Leistungsüberwachung in Windows Server 2008 R2

Stellschraube

Vor allem, wenn auf einem Server noch Zusatzdienste laufen, etwa Sharepoint, Exchange oder SQL, tauchen manchmal Leistungsprobleme auf, die sich durch die Leistungsüberwachung aufdecken und beheben lassen. Dazu genügen mitgelieferte und kostenlose Tools.
Duell der Datenbanken: In einem Shootout messen sich MySQL und PostgreSQL. Der Schwerpunkt vom ADMIN 06/2011 überprüft, wer schneller ist und gibt einen ... (mehr)

Windows Server 2008 R2 stellt mit der Leistungsüberwachung ein mächtiges Tool zur Verfügung, um Performance-Probleme auf einem Server aufzudecken. Die Bedienung hat sich im Vergleich zu den Vorgängerversionen nur wenig geändert. Sie finden das Tool im Server-Manager unter »Diagnose\Leistung\Überwachungstools\Leistungsüberwachung« . Schneller starten Sie es durch Eingabe von »perfmon.msc« im Suchfeld des Startmenüs. Ein Aufruf von »perfmon /res« startet den Ressourcenmonitor, der aktuell verbrauchten Ressourcen in Echtzeit anzeigt, ähnlich wie der Task-Manager.

Exchange und Active Directory

Treten Leistungsprobleme in Exchange oder anderen Serverdiensten auf, die von Active Directory abhängen, zum Beispiel beim Postfachzugriff oder dem Versenden von Nachrichten, liegt häufig auch ein Problem in Active Directory oder DNS vor. Das heißt, parallel zur Leistungsüberwachung sollten Sie noch eine Diagnose der Namensauflösung sowie der Domänencontroller durchführen, zum Beispiel über »dcdiag.exe« . Exchange, aber auch andere Dienste, die den Windows-Verzeichnisdienst benötigen, greifen über die Systemdatei »wldap32.dll« auf das Active Directory zu. Dabei laufen (vereinfacht) folgende Vorgänge ab:

  • Die Datei »wldap32.dll« auf dem Exchange-Server erhält durch einen Exchange-Prozess eine Anfrage, um auf den globalen Katalog zuzugreifen.
  • Per DNS versucht der Server, den globalen Katalog-Server aufzulösen, um auf diesen zugreifen zu können. Dauert das zu lange, verzögert sich bereits an dieser Stelle der Active-Directory-Zugriff.
  • Nach der Namensauflösung baut »wldap32.dll« eine Verbindung zum globalen Katalog auf und überträgt die Anfrage.
  • Anschließend wird eine TCP-Verbindung aufgebaut und eine LDAP-Abfrage gestartet. Damit die Verbindung funktioniert, benötigt die TCP-Verbindung drei Bestätigungen durch den Domänencontroller. Bei einer Latenz von 10ms im Netzwerk dauert der Zugriff also bereits 30ms, bevor der Exchange-Server die LDAP-Abfrage übertragen kann.
  • Die LDAP-Abfrage wird auf dem Domänencontroller von der Datei »lsass.exe« entgegengenommen, die auf dem LDAP-Port des Servers auf Verbindungen wartet.
  • Der Domänencontroller nimmt die Abfrage an den globalen Katalog entgegen und führt die Suche in seinem globalen Katalog durch.
  • Der globale Katalog sendet die Daten über die Netzwerkkarte zur Datei »wldap32.dll« auf dem Exchange-Server. Handelt es sich um eine große Anzahl an Daten, zum Beispiel beim Auflösen der Mitglieder einer Verteilergruppe, müssen erst alle Daten übertragen werden, bevor Exchange mit der Verarbeitung weitermachen kann.

Ein großer Teil der Leistung hängt also bei Servern von der Netzwerkgeschwindigkeit zwischen Exchange-Server und dem globalen Katalog oder Domänencontroller ab. Aus diesem Grund sollten Sie bei Leistungsproblemen der Exchange-Infrastruktur auch immer die Geschwindigkeit des Netzwerks messen.

Grundlage: Netzwerkperformance

Auch eine schnelle Verbindung zum DNS-Server und eine prompte, stabile und korrekte Namensauflösung sind sehr wichtig. Die Verzögerung zum DNS-Server darf 50ms nicht überschreiten, wenn Sie die Leistung des Exchange-Servers optimieren wollen. Dauert die Anfrage länger, haben Sie schon den ersten Flaschenhals bei der Exchange-Performance gefunden. Dazu reicht das Pingen des Servers aus, Sie benötigen noch nicht mal die Leistungsüberwachung.

Auf der Seite [1] finden Sie das Freeware-Tool Performance Analysis of Logs (PAL), das bei der Auswertung von Leistungsberichten eine gute Hilfe sein kann. Auf der Seite erhalten Sie das Tool und weiterführende Hilfe und Dokumentationen zum Thema Leistungsüberwachung von Servern. Bei komplexen Strukturen sollten Sie sich die Anleitungen auf der Seite durchlesen. Sie benötigen für das Tool noch die ebenfalls frei erhältlichen Zusatzprogramme Log Parser 2.2 [2] und Office 2003 Add-in: Office Web Components [3].

Diese Tools müssen Sie vor der Installation von Performance Analysis of Logs (PAL) auf dem Server installieren. Mit Insight für Active Directory, auch als ADInsight bezeichnet, überwachen Sie die LDAP-Verbindungen eines Domänencontrollers in Echtzeit mit einer grafischen Oberfläche (Abbildung 1). Das Tool gehört zu den Sysinternal-Tools von Microsoft und steht kostenlos zur Verfügung. Sie erhalten es von der Seite [4]. Die Bedienung entspricht in etwa den beiden Sysinternal-Tools Regmon und Filemon. ADInsight untersucht alle Aufrufe der Datei »wldap32.dll« und zeigt alle Anfragen an, auch die blockierten. Auf diesem Weg können Administratoren Authentifizierungsprobleme von Active-Directory-abhängigen Programmen analysieren und feststellen, welche Clients und Server eine Verbindung mit den Domänencontrollern aufbauen.

Abbildung 1: Mit ADInsight lassen sich LDAP-Zugriffe auf Domänencontroller diagnostizieren.

Leistungsprobleme müssen nicht immer von der Latenz oder Serverressourcen kommen, oft liegt deren Ursache auch in Authentifizierungsproblemen. Alle Anfragen an den Domänencontroller protokolliert ADInsight und speichert diese zur Fehlersuche auch als HTML-Bericht oder als Textdatei. Das Protokoll enthält die Anfrage des Clients und die Antwort, die der Client über LDAP erhalten hat. Auch die Zugriffe der Systemdienste zeigt ADInsight an. Bestandteil des Tools ist eine englischsprachige Hilfedatei, die den Anwender bei den ausführlichen Analysemöglichkeiten unterstützt. Sobald Programme wie Exchange auf den Domänencontroller zugreifen, füllt sich das Fenster mit Informationen. Über einen Rechtsklick können Sie weitere Informationen über die einzelnen Einträge anzeigen. Die Anzeige lässt sich über das Menü auch filtern.

Die Anzeige umfasst auch den Benutzernamen des zugreifenden Benutzers. Mit ADInsight lassen sich nur lokale Zugriffe überwachen, eine Diagnose über das Netzwerk per Remotezugriff ist nicht möglich. Immerhin besteht die Möglichkeit, über die Suchfunktion von ADInsight nach bestimmten Prozessen, Fehlern oder Abfrageergebnissen zu filtern. Das Tool markiert das Ergebnis, sodass sich auch spezifische Überwachungsvorgänge durchführen lassen. ADInsight kann auch automatisiert eingesetzt werden und stellt dazu verschiedene Optionen zur Verfügung. Hilfreich bei der Automatisierung ist die Fähigkeit, das Protokoll in eine Datei schreiben zu lassen, ohne die Vorgänge in der grafischen Oberfläche anzuzeigen. Das Tool läuft auf Windows 2000 Server und höher.

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018