jtb.blog

Bei meinem Arbeitgeber haben wir ein redundantes OpenLDAP-System aufgebaut.
Klar - wenn der LDAP-Dienst nicht verfügbar ist, wäre quasi das gesamte Netzwerk lahmgelegt. Angefangen von auf der Hand liegenden Diensten wie Mailserver, Webserver, Anmelden an vielen Rechnern usw. hängen noch weitere Dienste am LDAP - zum Beispiel DHCP.

Dank der Replikation und DNS Round-Robin Einträge eigentlich kein Problem.
Nur beim letzten Ausfall zeigte sich mal wieder Murphy. Alle LDAP-Server waren online und reagierten noch auf TCP-Verbindungen - nur reagierten nicht auf das LDAP-Protokoll...

Die Ursache war recht trivial - der zentrale Syslog-Server war ausgefallen. Nachdem auf allen Servern der lokale Zwischenspeicher vollgelaufen ist, hingen alle Prozesse beim Schreiben von Lognachrichten...

Das wäre natürlich nicht passiert wenn man die Syslog-Nachrichten einfach per UDP ohne Zuverlässigkeit an den zentralen Syslog-Server schicken würde - aber wer will schon Syslog-Nachrichten verlieren?


Dennoch bin ich irritiert, dass wir mit syslog-ng soviele Probleme haben. Immer mal wieder hängt der syslog-ng Prozess auf einzelnen Servern. Wenn es dann mal den zentralen Server erwischt, wird es unangenehm...