我有一个复杂的环境,很多高端的cisco网络盒子、防火墙和路由器。我有许多(100-200)连接超时错误(只是验证,不运行任何查询)使用 Windows 身份验证从 IIS 连接到 SQL Server 2005。我们的网络工程师倾注了 tcp/ip 转储,我们内部没有 AD 专家,Kerberos 似乎无法在我们的数据库环境中工作,所以我想你们都可以指出有关 IIS 如何制作连接到 SQL 服务器,其中服务器的域与用户的域不同,并且用户的域通过专用租用线路位于另一个州。这两个位置都有冗余直流控制器和站点指标设置。网络极客认为 kerberos 失败并默认为 NTLM 所花费的时间可能是个问题。
更多信息:我们再次引入了 MS 首席顾问,我们找到了 LSASS.exe sp?在广告盒上消耗了大量的 CPU。罪魁祸首是梭子鱼垃圾邮件箱,它针对不存在的元数据列对 AD 进行查询。如果我发现他是怎么想出来的,我会发帖的。
TIA,查克
我不确定你会得到一个好的答案,除非你把你的问题分成更小的部分。
我将从这些步骤开始,撤消任何没有帮助的更改。当您获得有关该问题的更多信息时,请更新您的问题:
检查 DNS - 确保您的 DNS 服务器及时响应:
通过将您的 Web 应用程序切换为使用 SQL 身份验证来排除 NT 身份验证问题。通常我什至不会想到这一点,但您在问题中提到了一些身份验证问题。
验证 Web 服务器和 DB 服务器之间没有丢包。
ping -t -w 100 -l 5000 dbhost尝试更改您的连接池设置。
Microsoft 的 KB319723描述了将 Kerberos 与 SQL Server 和 IIS 结合使用。使用来自另一个域的用户帐户对一个域中的 SQL 服务器进行身份验证应该不是问题,只要它们位于同一个 AD 林中。但是,我发现从域外连接到 SQL Server 命名实例的问题。您必须为命名实例设置 SQL 别名。
这是用于查找 lsass 为何使用如此多 CPU 的工具 Premier 支持: spa_v2.msi “Server Performance Advisor” 将下拉值更改为活动目录并借助 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics REG_DWORD 更改值从“0”到“5”,然后查看目录服务日志中的错误。
这揭示了 OtherMailBox 的罪魁祸首查找。
然后他把这个从他的脑海中拉出来,cmd窗口: Ldifde -F foo.txt –s corpdc01 –P subtree –d “DC=Corp,DC=redmond,DC=Local” –r “(OtherMailBox=*)”
确定我们是否在 AD 中使用此对象。我们不是。日志显示梭子鱼的 IP 地址,其余的由 NSLOOKUP 完成。将该信息交给 IT 管理员,他们能够修复。