Регистрация...

MDaemon / forum / Web / WoldClient: отказ в обслуживании из-за большого кол-ва соединений

wikipost // (v8)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Конфигурация компа: Core2Duo E8400 3.00ГЦ, 2 ГБ ОЗУ
Конфигурация ПО: Windows XP Pro SP3+, MDaemon Pro 10.0.5, ESET NOD32 4.0.474 BE

Ситуация: WorldClient запущен с использованием встроенного веб-сервера, кол-во клиентов на веб-сервере около 150, клиенты используют тему "LookOut" и IM-сервис "ComAgent", браузеры у клиентов от IE6 до IE8, клиенты используют для отправки, приема и чтения писем только WorldClient.

Проблема: До недавнего времени около года все работало достаточно стабильно без особых проблем. Последние 2-3 месяца наблюдается странная работа сервиса WoldClient. Если смотреть мониторинг работы TCP/IP через TCPView, то в обычном состоянии между клиентом и веб-сервером одно TCP соединение в состоянии "ESTABLISHED" и еще от 5 до 10 TCP-соединений в состоянии "TIME_WAIT". Сейчас же наблюдается такое состояние сервиса "WoldClient", при котором общее кол-во TCP-соединений в состоянии "TIME_WAIT" превышает 5000 на единый порт веб-сервера. Это приводит к отказу в подключении новых пользователей, к отключению модуля "ComAgent", к невозможности отправки писем и их прочтении на веб-сервере. Такая ситуация может повторяться 2-3 раза в неделю, после чего через некоторое время порядка 2-3 часов MDaemon обрывает эти соединения и нормальная работа восстанавливается или же происходит BSOD и полная перезагрузка сервера.

P.S. Лимит на количество одновременных 10-ти TCP/IP соединений и ограничении параметра в 5000 соединений на один IP значения MaxUserPort уже увеличены до необходимого количества, но это не привело к стабильной работе.
 
Комментарии к версии 1 (04.02.2010 11:48) [~rolis] 0f5ca189
Комментарии к версии 2 (04.02.2010 11:56) [~rolis] c97c7eb9
Комментарии к версии 3 (04.02.2010 11:58) [~rolis] db7ddf70
Комментарии к версии 4 (04.02.2010 11:59) [~rolis] 62d59695
Комментарии к версии 5 (04.02.2010 12:15) [~rolis] e050f15d
Комментарии к версии 6 (04.02.2010 12:16) [~rolis] 3753bfce
Комментарии к версии 7 (04.02.2010 12:16) [~rolis] 0aa6b697
Комментарии к этой версии (04.02.2010 12:17) [~rolis] 16449556
АвторДатаТекстtags
repairman04.02.2010 14:58
ред: 04.02.2010 15:01
TIME_WAIT — это защитный механизм TCP/IP для сбора мусора на закрытый сокет...
http://zeeky.mzrahman.com/archives/000019.html

Большое количество сокетов в состоянии TIME_WAIT говорит о закрытии большого количества соединений за короткий промежуток времени...

Причиной может быть:
  1. Неадекватная настройка параметров TCP/IP windows
  2. Неадекватная работа удаленных клиентов (частые беспричинные соединения-разрывы)
  3. Хакерская активность (скан портов, bf, и т.п.)
  4. Неадекватная настройка/работа софта перехватывающего на себя обработку сокетов на системе для своих целей (файерволы, антивирусы и т.п.)
wikipost
rolis04.02.2010 15:21
ред: 04.02.2010 15:26
1) Параметры TCP/IP настроены верно. Несколько раз проверял. К тому же эти параметры не менялись со времени первичной установки MDaemon.

2) Вы имеете ввиду ComAgent или сам IE-браузер? Какая может быть причина такой работы? На всех клиентах установлен ESET NOD32 и на всякий случай ComAgent исключен из проверки как веб-приложение и сама установочная папка с ним.

3) Такого не наблюдается. Мониторинг ведется постоянно.

4) Файрволл стандартый XP-шный с настройками также неизменными с момента установки MDaemon, в антивирусе исключена проверка MDaemon/WorlClient, т.е. через внутреннюю проксю антивиря эти сервисы не проходят.

P.S. Одним словом, все параметры и настройки проверены мною ни один раз.
wikipost
repairman04.02.2010 15:40
ред: 04.02.2010 15:47
rolis пишет: На всех клиентах установлен ESET NOD32


Дурная репутация у этого NOD.... не знаю как http, а почтовые сокеты (pop3, imap, smtp) он уродует сильно...

например см. тут:
-= Внимание ! НЕСОВМЕСТИМОСТЬ ! =-

.. учитывая, что вместе с обновлениями баз антивирусы иногда получают и обновления ядра, становится вполне объяснимым "час X"... (Лечится ТОЛЬКО его ПОЛНЫМ СНОСОМ...)

"IE-браузер" — тоже ХУДШЕЕ из возможного...

А для чего Вы используете ComAgent ? не очень понимаю куда его приложить в Вашей конфигурации..
wikipost
rolis04.02.2010 15:40
У самого WoldClient есть ограничение на подключения с одного IP-адреса в разных состояниях: установленные, ожидающие, закрывающие?
wikipost
rolis04.02.2010 15:45
repairman пишет: Дурная репутация у этого NOD....

Вы мне предлагаете отказаться от NOD на клиентах? Это невозможно, т.к. у нас куплена корпоративная лицензия на 2 года на довольно большое кол-во компьютеров. Конечно, на сервере можно поменять антивирус, наверное это может помочь. Еще как мне кажется стоит сменить ОС на Windows Server 2003 SP2, там немного другая схема работы сети.
wikipost
rolis04.02.2010 15:46
repairman пишет: А для чего Вы используете ComAgent ? не очень понимаю куда его приложить в Вашей конфигурации..


В качестве корпоративной "аськи".
wikipost
repairman04.02.2010 15:52
ред: 04.02.2010 15:54
rolis пишет: Вы мне предлагаете отказаться от NOD на клиентах? Это невозможно, т.к. у нас куплена корпоративная лицензия на 2 года на довольно большое кол-во компьютеров. Конечно, на сервере можно поменять антивирус, наверное это может помочь. Еще как мне кажется стоит сменить ОС на Windows Server 2003 SP2, там немного другая схема работы сети.


Я Вам не предлагаю... Вы свободны в своем выборе, хотя в этой ситуации у Вас его нет... "Купила баба порося..." Сочувствую...

Ваша главная ошибка была, когда Вы выбрали windows в качестве платформы... теперь попробуйте с этим всем работать...

p.s. w2k3 и wxp — НИЧЕМ не отличаются, кроме лицензии... простое изменение ключа в реестре превращает одно в другое и наоборот... а то чего в дистрибутиве wxp не хватает — касается AD, оно Вам все-равно для Вашей задачи не потребуется...
wikipost
rolis04.02.2010 15:55
repairman пишет: Ваша ошибка была, когда Вы выбрали windows в качестве платформы... теперь попробуйте с этим всем работать...


Вообще, насколько я понял, мы с вами обсуждаем работу MDaemon в ОС Windows.
wikipost
repairman04.02.2010 16:00
ред: 04.02.2010 18:10
rolis пишет: Вообще, насколько я понял, мы с вами обсуждаем работу MDaemon в ОС Windows.


Хорошо... тогда Вы в логическом тупике... поскольку:
  1. Винда (любая) без антивируса — труп.
  2. Антивирус не дает MDaemon работать (? Вы все же проверьте, может я и ошибаюсь...)
  3. Без MDaemon сервер никому не нужен.
  4. Антивирус проплачен на 2 года вперед, сносить нельзя...
Получается, что в ближайшие 2 года будет то, что у Вас сейчас есть... т.е. полудохлый сервер...

У Вас есть хоть один вариант решения этой ситуации без изменения состава софта-оборудования ? У меня нет... предлагайте — обсудим...

Просто, задача aka "корпоративный почтовый сервер" имеет бесконечное множество решений... можете (если хотите) попробовать что-то другое...
wikipost
repairman04.02.2010 17:29
ред: 04.02.2010 17:38
rolis пишет: У самого WoldClient есть ограничение на подключения с одного IP-адреса в разных состояниях: установленные, ожидающие, закрывающие?


НЕТ... состояние сокетов, установка, поддержка соединения, квитирование и т.п. — низкоуровневые операции, они не доступны НИ ОДНОМУ ПРИЛОЖЕНИЮ... — это прерогатива ядра виндовс (подсистемы windows sockets).

Вы при всем желании не можете из уровня приложений повлиять на нее... нужен, как минимум, драйвер уровня ядра или инжектирование в ядро, типа того, как это делают файерволы, современные антивирусы... или вирусы...

MDaemon, как приличное приложение, ничего такого с собой не имеет... хоть и использует для собственной защиты некоторые непристойные приемы, на которые постоянно (и совершенно законно) гавкает DEP...
wikipost
rolis04.02.2010 17:49
Ладно, начнем пока с полным удалением ESET BE с самого сервера и установки вместо него модуля SecurityPlus для MDaemon.
wikipost
rolis04.02.2010 18:09
ред: 04.02.2010 18:12
Как я уже писал изменение этого параметра в реестре (см. ниже) ни к чему не привело:

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Name: MaxUserPort
Type: REG_DWORD
Value: 65534 valid range 5000-65534

P.S. Выясняется, что изменение этого параметра имеет смысл только в W2K3.
wikipost
repairman05.02.2010 01:44
ред: 05.02.2010 01:49
rolis пишет: Выясняется, что изменение этого параметра имеет смысл только в W2K3


Я не могу придумать сценарий, когда это может пригодится... Сделать "окно" для исходящих соединений какого-то "супер-пупер" вывернутого сервиса, который (почему-то ?) брезгует портами от 1024 до 5000

Какой смысл вообще ограничивать максимальный порт для исходящих соединений ? Кому он мешает ? Система сама ротацию портов крутит, не думаю, что Вы ей чем-то поможите...
wikipost
rolis05.02.2010 10:03
Вы не так поняли смысл этого параметра. Ключ MaxUserPort задает максимальное количество портов, используемых при установлении соединения. По умолчанию на каждый IP-адрес выделяется 5 тыс. портов, однако иногда бывает целесообразно увеличить их количество до максимума — 65 534 (0хfffe).
wikipost
repairman05.02.2010 11:03
ред: 05.02.2010 11:16
rolis пишет: Вы не так поняли смысл этого параметра. Ключ MaxUserPort задает максимальное количество портов, используемых при установлении соединения.


Да

http://technet.microsoft.com/en-us/library/cc758002(WS.10).aspx


MaxUserPort

Updated: March 28, 2003

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data type Range Default value

REG_DWORD
5,000–65,534 (port number)
5000

Description

Specifies the highest port number that TCP can assign when an application requests an available user port from the system. Typically, ephemeral ports (those used briefly) are allocated to port numbers 1024 through 5000.


highest port number — наивысший (максимальный) НОМЕР порта ( НЕ "количество" !), т.е. верхняя граница для динамического пула портов, используемого приложениями уровня юзера для создания ИСХОДЯЩИХ соединений...

И зачем Вам столько портов Ваш сервер слушает (т.е. принимает ВХОДЯЩИЕ соединения) на портах, которые можно пересчитать на пальцах...

Эта опция может помочь клиенту, работающему с сотней-тысячей серверов одновременно... Не могу представить ЧТО этот клиент будет делать, чтобы ему не хватило пула из 4000 портов, исключая систему, т.к. ограничение на системные процессы НЕ распространяется...
wikipost
rolis05.02.2010 11:06
ред: 05.02.2010 11:08
Читаем по тексту в разделе "Настройка файл-сервера под управлением ОС Windows Server 2003":
http://www.compress.ru/Archive/CP/2005/1/36/

P.S. Журнал "КомпьютерПресс" по вашему мнению тоже ошибается?
wikipost
rolis05.02.2010 11:12
repairman пишет: Эта опция может помочь клиенту, работающему с сотней-тысячей серверов одновременно... Не могу представить ЧТО этот клиент будет делать, чтобы ему не хватило пула из 4000 портов...


Я уже говорил, что данный параметр имеет смысл только на w2k3. В моем случае я его не использую. Раньше я обратил на него внимание, когда изучал информацию по возможным причинам моей проблемы с почтовиком.
wikipost
rolis05.02.2010 11:15
ред: 05.02.2010 11:16
На данный момент пока можно остановить обсуждение, т.к. оно идет не в продуктивном русле и может вывести нас с вами совсем в другую степь. Когда проблема будет решена, я отпишусь в тему о том, как это было сделано.
wikipost
repairman05.02.2010 11:21
ред: 05.02.2010 11:28
rolis пишет: Журнал "КомпьютерПресс" по вашему мнению тоже ошибается?


Журналы разные... иногда, на полном серьезе, такую ЧУШЬ пишут, обхохочешься... обидно, что ЭТО могут принять за "чистую монету"...

Не верьте НИКОМУ... Зачем Вам свободная интертрепация вольного перевода чьей-то перепубликации... у Вас своя голова на плечах — возьмите тех-документацию в оригинале и читайте, это сильно с'экономит Ваши силы и время...

Я дал цитату и ссылку на technet.microsoft.com, Вы знаете более авторитетный источник тех-информации о продуктах Microsoft ?
wikipost
rolis09.02.2010 11:25
Полное удаление антивируса ESET не помогло. Копаем дальше.
wikipost
rolis10.02.2010 15:17
ред: 10.02.2010 15:27
Замена встроенной сетевой карты на внешнюю серверную (3COM Gigabit Server) частично помогло. С этой картой "зависшие" соединения TCP в состоянии "TIME_WAIT" стали сбрасываться намного быстрее.
wikipost
repairman10.02.2010 16:39
rolis пишет: С этой картой "зависшие" соединения TCP в состоянии "TIME_WAIT" стали сбрасываться намного быстрее


Значит кто-то (что-то) изменило параметры tcp/ip для предыдущей карты, т.к. сам стек tcp/ip от карты не меняется...
wikipost
rolis10.02.2010 17:29
Может быть драйвера новой сетевой карты? Больше я никаких изменений не делал, т.к. стараюсь менять все последовательно для выявления причины.
wikipost
rolis10.02.2010 18:00
P.S. Я понял, ты имеешь ввиду параметры tcp/ip старой сетевухи.
wikipost
repairman10.02.2010 18:40
ред: 10.02.2010 18:48
rolis пишет: Может быть драйвера новой сетевой карты?


Вообще драйвер сетевой карты держит единственный протокол — ethernet, остальные протоколы (ip, tcp, udp и т.п.) уже ложатся поверх и НЕ обслуживаются драйвером оборудования... эти обслуживает winsock...
Сетевой пакет выглядит как матрешка с 2,3,4,5 и т.д степенью вложений протоколов друг в друга... ethernet на нем ip на нем tcp...

Хотя... я не настолько хорошо знаю кишки винды...

rolis пишет: Я понял, ты имеешь ввиду параметры tcp/ip старой сетевухи.


Да. Я не уверен, но по-моему, какая-то часть параметров tcp/ip растет из узла конкретного оборудования в реестре, т.е. какие-то параметры tcp/ip могут меняться индивидуально для конкретной карты...
wikipost
rolis10.02.2010 18:59
repairman пишет: эти обслуживает winsock...


Winsock точно не трогал OSI — велик и могуча
wikipost
rolis11.02.2010 11:01
ред: 11.02.2010 11:03
Интересная статейка про настройку "TIME_WAIT", правда в ней говорится о тюнинге почтовика CommuniGatePro

https://info.vsu.ru/Guide/russian/Scalability.html#TimeWait
wikipost
repairman11.02.2010 12:12
ред: 11.02.2010 12:34
rolis пишет: Интересная статейка про настройку "TIME_WAIT", правда в ней говорится о тюнинге почтовика CommuniGatePro


Так не имеет значения какой сервер... проблема-то винды и настройка винды...

Другое дело, сколько у Вас юзерей и сколько одновременно могут работать с почтой 4000 портов, по-умолчанию, ВЫШЕ КРЫШИ на сотню-другую активных юзерей... искать нужно причину...
wikipost
rolis11.02.2010 12:16
ред: 11.02.2010 12:23
Вот опять, около 6500 соединений и висим уже около 30 минут
wikipost
rolis11.02.2010 12:27
Прошло примерно полчаса и все сбросилось до нормального уровня.
wikipost
repairman11.02.2010 12:40
rolis пишет: Вот опять, около 6500 соединений и висим уже около 30 минут


Сколько юзерей при этом активны ?
wikipost
repairman11.02.2010 12:45
ред: 11.02.2010 12:46
У меня на шлюзе тоже много соединений в состоянии TIME_WAIT, однако c дефолтовыми 120 сек. это никак не мешает...

iptstate пишет:
IPTStateIPTables State Top
Version: 2.2.1 Sort: State reverse b: change sorting h: help
Source Destination Proto State TTL
XX.XX.XXX.149:53270 213.247.165.1:80 tcp TIME_WAIT 0:01:38
10.0.4.2:62953 208.117.241.152:80 tcp TIME_WAIT 0:01:18
XX.XX.XXX.149:58736 91.203.99.45:80 tcp TIME_WAIT 0:00:55
XX.XX.XXX.149:47730 213.247.165.1:80 tcp TIME_WAIT 0:01:39
XX.XX.XXX.149:33118 213.247.165.1:80 tcp TIME_WAIT 0:01:38
10.0.4.2:65023 217.69.128.52:80 tcp TIME_WAIT 0:00:51
XX.XX.XXX.149:34000 213.247.165.1:80 tcp TIME_WAIT 0:01:38
XX.XX.XXX.149:60639 213.247.165.1:80 tcp TIME_WAIT 0:01:38
XX.XX.XXX.149:58055 213.247.165.1:80 tcp TIME_WAIT 0:01:39
XX.XX.XXX.149:34864 213.247.165.1:80 tcp TIME_WAIT 0:01:39
XX.XX.XXX.149:37671 74.125.79.99:80 tcp TIME_WAIT 0:01:58
XX.XX.XXX.149:46209 213.247.165.1:80 tcp TIME_WAIT 0:01:38
10.0.4.2:60589 217.69.128.52:80 tcp TIME_WAIT 0:00:21
80.230.153.166:4139 XX.XX.XXX.149:25 tcp TIME_WAIT 0:00:06
10.0.2.105:1475 81.195.240.146:9091 tcp TIME_WAIT 0:00:04
10.0.2.102:2807 10.0.2.254:3128 tcp TIME_WAIT 0:00:50
XX.XX.XXX.149:37590 88.212.196.103:80 tcp TIME_WAIT 0:01:39
10.0.2.107:1237 10.0.2.254:3128 tcp TIME_WAIT 0:01:29
XX.XX.XXX.149:47707 213.247.165.1:80 tcp TIME_WAIT 0:01:39
10.0.2.107:1244 10.0.2.254:3128 tcp TIME_WAIT 0:01:29
118.96.214.160:50488 XX.XX.XXX.149:25 tcp TIME_WAIT 0:01:41
10.0.2.105:1478 81.195.240.146:9091 tcp TIME_WAIT 0:00:35
XX.XX.XXX.149:59482 74.125.79.93:80 tcp TIME_WAIT 0:01:58
10.0.2.105:1476 81.195.240.146:9091 tcp TIME_WAIT 0:00:16
212.248.30.234:1254 XX.XX.XXX.149:995 tcp TIME_WAIT 0:01:36
10.0.2.107:1240 10.0.2.254:3128 tcp TIME_WAIT 0:01:29
10.0.2.105:1477 81.195.240.146:9091 tcp TIME_WAIT 0:00:28
10.0.2.105:1484 81.195.240.146:9091 tcp TIME_WAIT 0:01:59
XX.XX.XXX.149:42308 213.247.165.1:80 tcp TIME_WAIT 0:01:37
XX.XX.XXX.149:49011 74.125.79.104:80 tcp TIME_WAIT 0:01:58
XX.XX.XXX.149:57769 64.12.164.24:80 tcp TIME_WAIT 0:01:41
XX.XX.XXX.149:59890 74.125.79.104:80 tcp TIME_WAIT 0:01:50
XX.XX.XXX.149:40106 213.247.165.1:80 tcp TIME_WAIT 0:01:39
10.0.2.102:2806 10.0.2.254:3128 tcp TIME_WAIT 0:00:50
XX.XX.XXX.149:43373 74.125.77.102:80 tcp TIME_WAIT 0:00:28
10.0.2.105:1480 81.195.240.146:9091 tcp TIME_WAIT 0:00:56
118.96.214.160:50480 XX.XX.XXX.149:25 tcp TIME_WAIT 0:01:27
10.0.4.2:62019 217.69.128.51:80 tcp TIME_WAIT 0:01:51
XX.XX.XXX.149:52291 64.12.164.24:80 tcp TIME_WAIT 0:01:41
10.0.2.105:1479 81.195.240.146:9091 tcp TIME_WAIT 0:00:46
10.0.4.2:60067 217.69.128.52:80 tcp TIME_WAIT 0:01:21
10.0.2.105:1481 81.195.240.146:9091 tcp TIME_WAIT 0:00:56
XX.XX.XXX.149:53837 74.125.79.100:80 tcp TIME_WAIT 0:00:50
XX.XX.XXX.149:47486 213.247.165.1:80 tcp TIME_WAIT 0:01:38
10.0.2.107:1243 10.0.2.254:3128 tcp TIME_WAIT 0:01:29
118.96.214.160:50461 XX.XX.XXX.149:25 tcp TIME_WAIT 0:01:03
10.0.2.105:1483 81.195.240.146:9091 tcp TIME_WAIT 0:01:59
XX.XX.XXX.149:47625 213.247.165.1:80 tcp TIME_WAIT 0:01:39
118.96.214.160:50492 XX.XX.XXX.149:25 tcp TIME_WAIT 0:01:44
10.0.2.105:1482 81.195.240.146:9091 tcp TIME_WAIT 0:00:57
XX.XX.XXX.149:34099 213.247.165.1:80 tcp TIME_WAIT 0:01:38
..................
wikipost
rolis11.02.2010 13:11
ред: 11.02.2010 13:13
Если смотреть в мониторе самого MDaemon, то можно видеть около 100 сессий WorldClient, при этом через TCPView в состоянии "УСТАНОВЛЕНО" от 5 до 10 одновременно. Такая же картина сохраняется при зависоне, только портит ее состояние "TIME_WAIT" с количеством за 5000
wikipost
repairman11.02.2010 16:04
ред: 11.02.2010 16:21
rolis пишет: при этом через TCPView в состоянии "УСТАНОВЛЕНО" от 5 до 10 одновременно. Такая же картина сохраняется при зависоне, только портит ее состояние "TIME_WAIT" с количеством за 5000


Фигня какая-то... при 10 активных сессиях не может накопиться 5000 завершенных сессий...
Есть ЧТО-ТО (на сервере или у клиентов или по дороге от клиентов до сервера), что фильтрует-уродует TCP трафик... оставьте TIME_WAIT в покое...

У меня шлюз обслуживает 4 разных корпоративных подсети на 8 мбит инет-канале (шлюз, прокси, почтарь — MX четырех доменов, web сервер, dns, dhcp, web-mail, шейпер, nat и т.д. в одном флаконе, на машине 3 сетевухи и 8 ip адресов из них 2 в инете), скажу какое железо стоит, обхохочетесь — AMD Duron-700Mhz, 768 мб ОЗУ... и НИКОГДА не возникает таких проблем... максимум, что я видел — сотни две портов в состоянии TIME_WAIT...

Дело у Вас НЕ в количестве и НЕ в скорости, а в "кривости" чего-то...
wikipost
rolis11.02.2010 16:41
repairman пишет: обхохочетесь — AMD Duron-700Mhz, 768 мб ОЗУ...


Небось линух какой-нить? Зачем же Вы все на один комп повесили?
wikipost
repairman11.02.2010 16:49
ред: 11.02.2010 16:52
rolis пишет: Небось линух какой-нить? Зачем же Вы все на один комп повесили?


Linux... Обросло со временем... потом смысла нет еще компы заводить... этот бездельничает, среднесуточная загрузка 0,1% — 0,3% ...

Я как-то хотел его проапгрейдить, но так и не нашел убедительной причины для этого... еще лет 10 поработает...
wikipost
rolis11.02.2010 16:55
repairman пишет: еще лет 10 поработает...


Не выйдет, только до 2012 года
wikipost
repairman11.02.2010 16:56
rolis пишет: Не выйдет, только до 2012 года


Почему ?
wikipost
rolis11.02.2010 16:56
DNS у вас вторичный или первичный?
wikipost
rolis11.02.2010 16:57
repairman пишет: Почему ?


Потому как в 2012 всему будет каюк
wikipost
repairman11.02.2010 16:58
rolis пишет: Потому как в 2012 всему будет каюк


Ааааа... "конец света" ? Вы серьёзно в это верите ?
wikipost
repairman11.02.2010 16:59
ред: 11.02.2010 17:02
rolis пишет: DNS у вас вторичный или первичный?


Сейчас просто кэширующий резолвер, одно время мастера для 2 ух доменов были у меня...
wikipost
eugenrad12.02.2010 21:26
А попробуй на рабочих станциях отключить Nod на время...Ты же можешь это сделать...Может действительно в нем загвоздка...
wikipost
rolis15.02.2010 10:21
eugenrad пишет: А попробуй на рабочих станциях отключить Nod на время...Ты же можешь это сделать...


Дык, он же у меня уже содержит исключение как для самой папки ComAgent с исполняемыми файлами, так и для обнаружения и проверки ComAgent-а как веб-службы. Одним словом, кэширующий механизм проверки ESET не влияет на работу ComAgent. Сам веб-адрес почтового сервера и его порт также исключены из проверки.
wikipost
repairman15.02.2010 12:24
rolis пишет: Одним словом, кэширующий механизм проверки ESET не влияет на работу ComAgent.


Хм... откуда такая уверенность, Вы работали в команде программистов в ESET ?
Статистика говорит обратное... даже полностью отключенный антивирус (как это не странно звучит...) иногда гадит системе... а Вы тут про какие-то "исключения"...
wikipost
rolis15.02.2010 13:06
ред: 15.02.2010 13:10
Сегодня внес изменения в конфигурацию локальных антивирусов ESET на всех машинах: исключил адрес почтового веб-сервера не только из сканирования, но также из фильтрации (это опция появилась только в 4-й версии ESET), плюс к этому отменил обнаружение HTTP подключений на других портах, кроме стандартных 80 и прокси 3128. В итоге, пока имеем полдня стабильной работы до 12-00. Наверное, все же вы правы насчет влияния ESET, получается, что он "захватывает" эти соединения с веб-сервером для обработки и долго не отдает их обратно в какой-то момент времени.
wikipost
repairman15.02.2010 14:31
ред: 15.02.2010 16:29
rolis пишет: Наверное, все же вы правы насчет влияния ESET, получается, что он "захватывает" эти соединения с веб-сервером для обработки и долго не отдает их обратно в какой-то момент времени.


Все гораздо серьезнее...

Когда появились вирусы способные инжектироваться в API и положили глаз на ядро винды — в рядах антивирусо-писателей была паника, т.к. ВСЕ, что стоит на системе (в т.ч. антивирусы) стало подконтрольно вирусам... антивирусы просто в принципе перестали что-либо видеть, если вирус этого не хочет (т.н. рут-киты)...
Вывод — антивирус должен сидеть НИЖЕ любой возможности врезаться в систему, чтобы контролировать эту систему...

Началась погоня, кто врежется НИЖЕ... за новыми вирусами выходили новые антивирусы и т.д.... "новое поколение" почти всех антивирусов отличается тем, что недокументированными методами, противозаконно, по-хакерски врезаются в ядро винды, делают они это с ГРУБЕЙШИМИ ошибками, т.к. мелкософт сознательно не документирует кишки винды (наверное копирайт мешает...), программисты в большом количестве случаев вынуждены писать "наугад" на основе ревёрз-инжиниринга... Гонка за клиентом и боязнь "обмочится" заставляет выпускать (за реальное кстати бабло...) такие "выкидыши"...

p.s. победит тот, кто первым, под полным своим контролем запустит всё ядро винды со всеми потрохами...
Если это окажется АНТИвирус — это не значит, что на системе можно будет хоть как-то работать...
wikipost
rolis15.02.2010 17:08
ред: 15.02.2010 22:04
Итоги на сегодня, с 9-00 до 21-00 — полет нормальный.

P.S. Существенное уточнение к ситуации: на сервере установил значение TcpTimedWaitDelay в 60 сек, хотя раньше даже в 30 сек величина не помогала.
wikipost
rolis16.02.2010 11:21
ред: 16.02.2010 11:23
Сегодня уже около 10-00 ситуация с большим количеством подключений повторилась Продолжаем курить гугл и факи
wikipost
repairman16.02.2010 12:05
rolis пишет: Сегодня уже около 10-00 ситуация с большим количеством подключений повторилась Продолжаем курить гугл и факи


Уже раз ...дцать можно было бы поставить бесплатные Apache со SquirrelMail на win/*nix и забыть как страшный сон...
wikipost
rolis17.02.2010 11:07
ред: 17.02.2010 15:11
Попытка №...: поменял всем пользователям тему "LookOut" на "Simple", которая намного проще и грузится быстрее. Ждем результатов.

P.S. Результаты отрицательные...
wikipost
rolis17.02.2010 18:04
Обновил сам MDaemon до версии 10.1.2. Ждем результатов.
wikipost
repairman19.02.2010 11:07
rolis пишет: Обновил сам MDaemon до версии 10.1.2. Ждем результатов.


Ну как
wikipost
rolis19.02.2010 11:24
Работает пока нормально
wikipost
rolis19.02.2010 14:35
ред: 19.02.2010 14:40
Если почитать Release Notes "http://files.altn.com/MDaemon/Release/relnotes_ru.txt", которые относятся к изменениям от версии 10.0.5 до версии 10.1.2, то там можно найти следующее:

MDaemon 10.1.0 – версия от 23 июня 2009 г.
Улучшения WorldClient Engine и Web Server:
(b) WDaemon теперь поддерживает множественные HTTP-запросы в рамках одного подключения, что улучшает производительность, особенно при использовании SSL.
wikipost
repairman19.02.2010 15:04
ред: 19.02.2010 15:19
rolis пишет: WDaemon теперь поддерживает множественные HTTP-запросы в рамках одного подключения, что улучшает производительность, особенно при использовании SSL.


Блин... это же надо, свое раздолбайство на протяжении долгого времени представить потом фичей...
Ну, если кривым оказался http сервер MDaemon, тогда несколько проще, есть запасные выходы...

Насколько я знаю — WorldClient может быть запущен на любом внешнем http сервере... поставить его, например, на Apache и забыть... этот вылизан, не то что "выкидыши" AltN...

Установка WorldClient на Apache:
http://www.mail-archive.com/mdaemon-l@dutaint.com/msg03590.html

Отсюда можно взять сам Apache, OpenSource, денег не просит (см. Win32 Binary):
http://httpd.apache.org/download.cgi
wikipost
rolis19.02.2010 15:47
repairman пишет: не то что "выкидыши" AltN...


Как ты с ними грубо, люди все таки работают, да и мы все делаем свою работу, исправляем ошибки, решаем проблемы.
wikipost
mdaemon19.02.2010 19:19
rolis пишет: WDaemon теперь поддерживает множественные HTTP-запросы в рамках одного подключения

Ух ты! Не иначе как к 15-летнему юбилею этой фичи HTTP приурочили!
wikipost
repairman19.02.2010 22:07
ред: 20.02.2010 23:42
rolis пишет: Как ты с ними грубо, люди все таки работают


Странно они работают... нормальные люди стремятся выпустить в каждой версии НАДЕЖНЫЙ ПРОДУКТ, а эти клепают версии С НАКОПЛЕНИЕМ БАГОВ... и правят их реже чем производят новые...

Я вот не понимаю, почему AltN при открытии новой мажор-версии, закрывают работу над предыдущими, имеющими МАССУ БАГОВ... Разве от появления новой фичи исчезают старые баги ? IMHO, совсем наоборот.... Результат — много бета-версий и ни одного более-менее пригодного к использованию релиза...

rolis пишет: да и мы все делаем свою работу, исправляем ошибки, решаем проблемы.


Хм... позиция достойная любителя бесплатного OpenSource софта... сам взял, сам собрал, сам пользуюсь и никому я ничего не должен... с Вашей позицией — забудьте винду, на *nix Вам понравится...
Ктому же надо сказать, что большинство бесплатного OpenSource софта имеет лучшую поддержку нежели коммерческий от AltN....

НО, MDaemon — КОММЕРЧЕСКИЙ СОФТ С ЗАКРЫТЫМ КОДОМ... т.е., ЗАПЛАТИВ AltN за софт, за поддержку Вы согласны БЕСПЛАТНО терпеть многочисленные баги и годами терпеть игнорирование заявок на их исправление ? Мало того, сами готовы исправлять ИХ ошибки и решать ИХ проблемы ? Глупо.... или я совсем ничего не понимаю...
wikipost
rolis02.03.2010 15:03
Ну что же, уже намного лучше Устойчивая работа WorldClient целую неделю Сегодня опять был зависон...
wikipost
rolis15.03.2010 19:09
Обновился до 11-й версии — полет нормальный.
wikipost
Работает на Eserv/5.01321 (01.02.2012)