Vraag

We voeren in sommige scripts een Get-ADGroupMember -Recursive uit en vorige week begonnen enkele van deze scripts ineens te falen vanwege een timeout. Uit onze logs kunnen we opmaken dat voordat de problemen begonnen, de lookuip telkins in enkele seconden gebeurde, en nu lopen we ineens met regelmaat tegen een timeout aan, en die is als ik me niet vergis 10 minuten!

Wat het nog vreemder maakt is dat we 1 domeincontroller hebben waartegen dit commando nog wel snel loopt. Als we die controller als -Server argument meegeven, dan hebben we alsnog resultaat op enkele seconden. De andere 4 DCs doen er allemaal veel langer over en eindigen regelmatig in een timeout.

Alle servers zitten op hetzelfde patch niveau en zijn op dit moment Server 2016, daar kunnen we de oorzaak dus al niet gaan zoeken. Een herstart van de controllers brengt ook geen oplossing. De controller die nog snel reageert durven we op dit moment ook niet herstarten, al gaan we er de installatie van security updates, en hun benodigde herstart, ook niet voor tegenhouden.

Wat ik online vind zijn vooral verklaringen die op alle servers traag zouden moeten werken, zoals SIDs in de groep die niet meer geresolved kunnen worden of omdat er andere domeinen in het spel zouden zijn. Maar niets waarbij het op de ene DC wel snel zou zijn en de andere niet.

Iemand die me in de juiste richting van een oplossing kan wijzen?

Wat server resources betreft: CPU gebruik en geheugen gebruik zitten niet tegen de 100% aan, ver van zelfs. Zeker na een reboot, wanneer het geheugen nog geen 20% van de capaciteit inneemt en de CPU onder de 25% blijft is het cmdlet ook traag. Voer ik het cmdlet lokaal uit, op een DC die traag reageert in de scripts, heb ik ook onmiddelijk resultaat. De DC die snel reageert zit in hetzelfde subnet als 2 van de trage DCs, dus daar zit ook geen verschil in bijv. firewall. Verhuizen van ESXi host heeft ook geen effect.

No keyboard detected. Press F1 to continue.

Alle reacties


  • Vorkie
  • Registratie: September 2001
  • Niet online
It's always DNS.

Staat dat allemaal goed?
@Vorkie, voor zover ik weet wel. Ik zou het vreemd vinden dat er ineens een DNS issue zou zijn met records die de domaincontrollers zelf beheren. Verder doet het probleem zich ook voor als je specifiek een server mee geeft. En het is niet dat de server niet gevonden wordt. Al weet ik natuurlijk niet of in dat geval de keuze van server ook meegegeven wordt aan de get-aduser die in de achtergrond wordt uitgevoerd voor elke gevonden gebruiker.

No keyboard detected. Press F1 to continue.


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:45

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Hoe ziet je omgeving eruit?

Single domainforest? Meerdere domains in een forest? Alle DC's zijn Global Catalog? Draai eens een DCDIAG op de goed functionerende DC en op een niet-goed functionerende en vergelijk deze eens?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 03-02 15:30

MAX3400

XBL: OctagonQontrol

Je hebt toch niet stiekem een "management domain" met een trust en sinds kort patches/policies uitgerold waar Kerboros, SMB of LDAP mee geraakt zijn? Het (niet) resolven van delegated groups van forest A naar B kan echt een half uur vertraging leveren.

Vorige week OoB-patch https://learn.microsoft.c...might-become-unresponsive ?

[Voor 13% gewijzigd door MAX3400 op 28-11-2022 13:49]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Single domain, Alle DCs zijn GC. DCDIAG vertoont niet echt verschillen, al zie ik wel op de ene DC in de systemlog dat er wat veel onbekende subnetten tegen die DC praaten, zal ik ook eens moeten rechtzetten.

Er zijn wel enkele andere domeinen in andere forests waar een trustrelationship mee bestaat maar de groepen die we met powershell benaderen en de gebruikers die erin zitten behoren allemaal tot het domein van de DCs die we aanspreken. En ook daar zou ik dus verwachten dat je geen verschil tussen de DCs zou mogen zien.

Voor zover ik heb kunnen terugvinden in onze changelogs en voor zover ik van mijn collega's gehoord heb zijn er de afgelopen weken ook geen policies aangepast die enige invloed mogen hebben op Kerberos, LDAP, SMB, ... . Enige waar wel wat veranderd is, is de firewall, maar aangezien de goede en een slechte DC in hetzelfde netwerk zitten is het relatief veilig van ook dat uit te sluiten, alhoewel ik toch maar eens die logs ga opvragen, je weet maar nooit.

En die OoB patch lijkt voor Windows client systemen te zijn, het maakt niet uit of we het op een client of een server doen en het systeem zelf blijft ook gewoon responsief, het is enkel het uitvoeren van het cmdlet dat enorm veel tijd in beslag neemt, afhankelijk van de DC die we gebruiken.

No keyboard detected. Press F1 to continue.


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:45

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Post de output van DCDIAG eens, en eens een ipconfig /all van een client?

Werken de scripts/commando's nog wel snel als ze lokaal gedraaid worden?

Verder lijken het virtuele Domain Controllers te zijn op VMware? Wat zijn de cpu-ready waarden van de DC's? (te vinden vanuit VCenter). (ik heb wel vaker rare dingen gezien met overcommited hosts).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
Directory Server Diagnosis

Performing initial setup:

   Trying to find home server...

   Home Server = ******16B

   * Identified AD Forest. 
   Done gathering initial info.

Doing initial required tests
   
   Testing server: *****\******16B

      Starting test: Connectivity

         ......................... ******16B passed test Connectivity

Doing primary tests
  
   Testing server: *****\******16B

      Starting test: Advertising
         ......................... ******16B passed test Advertising

      Starting test: FrsEvent
         ......................... ******16B passed test FrsEvent

      Starting test: DFSREvent
         ......................... ******16B passed test DFSREvent

      Starting test: SysVolCheck
         ......................... ******16B passed test SysVolCheck

      Starting test: KccEvent
         ......................... ******16B passed test KccEvent

      Starting test: KnowsOfRoleHolders
         ......................... ******16B passed test KnowsOfRoleHolders

      Starting test: MachineAccount
         ......................... ******16B passed test MachineAccount

      Starting test: NCSecDesc
         ......................... ******16B passed test NCSecDesc

      Starting test: NetLogons
         [******16B] User credentials does not have permission to perform this operation.
         The account used for this test must have network logon privileges for this machine's domain.
         ......................... ******16B failed test NetLogons

      Starting test: ObjectsReplicated
         ......................... ******16B passed test ObjectsReplicated

      Starting test: Replications
         [Replications Check,******16B] DsReplicaGetInfo(PENDING_OPS, NULL)
         failed, error 0x2105 "Replication access was denied."
         ......................... ******16B failed test Replications

      Starting test: RidManager
         ......................... ******16B passed test RidManager

      Starting test: Services
            Could not open NTDS Service on ******16B, error 0x5
            "Access is denied."
         ......................... ******16B failed test Services

      Starting test: SystemLog

         A warning event occurred.  EventID: 0x000016AF
            Time Generated: 11/28/2022   13:48:43
            Event String:
            During the past 4.23 hours there have been 459 connections to this Domain Controller from client machines whose IP addresses don't map to any of the existing sites in the enterprise. Those clients, therefore, have undefined sites and may connect to any Domain Controller including those that are in far distant locations from the clients. A client's site is determined by the mapping of its subnet to one of the existing sites. To move the above clients to one of the sites, please consider creating subnet object(s) covering the above IP addresses with mapping to one of the existing sites.  The names and IP addresses of the clients in question have been logged on this computer in the following log file '%SystemRoot%\debug\netlogon.log' and, potentially, in the log file '%SystemRoot%\debug\netlogon.bak' created if the former log becomes full. The log(s) may contain additional unrelated debugging information. To filter out the needed information, please search for lines which contain text 'NO_CLIENT_SITE:'. The first word after this string is the client name and the second word is the client IP address. The maximum size of the log(s) is controlled by the following registry DWORD value 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFileMaxSize'; the default is 20000000 bytes.  The current maximum size is 20000000 bytes.  To set a different maximum size, create the above registry value and set the desired maximum size in bytes.
         A warning event occurred.  EventID: 0x80000027
            Time Generated: 11/28/2022   13:49:45
            Event String:
            The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
         An error event occurred.  EventID: 0x00002720
            Time Generated: 11/28/2022   14:09:41
            Event String:
            The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID 
         An error event occurred.  EventID: 0x00002720
            Time Generated: 11/28/2022   14:30:16
            Event String:
            The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID 
         ......................... ******16B failed test SystemLog

      Starting test: VerifyReferences
         ......................... ******16B passed test VerifyReferences

   Running partition tests on : DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test
         CrossRefValidation
   
   Running partition tests on : ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test
         CrossRefValidation
   
   Running partition tests on : Schema
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
   
   Running partition tests on : Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
 
   Running partition tests on : domain
      Starting test: CheckSDRefDom
         ......................... domain passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ......................... domain passed test CrossRefValidation
   
   Running enterprise tests on : domain.*****.com
      Starting test: LocatorCheck
         ......................... domain.*****.com passed test
         LocatorCheck
      Starting test: Intersite
         ......................... domain.*****.com passed test Intersite

Heb wat geknipt in de systemlog, we moeten niet meermaals dezelfde melding zien staan. En zie daar wat werk staan waar tot op heden ook nog niemand iets over vermeld heeft 8)7

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Windows IP Configuration

   Host Name . . . . . . . . . . . . : *********19
   Primary Dns Suffix  . . . . . . . : domain.********.com
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.********.com

Ethernet adapter Ethernet0 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-B5-9C-C4
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.69.250(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.240.0
   Default Gateway . . . . . . . . . : 192.168.72.101
   DNS Servers . . . . . . . . . . . : 192.168.5.81
                                       192.168.5.82
                                       192.168.153.61
   NetBIOS over Tcpip. . . . . . . . : Disabled


Lokaal op de DC draait het cmdlet snel, specifieer je dan de buurman van de DC dan gaat het traag, tenzij je de enige DC opgeeft die nog snel is met dit cmdlet.



En ja, op de domeincontrollers is de Windows Firewall ook actief, dit omdat deze in een netwerk met andere servers zitten en men bepaalde vormen van verkeer alsnog wenst af te blokken zonder dat we deze onmiddelijk in een apart netwerk moeten zetten.

No keyboard detected. Press F1 to continue.


  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 27-03 09:17
Hoe zit het met andere AD Powershell commando's? Ook traag?
En directe LDAP commando's (eventueel via Powershell dmv de adsisearcher)?
De Powershell commando's gaan dmv AD Web services en niet via een directe ldap verbinding.

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 20:34

ElCondor

Geluk is Onmisbaar

En heb je niet toevallig last van een ciruclaire verwijzing? Dat is in AD namelijk gewoon mogelijk, althans een paar jaar geleden nog. Toen liep een applicatie van ons, die AD groep resolutie deed hierop vast. Vooral omdat je groepen recursief aan het ophalen bent.. Wellicht toch handig om een maxdepth op te geven?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee