<div dir="ltr"><div><br><br>I am running my set up on AWS cloud, and entropy is low at around 180 .<br><br></div>I plan to increase it bu installing haveged . But, would low entropy by any chance cause this issue of intermittent hang .<br>Also, the hang is mostly observed when registering around 20 clients together<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 19, 2016 at 7:24 PM, Rakesh Rajasekharan <span dir="ltr"><<a href="mailto:rakesh.rajasekharan@gmail.com" target="_blank">rakesh.rajasekharan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>yes there seems to be something thats worrying.. I have faced this today as well.<br>There are few hosts around 280 odd left and when i try adding them to IPA , the slowness begins..<br><br></div>all the ipa commands like ipa user-find.. etc becomes very slow in responding. <br><br></div>the SYNC_RECV are not many though just around 80-90 and today that was around 20 only<br><br><br></div>I have for now increased tcp_max_syn_backlog to 5000. <br></div><div>For now the slowness seems to have gone.. but I will do a try adding the clients again tomorrow and see how it goes<br><br></div><div>Thanks<br></div><div>Rakesh<br></div><br></div>The issues<br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 19, 2016 at 12:58 PM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 18.8.2016 17:23, Rakesh Rajasekharan wrote:<br>
> Hi<br>
><br>
> I am migrating to freeipa from openldap and have around 4000 clients<br>
><br>
> I had openned a another thread on that, but chose to start a new one here<br>
> as its a separate issue<br>
><br>
> I was able to change the nssslapd-maxdescriptors adding an ldif file<br>
><br>
> cat nsslapd-modify.ldif<br>
> dn: cn=config<br>
> changetype: modify<br>
> replace: nsslapd-maxdescriptors<br>
> nsslapd-maxdescriptors: 17000<br>
><br>
> and running the ldapmodify command<br>
><br>
> I have now started moving clients running an openldap to Freeipa and have<br>
> today moved close to 2000 clients<br>
><br>
> However, I have noticed that IPA hangs intermittently.<br>
><br>
> running a kinit admin returns the below error<br>
> kinit: Generic error (see e-text) while getting initial credentials<br>
><br>
> from the /var/log/messages, I see this entry<br>
><br>
>  prod-ipa-master-int kernel: [104090.315801] TCP: request_sock_TCP:<br>
> Possible SYN flooding on port 88. Sending cookies.  Check SNMP counters.<br>
<br>
</span>I would be worried about this message. Maybe kernel/firewall is doing<br>
something fishy behind your back and blocking some connections or so.<br>
<br>
Petr^2 Spacek<br>
<div><div><br>
<br>
> Aug 18 13:00:01 prod-ipa-master-int systemd[1]: Started Session 4885 of<br>
> user root.<br>
> Aug 18 13:00:01 prod-ipa-master-int systemd[1]: Starting Session 4885 of<br>
> user root.<br>
> Aug 18 13:01:01 prod-ipa-master-int systemd[1]: Started Session 4886 of<br>
> user root.<br>
> Aug 18 13:01:01 prod-ipa-master-int systemd[1]: Starting Session 4886 of<br>
> user root.<br>
> Aug 18 13:02:40 prod-ipa-master-int python[28984]: ansible-command Invoked<br>
> with creates=None executable=None shell=True args= removes=None warn=True<br>
> chdir=None<br>
> Aug 18 13:04:37 prod-ipa-master-int sssd_be: GSSAPI Error: Unspecified GSS<br>
> failure.  Minor code may provide more information (KDC returned error<br>
> string: PROCESS_TGS)<br>
><br>
> Could it be possible that its due to the initial load of adding the clients<br>
> or is there something else that I need to take care of.<br>
><br>
> Thanks,<br>
><br>
> Rakesh<br>
<br>
</div></div><span><font color="#888888">--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>