWORD HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Diagnostics REG_DWORD de “0” para “5”, em seguida, exiba log de serviços de diretório para erros.

Isso revelou a pesquisa culpada de OtherMailBox.

Ele então tirou isso da cabeça, cmd window: Ldifde -F foo.txt –s corpdc01 –P sub-árvore –d “DC = Corp, DC = redmond, DC = Local” –r “(OtherMailBox = *)”

Para determinar se estávamos usando esse objeto no AD. Nós não fomos. O log mostrava os endereços IP da barracuda e o NSLOOKUP fez o resto. Entreguei essa informação aos administradores de TI e eles conseguiram corrigir.

    
por 12.06.2009 / 00:55

Tags

Ec2 Cronjobs - Alto uso da CPU Firewalls de aplicativos no IIS