Ошибка ALD Pro - Directory service не активен

Немного нужно, чтобы уронить важнейшую службу в ALD Pro. Если нагрузка возрастёт при определённых ситуациях, то служба сама упадёт.

Окружение
* ALD Pro 2.x.x

Проблема

В Портале Управления в разделе Мониторинг отображается критическая ошибка: Directory service не активен на dc.domain.name.

Диагностика

Проверить, что:

• производилось включение расширенного аудита событий службы каталога на контроллере домена (КД).
• обновление ALD Pro до новой версии завершается сообщением вида:
  Upgrade failed with cannot connect to 'ldapi://%2Frun%2Fslapd-DOMAIN-NAME.socket': Connection reset by peer
• служба dirsrv прекращает свою работу;
• в выводе команды: sudo ipactl status
  присутствует сообщение вида: Directory Service: STOPPED
• в выводе команды: sudo systemctl status dirsrv@DOMAIN-NAME.service
  присутствуют строки вида:
  Active: failed (Result: signal) ...
  Main PID: ... (code=killed, signal=ABRT)
• в лог-файле /var/log/syslog присутствует сообщение вида:
  ns-slapd[...]: *** buffer overflow detected ***: /usr/sbin/ns-slapd terminated

Решение

1. Запустить службы КД с опцией --ignore-service-failure:
   sudo ipactl stop && sudo ipactl start --ignore-service-failure
2. Убедиться, что служба Directory Service запущена: sudo ipactl status
3. Отключить расширенный аудит событий службы каталога:
   sudo dsconf -D "cn=Directory Manager" -w "пароль УЗ Directory Manager" ldap://FQDN-имя-контроллера-домена config replace nsslapd-auditlog-logging-enabled=off
sudo dsconf -D "cn=Directory Manager" -w "пароль УЗ Directory Manager" ldap://FQDN-имя-контроллера-домена config replace nsslapd-auditfaillog-logging-enabled=off


Причина

Расширенный аудит событий службы каталога по умолчанию выключен, т.к. создает большую нагрузку на диск. В момент обновления, при выполнении команды ipa-server-upgrade, происходит большое количество операций в минуту, расширенное журналирование каждого события создаёт дополнительную нагрузку, которая приводит к завершению работы службы Directory Service.

Проблема наблюдается также в случае длительного отсутствия репликации между КД, например, по причине недоступности или неработоспособности одного из КД в течение нескольких дней. После того как репликация возобновляется, объём вносимых изменений становится существенным и при включённом расширенном аудите событий службы каталога приводит к завершению работы службы Directory Service.

Дополнительная информация

• ALD Pro - Astra Domain
• Как получить информацию о проблемах в работе ALD Pro?
• Подключение к LDAP через Apache Directory Studio.
• ALD Pro. Пароль суперпользователя LDAP-каталога Directory Manager.
• Не запускается служба ipa.service после обновления ОС на контроллере домена ALD Pro.
• Ограничения ALD Pro. Часть 1.
• ALD Pro. Проблемы репликации.

Дата последней правки: 2025-05-30 10:16:19