17-12-2019, 02:34 PM
Hallo Zusammen,
Produktinformation ASG-RD: Version 12.0.6504.1 (ASG-RD 2019 - Patch 6)
Produktinformation Thycotic Secret Server: 10.7.00000059
Architektur-Applikation: Windows Server 2019, 8 CPU á 2,2 Ghz, 32 GB RAM
Architektur-Applikation: Windows Server 2019, 4 CPU á 2,2 Ghz, 32 GB Ram. MSSQL Server 2017 - Standard
Sachverhalt:
Unserer Kollegen verwenden ASG-RG und synchronisieren sich mit dem Plugin Thycotic Secret Server. Beim Sync. werden immer alle Ordner und verfügbaren Secrets gemäß Userberechtigung von ASG ausgelesen. Da die Kollegen am Tag arbeiten und immer wieder frische (neu angelegte) Secrets brauchen und an neu aufgebaute Server/Verbindungen im ASG konfigurieren, läuft bei vielen Kollegen der Thycotic-Sync via Aufgabenplanung stündlich.
Jetzt hat sich herausgestellt, dass der Thycotic-Applikationsserver täglich auf nahezu Volllast läuft und der RAM nach nur wenigen Tagen (zwischen 3 und 7 Tagen) voll läuft. Nur durch einen App Restart ist Thycotic noch zu verwenden. Währenddessen langweilt sich die Datenbank. Zudem ist die Thycotic Datenbank in den letzten 4-6 Wochen von 20 auf 120GB angewachsen, ohne das merklich mehr Secrets hinterlegt wurden.
In den Logs von Thycotic sehe ich, dass am 16.12.2019 in der Zeit von 6:00 und 17:00 Uhr insg. 215.000 (von insg. 230.000) Einträge protokolliert wurden. Via SQL der SecretAudits habe ich auf die Action "WEBSERVICEVIEW" & "WEBSERVICE PASSWORD DISPLAYED" gefiltert. Diese beiden Actionen werden beim Synchronisieren simultan für jedes Secret geloggt.
-> Da mehrere User auf die Secrets zugriffsberechtigt sind, treibt dieses Sync-Verhalten unsere Auditlogs ad absurdum und die Performance wird dadurch beeinträchtigt.
Fragen:
1) Warum muss ASG die Passwörter überhaupt einsehen beim Sync. // Gibt der Thycotic Webservice das nicht anders her oder ist das die ASG-RD Plugin Logik? -> Jedenfalls würde sich dadurch das Log-Aufkommen halbieren.
2) Mir ist aufgefallen, dass ASG-RD die Credentials/Secrets irgendwie zwischenspeichert? Ich kann zwar nicht sagen wie lange und wann, aber es werden bspw. beim Verbinden mit einem Server keine weiteren Webservice Calls abgesetzt (gemäß Log).
3) Haben auch andere ein ähnliches Setup und haben schon einen Weg gefunden, wie mit diesem Thycotic Performance Problem umgegangen werden kann?
Wunsch:
Ich würde mir wünschen, dass das ASG-RD Thycotic Plugin lediglich die Thycotic Ordnerstruktur und die Secret Namen synchronisiert. Diese geladenen Objekte kann ich an meine Verbindungen hängen und ggf. innerhalb meiner ASG-RD Datenbank für alle verfügbar machen. Erst sobald eine Verbindung mit Thycotic Credentials aufgerufen wird, sollten die Webservice Calls "Get Passwort" aufgerufen werden. Grob umfasst, möchte ich gerne, dass unsere AuditLogs so geführt werden, dass nur tatsächliche Passwort-Aufrufe protokolliert werden und allgemein die Request Anzahl auf ein Minimum reduziert wird.
Produktinformation ASG-RD: Version 12.0.6504.1 (ASG-RD 2019 - Patch 6)
Produktinformation Thycotic Secret Server: 10.7.00000059
Architektur-Applikation: Windows Server 2019, 8 CPU á 2,2 Ghz, 32 GB RAM
Architektur-Applikation: Windows Server 2019, 4 CPU á 2,2 Ghz, 32 GB Ram. MSSQL Server 2017 - Standard
Sachverhalt:
Unserer Kollegen verwenden ASG-RG und synchronisieren sich mit dem Plugin Thycotic Secret Server. Beim Sync. werden immer alle Ordner und verfügbaren Secrets gemäß Userberechtigung von ASG ausgelesen. Da die Kollegen am Tag arbeiten und immer wieder frische (neu angelegte) Secrets brauchen und an neu aufgebaute Server/Verbindungen im ASG konfigurieren, läuft bei vielen Kollegen der Thycotic-Sync via Aufgabenplanung stündlich.
Jetzt hat sich herausgestellt, dass der Thycotic-Applikationsserver täglich auf nahezu Volllast läuft und der RAM nach nur wenigen Tagen (zwischen 3 und 7 Tagen) voll läuft. Nur durch einen App Restart ist Thycotic noch zu verwenden. Währenddessen langweilt sich die Datenbank. Zudem ist die Thycotic Datenbank in den letzten 4-6 Wochen von 20 auf 120GB angewachsen, ohne das merklich mehr Secrets hinterlegt wurden.
In den Logs von Thycotic sehe ich, dass am 16.12.2019 in der Zeit von 6:00 und 17:00 Uhr insg. 215.000 (von insg. 230.000) Einträge protokolliert wurden. Via SQL der SecretAudits habe ich auf die Action "WEBSERVICEVIEW" & "WEBSERVICE PASSWORD DISPLAYED" gefiltert. Diese beiden Actionen werden beim Synchronisieren simultan für jedes Secret geloggt.
-> Da mehrere User auf die Secrets zugriffsberechtigt sind, treibt dieses Sync-Verhalten unsere Auditlogs ad absurdum und die Performance wird dadurch beeinträchtigt.
Fragen:
1) Warum muss ASG die Passwörter überhaupt einsehen beim Sync. // Gibt der Thycotic Webservice das nicht anders her oder ist das die ASG-RD Plugin Logik? -> Jedenfalls würde sich dadurch das Log-Aufkommen halbieren.
2) Mir ist aufgefallen, dass ASG-RD die Credentials/Secrets irgendwie zwischenspeichert? Ich kann zwar nicht sagen wie lange und wann, aber es werden bspw. beim Verbinden mit einem Server keine weiteren Webservice Calls abgesetzt (gemäß Log).
3) Haben auch andere ein ähnliches Setup und haben schon einen Weg gefunden, wie mit diesem Thycotic Performance Problem umgegangen werden kann?
Wunsch:
Ich würde mir wünschen, dass das ASG-RD Thycotic Plugin lediglich die Thycotic Ordnerstruktur und die Secret Namen synchronisiert. Diese geladenen Objekte kann ich an meine Verbindungen hängen und ggf. innerhalb meiner ASG-RD Datenbank für alle verfügbar machen. Erst sobald eine Verbindung mit Thycotic Credentials aufgerufen wird, sollten die Webservice Calls "Get Passwort" aufgerufen werden. Grob umfasst, möchte ich gerne, dass unsere AuditLogs so geführt werden, dass nur tatsächliche Passwort-Aufrufe protokolliert werden und allgemein die Request Anzahl auf ein Minimum reduziert wird.