LDAP 客户端连接服务端缓慢
2012-07-22 22:17:12   来源：   评论：0 点击：

 背景:
 公司刚上了LDAP的Slave，于是Master也换了一把，结果上线刚生效同事立马反应连接太慢。
 症状:
 通过LDAP验证连接一个服务器要等待半分钟以上，这个真无法接受、偶尔还有验证连接的状况、
 #id -a 5iops
 半分钟才会出现5iops的用户信息，偶尔还会返回找不到用户
 messages一堆错误日志，还好有Slave，临时的解决办法是停掉Master 让客户端直接去Slave验证，暂时先解决了连接缓慢的症状，
 这里Master和Slave的区别:
 Master是真实机开启了日志，Slave是虚拟机搭建的由于ldap日志量比较庞大，然而LDAP没有自己的一套日志机制完全靠系统的syslog写日志，在上线之前关闭了LDAP写日志的功能，
 排查过程:
 #strace -Tt id -a 5iops
 通过上面的命令 查看在哪一步时间最长，反应出来的情况是在连接服务端636端口的时候等待时间超过20s、逐步排除导致连接缓慢的原因，首先是网络原因，客户端到服务端的延时并不大，然后想到DNS的问题，发现DNS确实存在问题 DNS修改正确之后连接缓慢还是没有得到根治，排查服务器性能，CPU，内存等实用都正常，才查看磁盘的时候发现磁盘利用率较高
 #iostat -xn 2 100
 导致磁盘利用率高的原因正是LDAP开启了syslog，syslog本身为同步写日志，而且ldap日志量非常庞大，需要将syslog改为异步操作 在输出日志路径前面加上"-"可更改为异步写日志
 更改异步写日志，连接缓慢得到根治；