1. A Novell eDirectory felgyelete Novell PSH Kft.

2. Novell, Inc. All rights reserved.2 eDirectory alapfogalmak eDirectory adatbzis: Hierarchikus, elosztott adatbzis, amely az eDirectory-cmtrfa sszes objektumnak tulajdonsgait trolja az objektumok nevt, a hozzjuk kapcsold jogokat s tulajdonsgrtkeket egyarnt. Sma: az adatbzis szerkezeti defincija, meghatrozza a cmtrfa felptst s szablyozza az egyes objektumtpusok tulajdonsgait. Partci: a cmtrfa egy rsze, amit meghatrozott szerverek trolnak a helyi adatbzisukban. Replika: egy adott partci objektumait tartalmaz adatbzis-msolat. Kontnerobjektum: ms objektumokat tartalmazhat. Levlobjektum: nem tartalmazhat ms objektumokat. Kls referencia: informcit trol egy olyan objektumrl, amirl nincs vals msolat a szerveren. NICI: Novell International Cryptographic Infrastructure, titkostst vgz modulok. 3. Novell, Inc. All rights reserved.3 Az eDirectory llapotfelmrse Replikaszinkronizci ellenrzse Idszinkronizci ellenrzse DS verzik ellenrzse Partcifolytonossg Rendelkezsre ll trterlet A szerverek kztti szinkronizci Ismeretlen objektumok Httrfolyamatok Egyedi fanevek Szm_Szm-objektumok Obituary-k ellenrzse eDirectory cache hangolsa 4. Novell, Inc. All rights reserved.4 Partciszinkronizci Az eDirectory egy lazn csatolt adatbzis. A konzisztencia rdekben az eDirectory egyes rszeinek meghatrozott idkznknt szinkronizlniuk kell. Ez az temezett szinkronizci az n. eDirectory-szvvers (eDirectory heartbeat) alaprtelmezs szerint 60 percenknt trtnik. Ha a szerverek nem kpesek tkletesen leszinkronizlni az adataikat, akkor folyamatosan n. utolr (catch up) mdba kerlnek, ami nemcsak lerontja a teljestmnyt, hanem inkonzisztencit jelent a replikk kztt. ppen ezrt a szinkronizcis folyamat helyes mkdse minden eDirectory-cmtrfa egyik legfontosabb feladata. NetWare: DSRepair/Report Synchronization Status Linux: ndsrepair -E 5. Novell, Inc. All rights reserved.5 Idszinkronizci Az eDirectory idszinkronizci ellenrzse azrt fontos, mert az eDirectory idblyegek hasznlatval kveti nyomon, hogy a fizikailag eltr helyeken lezajl esemnyek (objektumok ltrehozsa s trlse, tulajdonsgok mdostsa) milyen sorrendben is trtntek. NetWare: DSRepair/Time Synchronization Linux: ndsrepair -T 6. Novell, Inc. All rights reserved.6 eDirectory verzik A Novell rendszeresen frissti az eDirectory-kezel gynkprogramokat (agent). Ezek a frisstsek a http://support.novell.com weboldalrl tlthetk le SuSe Linux/Windows/NetWare platformokra, OES Linux rendszerek esetben a frisstsi csatornn keresztl telepthetek. Az idszinkronizcis jelents tartalmazza az ismert szerverek agent- verziit, de ez kzvetlenl is lekrdezhet az adott szerveren az albbi mdokon. NetWare: m ds Linux: rcndsd status 7. Novell, Inc. All rights reserved.7 Partcifolytonossg Az eDirectory partcifolytonossga azt jelenti, hogy az sszes olyan szerver, amelyen egy adott partci megtallhat, kpes legyen rszt venni a partcimveletekben s helyesen szinkronizlni a partci adatait. E szerverek mindegyiknek ugyanazzal a nzettel (view) kell rendelkeznie a partcirl. A partcifolytonossg ellenrzse sorn meg kell vizsglni minden egyes szervert, amelyen egy partci replikja megtallhat, s ellenrizni kell, hogy a replikagyr (replikalista) sszes szervern ugyanaz az informci tallhat-e. A partcifolytonossg ellenrzse sorn megvizsgljuk a partcik llapott is. Ha egy partci nem ON llapotban van, akkor valamilyen korbbi partcimvelet mg nem rt vget. A partcifolytonossg ellenrzse szmos segdprogrammal elvgezhet (ConsoleOne, iManager, iMonitor, Nwadmin, dsrepair, stb.). 8. Novell, Inc. All rights reserved.8 Rendelkezsre ll trterlet Az eDirectory helyes mkdshez elegend szabad terletnek kell rendelkezsre llnia az adatbzist trol fjlrendszerben. Amennyiben betelik a ktet, a cmtrszolgltats lellhat, gy a felhasznlk nem tudnak bejelentkezni. Aktv cmtr esetn adatbzissrls is elfordulhat, st, ha a NetWare SYS ktete betelik, akr maga a szerver is mkdskptelenn vlhat. Ennek elkerlsre azt javasoljuk, hogy NetWare esetn sose engedjk a SYS: ktetet 75 szzalknl jobban megtelni, Linux alatt pedig particionljuk kln az eDirectory adatfjlokat. Az eDirectory adatbzis alaprtelmezett knyvtra NetWare-en: SYS:_NETWARE Linuxon 8.7.x verzi esetn: /var/nds/dib Linuxon 8.8.x verzi esetn: /var/opt/novell/eDirectory/data/dib Figyelem! Linuxon az eDirectory rendellenes lellsa esetn .core kiterjeszts memria dump fjlok jnnek ltre, melyek mrete akr tbb GB is lehet. 9. Novell, Inc. All rights reserved.9 Szerverek kzti kommunikci Az eDirectory-cmtrfa sszes szervernek kommuniklnia kell az sszes tbbivel. A nem megbzhat szerverek kztti kommunikci eDirectory- szinkronizcis s idszinkronizcis hibkat eredmnyez. A szerverek kztti kommunikcis hibknak szmos klnfle oka lehet: nem megbzhat s nem elgg stabil infrastruktra, gondok a WAN- kapcsolatokkal, instabil szerverhardver, stb. Az eDirectory az SLP-re (rgebben SAP) tmaszkodik a szerverek feldertse sorn, de miutn felplt a kapcsolat a tvoli szerverrel, a cmtrban is eltrolja a hlzati cmet. Mivel a szerverek cmei ritkn vltoznak, nem gyakori, hogy eltrs legyen a cmtrban tallhat adatok s az SLP tblk kztt, de kommunikcis hiba esetn rdemes lehet ezt ellenrizni. Figyelem! NCP over NAT nem tmogatott! NetWare: dsrepair/servers known to this database/HIBS SZERVER/repair selected server's network address Linux: ndsrepair -N HIBS SZERVER/repair selected server's network address 10. Novell, Inc. All rights reserved.10 Ismeretlen eDirectory objektumok Ha egy eDirectory-objektum valamelyik ktelez tulajdonsga hinyzik, az eDirectory kptelen lesz azonostani az objektumot (annak tpust) s kptelen lesz frissteni az objektum adatait. Ilyenkor az eDirectory- objektum n. ismeretlen objektumm vlik. Ez jelentkezhet: - NetWare 3.x-rl val frissts utn, - ha egy ktelez tulajdonsgot trlnk, - ha az eDirectory-adatbzis megsrlt. Mivel az eDirectory ltalban kiderti az ismeretlen objektumok tpust, ezek a hibk ltalban nem kritikusak. Ha viszont hosszabb tvon sem sikerl feloldani az ismeretlen objektumokat, az ltalban szinkronizcis problmra utal. Az ismeretlen objektumok ikonja egy srga kr alak httren lv krdjel. 11. Novell, Inc. All rights reserved.11 Ismeretlen eDirectory objektumok kezelse Ismeretlen objektumok felfedezsekor elszr is fel kell jegyezni az esemnyt, de idt kell adni a rendszernek a feloldsukhoz. Ezek az objektumok nmagukban nem okoznak krt az eDirectory-adatbzisban (az adatbzis mrete valamelyest megnhet). Statikus (alig vltoz) cmtrfa esetn a Novell Consulting javaslata az ismeretlen objektum meghagysa a kvetkez karbantartsig. A rendszergazdnak magnak kell eldntenie, hogy szksg van-e ezekre az objektumokra. Gyakran igen nehz kiderteni egy ismeretlen objektum eredett; sokszor az egyetlen utals az objektum neve. Megjegyzs: Egyes objektumok azrt ltszanak ismeretlennek, mert a felgyeleti eszkzbl hinyzik a kezelskhz szksges modul. Ebben az esetben csak a felgyeleti eszkz szmra ismeretlen az objektum (az eDirectory-adatbzis szmra nem). Ezeket az ismeretlen objektumokat msfle ikonnal (fehr ngyzetben lv krdjel) jelzi a rendszer. 12. Novell, Inc. All rights reserved.12 Httrfolyamatok Az eDirectory normlis mkdse sorn is fellpnek bizonyos hibk a krnyezet llapotnak s vltozsnak megfelelen. Ezek a normlisnak tekinthet eDirectory-hibk pontosan azt a clt szolgljk, hogy az eDirectory sszes httrfolyamata (pl. a bejelentkezs s a replikaszinkronizci) sikeresen vgbemenjen. Pldul DS Agent (DSA) hiba jn ltre, ha a felhasznl rossz kontextussal prbl bejelentkezni. tkzsi hiba pedig akkor jn ltre, ha az eDirectory elromlott WAN- kapcsolaton keresztl prbl repliklni. Ebben az esetben egy msodik szerver veszi t a feladatot, de a WAN-kapcsolat helyrellsa utn az eDirectory jra megprbl repliklni, s ebbl tkzs lesz, amelynek hatsra az els szerver figyelmen kvl hagyja a replikcis krst. Az ilyen s ehhez hasonl hibk teljesen normlis jelensgek, pontosan az a cljuk, hogy az eDirectory rugalmasan alkalmazkodjon a vltoz krnyezetekhez is. 13. Novell, Inc. All rights reserved.13 Egyedi faelnevezs Nagyon fontos, hogy amennyiben tbb cmtrfa tallhat a hlzaton, mindegyik neve klnbz legyen. Ha nem gy van, az eDirectory rendkvli instabilitshoz vezethet radsul ez egy igen nehezen felismerhet hibajelensg. A ketts fanevek elfordulsa katasztroflis eredmnyekkel jrhat. A legtbb esetben mindkt cmtrfa slyosan krosodik. A ketts fanevekre ltalban a 672-es hibk tmeges megjelense (ez a hiba az inkonzisztens replikagyrket jelzi) s a pontatlan eDirectory-rkldsi szmtsok utalnak. Ha nem szntetjk meg nagyon gyorsan a helyzetet, az eDirectory teljesen sszeomolhat. 14. Novell, Inc. All rights reserved.14 Szm_szm objektumok A szm_szm objektumokat gyakran szoks tnevezs vagy nvtkzs nven is emlegetni. Ez abbl szrmazik, ha kt azonos nev objektum van ugyanabban a kontnerben, de eltr replikkban s eltr idblyegekkel. Mivel ez ellentmond az eDirectory smadefincis szablyainak, az eDirectory t fogja nevezni az objektumok egyikt a szm_szm szably szerint (pl. 1_2). Ilyen tnevezett objektummal tipikusan olyan LAN- vagy WAN- krnyezetekben tallkozhatunk, ahol a kommunikci nem stabil, illetve ha egy szalagos eDirectory-mentst lltunk vissza, vagy a hardver helytelen frisstse utn. 15. Novell, Inc. All rights reserved.15 Obituary-k ellenrzse Az obituaryk szolglnak az adatbzis konzisztencijnak megrzsre, mikzben az eDirectory egy objektummozgatst, trlst vagy tnevezst szinkronizl. Amennyiben egy replika megksrel a mdostott objektumra hivatkozni a rgi informci alapjn (mert mg nem kapta meg az j adatokat), az obituary bejegyzs ezt lehetv teszi hiba okozsa nlkl. Szinkronizcis hiba esetn az obituary folyamat beragadhat, azaz az obituary flag nem lp tovbb trlhet llapotba (Purgable). A meg nem szn obituaryk tipikusan az albbihoz hasonl zeneteket eredmnyeznek: -637 Previous_Move_In_Progress Ennek oka ltalban a szerverek kztti kommunikcis problma, vagy egy szerver helytelen trlse a fbl. A 637-es hiba tovbb lasstja (vagy lehetetlenn teszi) a partcimveleteket. NetWare: dsrepair -a/check external references Linux: ndsrepair -C -Ad -A 16. Novell, Inc. All rights reserved.16 Beragadt obituary-k megszntetse Szinkronizci biztostsa, vrakozs. Master krbejrats: dsrepair -a (NetWare) vagy ndsrepair -P -Ad -A. Figyelem! SUBREF-bl soha ne legyen Master! Obituary timestamp: dsrepair -ot (NetWare), ndsrepair -R -Ad -OT (Linux), vagy iMonitor. XK3 eljrs: ha a beragadt obituary az extref partcin tallhat, csak gy lehet kiszedni: dsrepair -xk3 + repair local db. (NetWare) vagy ndsrepair -R -Ad -Xk3 (Linux), majd ha lefutott backlinkels indtsa. iMonitor advanced mode: Beradadt MOVE-ok kiszedsnek lehetsge. 17. Novell, Inc. All rights reserved.17 eDirectory cache hangols Nagymret adatbzisok vagy kevs rendelkezsre ll memria esetn szksg lehet az eDirectory cache finomhangolsra, hard limit belltsra. Hard limit: az eDirectory ltal maximlisan felhasznlhat memria Block Cache: adatbzisblokkra vonatkoz cache, fknt upgrade s feltltsi (bulk load) mveleteknl van szerepe Entry Cache: az adatbzis logikai elemei szerint rendezett cache, ltalnos cmtrmveletek gyorstsra (pl. nvfelolds). rdemes megfigyelni iMonitor-ban a statisztikkat s ez alapjn vltoztatni az rtkeken. NetWare/Linux: iMonitor/Agent Configuration/Database Cache 18. Az eDirectory mentse 19. Novell, Inc. All rights reserved.19 eDirectory adatok vdelme replikls: legfrissebb vltozat adatbzis-dump: pillanatfelvtel egy szerver replikirl objektum-alap ments: a cmtrfa egy ga 20. Novell, Inc. All rights reserved.20 Adatok vdelme repliklssal jrapthet egy adott partci megsrlt replikja. Csak a vals (RO/RW s M) replikk tartalmazzk az objektum sszes tulajdonsgt! Minden partcirl legyen legalbb 3 vals replika. Tl sok replika nveli a szerver terhelst s a hlzati forgalmat. Ne hasznljunk RO replikkat. 21. Novell, Inc. All rights reserved.21 Adatok vdelme adatbzis mentssel Adott szerver teljes adatbzisnak msolata. Visszalltani csak a teljes adatbzist lehet. A visszallts nagy krltekintst ignyel, mivel a mentett adatbzis elvlt adatokat tartalmazhat. NetWare: DSREPAIR -RC (SYS:SYSTEMDSR_DIB) NICI-t kln kell menteni (SYS:SYSTEMNICI)! Linux: dsbk vagy embox (NICI ments tmogatott) 22. Novell, Inc. All rights reserved.22 Objektum-alap ments Akr egyetlen objektum is lementhet/visszallthat. Ms clkontner is megadhat. Nyitott adatbzis kell hozz. Hivatkozsok elveszhetnek ha a tulajdonsg rtke hivatkozs egy nemltez objektumra. NetWare: SMS (Storage Management Services) alap backup szoftver. Linux: ndsbackup 23. Novell, Inc. All rights reserved.23 Az eDirectory hibk kezelse, megelzsk Trelem! Ments mindenron, trustee-k is! Id- s replikaszinkron mindenron. Hiba kiterjedsnek meghatrozsa. Inkonzisztencia esetn a j replika megrzse akr az UTP kbel kihzsval. Szinkronhiba esetn TILOS brmifle partcimveletbe kezdeni (kivve az NTS krsre). User mozgats is ilyen lehet! NDS hibakdok (-601-tl -768-ig) azonostsa. 24. eDirectory karbantartsi feladatok 25. Novell, Inc. All rights reserved.25 Az eDirectory karbantartsa Az eDirectory-nak, mint minden adatbzisnak, megadott idkznknt szksge van bizonyos karbantart mveletek vgrehajtsra. A karbantartst heti s havi rendszeressggel kell vgezni. 26. Novell, Inc. All rights reserved.26 Az eDirectory karbantartsa Napi teendk: eDirectory idszinkron ellenrzs eDirectory szinkronizci ellenrzse eDirectory Partciellenrzs eDirectory szerver ellenrzs: minden kiszolgln megfelel mennyisg szabad memria ll a rendelkezsnkre Trustee ments eDirectory mentse Log file-ok sszegyjtse, kt kln szerveren. Szksges LOG fjlok: messages, ndsd.log, ndsrepair.log 27. Novell, Inc. All rights reserved.27 Az eDirectory karbantartsa Havi teendk: Mentsbl visszalls ellenrzse 28. eDirectory hibakdok 29. Novell, Inc. All rights reserved.29 eDirectory hibakdok Nem ltez bejegyzs (no such entry): -601 Hiba oka A krt objektum nem ltezik az adott szerveren. Teendk Leggyakoribb oka, hogy rossz kontextust ad meg a felhasznl, vagy az alkalmazs van rosszul konfigurlva. 30. Novell, Inc. All rights reserved.30 eDirectory hibakdok Inkonzisztens adatbzis (inconsistent database): -618 Hiba oka A legtbb ilyen esetben megsrlt a helyi adatbzis s az inicializcis folyamat sem fut le (a cmtr nem nylik meg). Teendk Mentsbl kell visszalltani a srlt adatbzist, vagy ki kell venni a szervert a fbl, majd jra visszatenni a fba. 31. Novell, Inc. All rights reserved.31 eDirectory hibakdok Kommunikcis hiba (transport failure): -625 Hiba oka Ha egy replikt trol szerver nem elrhet az 524-es NCP porton, a replikagyr nem szinkronizldik megfelelen. Teendk Ilyen esetben rtelemszeren a legfontosabb teend a kommunikci helyrelltsa. Ne vgezznk semmilyen partci-mveletet. 32. Novell, Inc. All rights reserved.32 eDirectory hibakdok Folyamatban lv mozgats (previous move in progress): -637 Hiba oka Mieltt egy objektum jbl mozgathat lenne, vagy partcimvelet szeretnnk vgrehajtani a mozgatott objektum clpartcijn, minden mozgatsi mveletnek le kell futnia. Teendk Amennyiben huzamosabb ideig fennll a hiba, ellenrizzk, hogy a replika-gyrben minden szerver megfelelen kommunikl-e. (Obituary) 33. Novell, Inc. All rights reserved.33 eDirectory hibakdok Replika szinkron folyamatban (Replica in skulk): -698 Hiba oka A replika-szinkronizcis folyamat egy olyan szerverrel prblta meg felvenni a kapcsolatot, amelyik mr szinkronizl egy msik szerverrel. Teendk Ideiglenes hiba, nincs teend. A replika-szinkronizcis folyamat kezeli ezt a hibt. 34. Krdsek 35. Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.