За последние несколько недель у нас были серьезные проблемы с замедлением работы сети, в основном в пятницу утром. Мы запускаем клиентские машины Windows 7 с серверами Windows Server 2008 R2.
Обычно происходит то, что сеть начинает сильно замедляться в 08:55 и восстанавливает нормальную скорость примерно в 09:20.
Это влияет на все в сети: от входа в систему, сброса паролей, открытия программ и файлов и т. Д. На моем клиентском компьютере использование физической памяти остается на уровне около 40% (нормальное), а загрузка ЦП колеблется в пределах 0-10% в режиме ожидания.
Серверы показывают резкие скачки использования памяти и остаются довольно интенсивными в течение времени, упомянутого выше.
Я сделал несколько снимков с помощью wirehark как во время замедления, так и когда сеть работает нормально.
Одна из основных вещей, которые я заметил, - это увеличение количества записей SMB2 в журнале wirehark во время замедления.
Record Time Source Destination Protocol Length Info
382 3.976460000 10.47.35.11 10.47.32.3 SMB2 362 Create Request File: pcross\My Documents
413 4.525047000 10.47.35.11 10.47.32.3 SMB2 146 Close Request File: pcross\My Documents
441 5.235927000 10.47.32.3 10.47.35.11 SMB2 298 Create Response File: pcross\My Documents\Downloads
442 5.236199000 10.47.35.11 10.47.32.3 SMB2 260 Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *
573 6.327634000 10.47.35.11 10.47.32.3 SMB2 146 Close Request File: pcross\My Documents\Downloads
703 7.664186000 10.47.35.11 10.47.32.3 SMB2 394 Create Request File: pcross\My Documents\Downloads\WestlandsProspectus\P24 __ P21.pdf
Это некоторые из записей SMB2 из списка из нескольких сотен, которые были исходными с моего компьютера с местом назначения на файловом сервере.
Следует отметить, что последняя запись в приведенных выше примерах предназначена для файла PDF. Этот файл не был открыт на моем компьютере или где-либо еще. Папки с файлами тоже не открывались.
Когда я сделал еще один захват, когда сеть работала нормально, там почти не было записей SMB2, а те, которые отображались, были в основном из Wireshark.
В настоящее время у нас около 800 компьютеров, 90 компьютеров Mac и 200 ноутбуков и нетбуков. Нас беспокоит, происходит ли этот трафик на моем компьютере, происходит ли он на других компьютерах, и если да, будут ли эти компьютеры добавлять к медленным сетевым проблемам?
Опять же, это происходит только в определенное время. Мы уверены, что это не наш антивирус. Есть ли что-нибудь, чтобы сузить то, что инициализирует этот трафик SMB в определенное время?
Или, если у кого-то есть какие-либо дополнительные советы или ссылки на ресурсы, было бы признательно.
редактировать После просмотра журналов WireShark на нескольких других компьютерах можно увидеть определенное увеличение трафика SMB для файлов Adobe Photoshop на сервере с моего компьютера. Это только похоже на сканирование файлов фотошопа и связанных файлов (например, настроек и т. Д.). У меня есть CS2 (:() на моем компьютере, но у других ребят есть CS6, а на некоторых компьютерах даже нет фотошопа, и они все еще увязают.
Вы использовали систему квотирования Windows (диспетчер ресурсов файлового сервера)? В нашей сети возникают похожие проблемы, и я получаю журналы wirehark, похожие на те, что вы опубликовали.
Вы думаете, что он исходит от вашего ПК? Вы пытались отсоединить шнур Ethernet и посмотреть, решит ли он проблему в масштабах всей сети?
Я думаю, вы можете слишком узко взглянуть на проблему всей сети, просматривая только отдельные журналы Wireshark, пробовали ли вы просматривать журналы коммутатора и маршрутизатора и видеть, есть ли какие-либо ошибки?
Чтобы найти источник трафика SMB, который предположительно вызывает проблему, я бы запустил netstat -a и посмотрите, какая программа использует TCP-порт 445 (Википедия также говорит, что UDP-порты 137, 138 и TCP-порты 137, 139) Я бы сделал это как на вашей рабочей станции, так и на файловом сервере. Я бы также установил на файловом сервере несколько мониторов производительности, связанных с сетью, чтобы увидеть, не наблюдается ли скачков в это время.
Я не думаю, что было бы безопасно остановиться на SMB, не наблюдая такого же трафика на нескольких рабочих станциях. Тот факт, что это происходит в определенное время, создает впечатление, что в это время выполняется запланированное задание, программа или резервное копирование. В прошлом у меня возникла эта проблема с настройками WSUS и объектами групповой политики Центра обновления Windows, я бы перепроверил их.
Похоже, что лучшим решением было бы установить своего рода мониторинг SNMP / NMS на всех рабочих станциях / серверах и их сетевых адаптерах. Квест Foglight и Соларвиндс НПМ, могу это сделать. После мониторинга трафика SNMP вы сможете увидеть, какие интерфейсы наиболее загружены во время этих проблем. Покупатель, будьте осторожны, это может быть дорого. Quest Foglight позволит вам контролировать до 200 интерфейсов, так что этого может быть достаточно для хорошего образца.