Premessa e descrizione dell'environment:
Ho 2 windows server virtuali (1 domain controller win2016 e 1 win2012R2) che dal 2020 fanno backup completi rispettivamente di 200GB e 470GB (sono centinaia di migliaia di files piccoli distribuiti in migliaia di cartelle); questi backup sono giornalieri, settimanali e mensili con Cobian backup 11 verso un DS918+ con un raid5 con 4 dischi WD140EFFX.
Fino a marzo 2020 facevano la copia verso un DS412+ che adesso fa da archivio ed e' per lo piu' spento.
I backup sui server sono schedulati in modo da non sovrapporsi.
Doverosa premessa: il server del domain controller e' alla terza generazione di active directory avendo fatto gia' due volte la DCpromo, partendo dal server originario 2003, passando poi per un 2008 e arrivando infine al 2016 attuale.
Ho notato l'anomalia che vado a descrivere dopo aver aggiornato il 918+ a dsm7 lo scorso settembre e riguarda il solo server windows 2016 che fa da domain controller; il server 2012 sta funzionando bene e continua a fare la sua copia senza apparenti problemi di lentezza.
Nei primissimi giorni successivi all'aggiornamento il backup del server 2016 si e' bloccato completamente e il nas risultava inaccessibile via SMB nonostante non fossero cambiate le credenziali di accesso alle share del nas.
Guardando nei log del nas ho notato subito l'errore
"User from [1x.x.x.x] failed to log in via [SMB] due to [NTLMv1 not permitted]"
Googlando un po' scopro che c'e' una impostazione di sicurezza che si trova in
CRITERI DI SICUREZZA LOCALE -> CRITERI LOCALI -> OPZIONI DI SICUREZZA -> SICUREZZA DI RETE: LIVELLO DI AUTENTICAZIONE DI LAN MANAGER che ha un valore impostato con "INVIA SOLO RISPOSTA NTLM"
Ho controllato e questa stessa identica impostazione sull'altro server 2012 o su server 2016 di altri clienti e' settata su "NON DEFINITA"
Deduco che sia un settaggio probabilmente ereditato dalle vecchie security policy di quando active directory era stata creata e gestita su windows server vecchi (da qui la doverosa premessa di prima).
Ovviamente il DSM7 non accetta piu' le versioni di NTLM vecchie e quindi mi blocca l'accesso. A questo punto faccio la modifica e imposto il valore su NON DEFINITA anche sul server 2016 domain controller e il nas diventa di nuovo immediatamente accessibile e dichiaro risolto il problema dei backup bloccato.
Peccato che poi, dopo un paio di settimane, noto dai report via mail che il backup del domain controller anziche' le solite 4 ore adesso ne impiega 23
o anche piu' per copiare 200Giga circa, andandosi a sovrapporre all'altro backup causando cosi' dei mega ritardi a catena.Faccio subito varie prove di copia manuale usando sia cobian sia windows explorer, sia il copy a riga di comando e il throughput verso il nas e' ridicolmente basso: una delle cartelle da backuppare contiene 1300 files per 150MB e viene copiata a circa 6Mbps/750KBps impiegandoci piu' di 2 minuti. Facendo la prova della stessa cartella copiata dal server 2012 ci impiega 17 secondi con picchi di 100Mbps
Per non rimanere a piedi rimetto in funzione il vecchio DS412+, sposto il backup del server 2016 verso di lui e i backup tornano a 4 ore.
A questo punto mi rimetto ai vostri consigli, se avete notato anomalie di lentezza nella copia files da windows server 2016 dopo aver aggiornato a DSM7 o se avete idea di qualche impostazione da modificare per far tornare la copia da server a nas su valori accettabili.
(
Sono al corrente che esistono sistemi di backup piu' efficienti e l'obiettivo a medio termine e' di arrivare ad usare veeam ma per il momento l'investimento e' rimandato; anche perche' non e' lento cobian, e' proprio lento il server a scrivere sul nas)grazie
