Discussion :

[happyman20]

Bonjour à tous,
J'espère que vous allez bien.
Je fais face à un problème des lenteurs de chargement d'un portail web ~5s (il s'agit d'une solution Sharepoint).
la communication passe depuis un serveur Frontal (IIS) dans une zone DMZ avec plusieurs couches de sécurité (Firewall) et un serveur BD dans une autre zone avec une couche de sécurité aussi (un Firewall).
J'ai essayé de tracer le temps de réponse entre ces deux serveurs via Wireshark (Cf.PJ), mais rien de conrcret, je ne peux pas visualiser le temps de réponse des équipements réseau (Ex les firewall).

Pouvez-vous m'aider SVP à bien mener mon diagnostique pour justifier la source de ces lenteurs, toute suggestion, proposition est la bienvenue.

PS: les deux serveurs sont des VMs dans Hyper-v.

Bien à vous.

[happyman20]

Bonjour,
possible d'avoir un retour SVP, j'ai besoin de votre aide.

Crdt

[jaffommopeff-9757]

Bonjour,

Commence par couper la poire en deux : regarde, via un ping, de ton temps de réponse vers ces serveurs (attention, les serveurs Windows bloque le ping par défaut).
Si ton ping est bas (- de 50ms) tu as un problème applicatif, sinon, c'est ton réseau.

Si c'est applicatif : serveur surchargé, sharepoint qui s'emmêle ... il reste possible que ton firewall ralentisse le truc si il analyse. Passe en https, les pare-feu ne peuvent (presque) pas ouvrir ce trafic et tu verra ce qui ralentit.
Globalement, regarde que tes serveurs ne sont pas surchargé (serveurs virtuelles ET serveurs physiques), puis installe les mise à jour. Tu peux toujours tout réinstaller à partir d'une base saine.
Il est aussi possible que tes disques durs saturent (en taille et en débit) et que les accès soit particulièrement lent. Tu as un SAN (storage area network) ?

Si c'est ton réseau : switch ou pare-feu surchargé, bagot de routage, boucle ... => utilise traceroute pour déterminer l'élément qui ralentit.

Bonne journée !

[shinmaki]

Bonsoir,

Ce qui est encadré se passe en ~100 ms ; ce qui est loin des 5 s dont tu parles ! La capture ne montre que le flux dans un sens et uniquement le TCP. Peux-tu préciser s'il s'agit de 5 s de délai à partir du moment où tu as entré l'URL ou à partir de l'ouverture de connexion TCP ? Il se pourrait que la réponse DNS tarde à arriver côté client ou que le serveur demande une résolution inverse. Le mieux est de refaire la capture de trames si tu n'as pas le reste. Sinon, il y a quelques retransmissions mais elles sont réalisées rapidement. Mais je me demande pourquoi le MSS est à 1380 et le bit ECN est positionné. C'est la première fois que j'en vois un !! Tu passes par un VPN ? Sinon, il y a une option I/O graph qui permet de voir la courbe de trafic.

[happyman20]

Bonjour,
@jaffommopeff-9757: merci pour ton retour.

en effet, je ne peux pas effectuer un test de ping (le ICMP est bloqué) entre le serveur Web et BD.
Au niveau de saturation, j'ai contrôle l'état (CPU, DD et réseau) rien à signaler.

Entre temps, j'ai essayé d'installer un autre serveur Web, dans une autre zone (autre que la DMZ Web), et le temps de réponse est beaucoup plus rapide que le 1er serveur (qu'est dans la Zone DMZ Web).

Conclusion, le temps de réponse change en fonction de la position du serveur dans la zone réseau. La zone DMZ Web, à priori il y a des filtres au niveau Firewall qui causent un retard pour checker le contenu de la plage.


@shinmaki: Merci aussi pour ton retour, notamment ta remarques pour le MSS (je passe en mode RDP pour lancer le Wireshark dans le serveur).


Regards.

[jaffommopeff-9757]

La zone DMZ Web, à priori il y a des filtres au niveau Firewall qui causent un retard pour checker le contenu de la plage.

Prend le temps de vérifier cette théorie : tu désactive les règles une par une pour vérifier laquelle rajoute temps de temps. Quand tu trouve, tu peux te poser la question de son l'utilité et aménager les choses en conséquence si nécessaire.

[Ikoula.community]

Bonjour,

Tu obtiendrais peu être plus d’informations avec un traceroute.
Pour croiser les données l'idéal serait de le faire depuis ton poste vers le serveur ET depuis le serveur vers ton poste.

[jaffommopeff-9757]

Tu obtiendrais peu être plus d’informations avec un traceroute.

Il ne faut pas oublier que le traceroute utilise le ping. Si tu veux un résultat complet, il te faudra autoriser l'ICMP de bout en bout.

[happyman20]

@Ikoula.community : Merci pour ton aide.

Malheureusement, pour faire un tracert vers le serveur, il faut passer à travers un équipement qui gère niveau3, or, le flux passe via deux switch vers un firewall, du coup, la commande ne permet pas de tracer les sauts.

@jaffommopeff-9757: Merci pour ton retour.

Le ping est déjà activé.

[Ikoula.community]

@happyman20 pour les besoins du debug tu ne peux solliciter les personnes qui gèrent les firewalls pour laisser passer un traceroute, ah moins que le matériel utilisé ne le permette pas (settings en dur non modifiables) ?

[jaffommopeff-9757]

Dans tout les cas, tu la vus, c'est bien ton pare-feu qui pose problème. Il te faut comprendre pourquoi : fonctionnalité, occupation, ...