服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器
我最近一直在考虑DNS的TTL。 我们有Alogging我们的服务器,然后CNAMElogging面向客户的名字。 例如,www.example.com CNAME指向server-01.example.com。 如果发生故障,我们将CNAME和Alogging的TTL设置为15分钟。 但是,我觉得这可能不是最佳的。 当然应该是Alogging是48小时,CNAME是15分钟。 发生故障时,CNAME只会被指向server-02.example.com。 Alogging(在理论上应该很长时间地被高速caching,因为我们使用CNAME作为切换器)。 环顾互联网,我发现许多人的CNAME长,Alogging短: CNAME和Alogging有不同的TTL。 哪一个会被caching? 这似乎与任何人想要的相反。 问题是,DNS是否按照我希望的方式工作,因为如果我需要快速切换服务器,CNAME请求TTL是非常重要的。
我有一个VPN服务器处理各种客户端; 一些仅使用ipv4,一些使用ipv4和ipv6,一些仅使用ipv6。 其中一些客户端正在漫游,所以理想情况下,他们应该连接到ipv6(如果可用),如果不是,则返回到ipv4。 在我目前的设置中,OpenVPN监听ipv4和ipv6: proto udp proto udp6 dev tun 我的第一个问题在这里:虽然这似乎工作,这是安全和正确的两个原型在一个configuration文件? 我的客户在configuration中有两个远程实例: remote vpn.domain.tld port udp6 remote vpn.domain.tld port udp 我的问题也在这里,因为这似乎工作(首先尝试udp6,如果失败将回落到udp),这是一个很好的方法来做到这一点?
我怎样才能重置我的DC密码? 我能够以目录服务还原模式login到服务器。 我试图从那里拉起AD DS用户和计算机,但似乎没有加载任何关于域用户的信息。
完全向前保密是对SSL / TLS通信的重要增强,有助于防止捕获的SSLstream量被解密,即使攻击者拥有私钥。 支持Web服务器非常简单,但也适用于任何其他SSL上下文,如用于SMTP,POP3和IMAP的邮件服务器。 最近(2014年9月),这个数据保护机构已经开始在德国开展业务,在那里数据保护机构已经开始检查和罚款那些不支持邮件服务器上的PFS的组织 ,还有心跳和贵宾犬漏洞。 Web浏览器中的PFS支持有点不统一,虽然所有主要的支持它 – 但是我正在寻找邮件服务器和客户端上的PFS兼容性信息,理想的情况是SSL Labs的握手testing提供的,但对于邮件服务器。 任何人都可以提供或指向我的邮件服务器PFS兼容性的良好来源? 为了澄清,我不想询问特定的服务器,而是在各种不同的服务器上查看这种testing的结果,例如,知道Outlook 2003不支持ECDHE或Android 2不允许大于2048位的DH参数(我不知道这些是否为真,它们只是例子)。 这样做的好处是要知道,如果我select禁用某些特定的密码,哪些客户端可能会受到影响,就像SSL实验室testing为Web客户端显示的一样。
通过systemctl运行haproxy与手动运行haproxy不同 。 手动启动,一切正常。 从systemctl开始,haproxy无法find它所代理的服务,并用503来回答。 这是通过systemctl启动时的输出: > sudo systemctl status -l haproxy.service haproxy.service – HAProxy Load Balancer Loaded: loaded (/usr/lib/systemd/system/haproxy.service; enabled) Active: active (running) since Wed 2014-12-24 08:08:49 EST; 4min 59s ago Main PID: 20307 (haproxy) CGroup: /system.slice/haproxy.service └─20307 /usr/sbin/haproxy -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid Dec 24 08:08:49 localhost.localdomain systemd[1]: Starting HAProxy Load Balancer… Dec 24 08:08:49 […]
我是Linux和rsyslog的新手。 我已经使用了多年的日志文件,但我从来没有设置一个。 在这一点上,我有一些概念设备指向我的Debain Linux服务器。 我有系统日志消息进入和写入到一个单一的文件:/ var / log / prd / fwlog我只关心3种设备types – 交换机,路由器和防火墙。 (所有思科)我的rsyslog.conf是相当简单的,我只修改了基本的configuration,评论了我不喜欢/需要的东西? 剔除注释掉的东西。 $ModLoad immark # provides –MARK– message capability $ModLoad imudp $UDPServerRun 514 $FileOwner root $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $WorkDirectory /var/spool/rsyslog $IncludeConfig /etc/rsyslog.d/*.conf *.* /var/log/prd/fwlog 最后我的问题! 我想旋转和分离路由器和交换机在一个日志中的日志,称为'rslog-YYYY-MM-DD'也是防火墙到一个日志的日志,名为'fwlog-YYYY-MM-DD' 我想在48小时后压缩(gzip?)日志。 我需要添加到我的configuration? 我想我把目录和文件添加到/etc/logrotate.d/rsyslog中的rsyslog中 /var/log/syslog { rotate 7 daily missingok notifempty […]
试图使用Zend的邮件smtp发送来自我的PHP应用程序loginauthentication的电子邮件,并给我这个不断的错误,我不必处理我在这里查看de-36问题在serverfault.com上更改参数,因为他们解释没有成功。 数据: 我的POSTFIX版本2.6.6 我在Centos 6.5上 我试图用Dovecot-sasl来使用Postfix和Dovecot 我的用户是虚拟创build的 我可以通过端口25和587上的telnet发送邮件 5000是我的POSTFIX用户 我正在testing我的应用程序(如果有帮助的话)在bl.spamcannibal.org上列出b.barracudacentral.org pbl.spamhaus.org和zend.spamhaus.org 我的ip服务器没有列出 telnet到587是这样的: Trying ::1… telnet: connect to address ::1: Connection refused Trying 127.0.0.1… Connected to localhost. Escape character is '^]'. 220 mail.mydomain.com ESMTP Postfix ehlo localhost 250-mail.mydomain.com 250-PIPELINING 250-SIZE 10485760 250-VRFY 250-ETRN 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN testing我的ssl: openssl s_client -starttls smtp -crlf -connect […]
Hello Server 错误 , 我为一家使用192.168.0.0/23(在我到达之前)build立networking的医院工作。 我们希望笔记本电脑和移动客户端使用VPN从远程位置连接,但医院networking与大多数家庭路由器相冲突。 我向pipe理层施加压力让我们有时间去改变它,但是到处都是服务器/设备等的医院,这是不可能安排的。 所以我们通过使用10.22.0.0/23的1:1 nat来“解决”这个问题。 问题:客户端可以使用10.22.0.0/23 IP连接和访问资源,但是如果他们查询DNS服务器,则会收到192.168.0.0/23响应。 如果查询起源于VPN子网,BIND中是否有正确的方法将这些dynamic地转换为10.22.0.0/23地址? 强调正确的,因为我有它通过在cron中使用以下BIND视图工作: sed -e 's/192.168.0./10.22.0./' -e 's/192.168.1./10.22.1./' /var/lib/bind/db.company.local > /var/lib/bind/db.company.local.ext && /usr/sbin/rndc reload company.local in extView 这很好,但由于BIND日志需要大约15分钟的时间才能写回db.company.local文件,所以会延迟15到20分钟。 我已经读了一些关于RPZ的信息,但是这些信息似乎很多。 任何人都可以指向正确的方向吗? 如果没有,你可以让我的解决scheme更优雅? 编辑:我只想说清楚,我已经使用BIND的意见,但我做了两个区域。 我从第一个生成第二个区域,通过sed发送它来更改IP,然后在该视图中的该区域执行rndc重新加载。 这有一个很大的延迟,有没有办法在两个视图中使用相同的区域文件,并在查询时改变DNS响应? 谢谢!
我们正在更换Clariion CX320 SAN,因为它已经过时了(7.5岁)。 否则它是非常可靠的。 是的,我们已经更换了很多磁盘,电池模块,甚至可能是其中一个控制器,但是故障率并不是很高 – 可能每九个月大概一次。 新的SAN是具有类似性能特征(IOPS,networking等)的均衡逻辑。 即使这个技术真的没有什么新的变化(除非我们想要10gignetworking或者SSD磁盘,我想这样做却不能certificate花了两倍的代价)。 我认为大的变化可能就是价格点,当时我们为CX3支付了40k,而类似设置的价格也是这个价格的一半。 我想把CX3-20保留在生产中,但是我不得不提出一些情况,这个东西应该能够在没有高成本的情况下再活4-5年。 我们不得不从EMC以外的地方采购部件,因为这是非常耗时的(实际上这并不是坏事,因为第三方部件非常便宜,唯一的缺点是需要1-2天的时间才能获得部件,而不是同一天在几小时内)。 所以问题是:有没有人真的把这些东西运行了12年,并且像以前一样坚如磐石? 失败率应该是随着时间的推移,但我没有看到它发生。 我们有3个7岁以上的SAN。 我们在2-5岁时遇到了问题,但过去的2.5年并不糟糕。 也许在3 7+年以前的SAN中,我们已经replace了总共4个磁盘。 我知道,在与经销商/供应商交谈时,有很多人运行“很多这样的报废”SAN,但我永远不能和他们背后的人交谈。 他们是否经常头疼,但他们正在运行这个东西的橱柜,他们不能certificate升级的成本? 或者他们可能是托pipe公司,他们无法承受迁移虚拟机的停机时间……或者这些东西真的是稳定的,如果你维护它们,它们将永远持续下去,而“报废”只是EMC的推动方式我们买新的装备?
在我的Microsoft活动目录环境中,几乎每个组织结构都是一个组织单位。 这个规则有两个常见的例外,Computers对象和Users对象。 这些是安装Active Directory时创build的默认对象。 每当我读到关于这些对象的任何信息时,我都被告知他们使用“容器名称”来向后兼容。 据我所知,这些对象是在主动目录安装的时候configuration的。 我的主要问题是这样的: 如果您转换为使用OU的这些对象会破坏什么? 我认为唯一的方法是创build新的OU,redirect活动直接使用这些新的OU,然后删除旧的CN对象。 我意识到这不是一个推荐的程序,但我想知道为什么。 奖金问题 活动目录开发人员是否给出了为什么“计算机和用户”对象是使用CN创build而不是正常OU的原因? 甚至有可能删除默认的对象?