服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

指定除“来自”域之外的DKIM签名者

几个月前,我为我的三人公司实施了SPF / DKIM / DMARC。 试用期过后,我将DMARC切换到“p =拒绝”,这样,如果邮件在SPF / DKIM失败时被拒绝。 一般来说,它的工作原理是:我们的电子邮件通过,根据DMARC报告的数据,试图伪造来自我们的域名的垃圾邮件的电子邮件被拒绝。 服务器是Ubuntu / Postfix。 唯一不行的是,对于日历,我们一直在使用带有Google帐户的Google日历和我们的工作电子邮件(与我们的公司域名,而不是Gmail地址)。 当我们其中一个人与Google与Google Apps代pipe的电子邮件地址的与会者创buildGoogle日历邀请(在Google网站上或通过Thunderbird / Lightning with Google Calendar提供)时,Google会拒绝我们的邀请电子邮件。 来自Google代表Google应用托pipe的域名的反弹消息表示拒绝是基于我的域名的DMARC政策: Google试图传送您的讯息,但遭到aspmx.l.google.com的收件人网域[Google Apps托pipe域名移除]服务器的拒绝。 其他服务器返回的错误是:由于域的DMARC策略,未接受来自[My Company's Domain Removed]的未经身份validation的电子邮件。 如果这是一个合法的邮件,请联系[My Company's Domain Removed]域的pipe理员。 下面是google.com的(大概)有效的DKIM签名。 换句话说,谷歌拒绝将自己的DKIM签名的电子邮件作为垃圾邮件,因为这不是我的DMARC政策所说的。 但我无法弄清楚如何使我的DMARC政策说不然。 对于SPF,我可以将Google指定为有效的发件人。 但是我找不到任何方法来为DKIM做这件事:我可以在我的DKIMlogging中写道:“如果它有一个有效的Google DKIM签名,那不是垃圾邮件。 这样的事情存在吗? 一种授权除“发件人”域以外的另一个DKIM签名者的方法?

安全降级域控制器?

背景 试图降级Windows 2012域控制器时,遇到以下警告: 没有其他域控制器可以联系,但其他域控制器对象在目录中。 如果您确定这是域的最后一个域控制器并且想要继续,请确认这是该域中的域控制器。 但是,这不是域的最后一个域控制器。 如果我检查Force the removal of this domain controller我会收到警告: 除非这是域中的最后一个域控制器,否则必须在删除后手动执行元数据清理。 题 如何安全降级此域控制器? 为什么它声称它不能联系其他域控制器? 用“手动”元数据清理强制删除有多安全? 更新 追踪来自dcdiag消息,我发现当前拥有PDCeangular色的其他DC没有任何SYSVOL共享,并且\Windows\SYSVOL\sysvol\domain.example.com为空。 我相信这是造成这个问题的原因,但我不确定如何继续。 更多细节 DomainMode:Windows2012Domain ForestMode:Windows2003Forest 此域控制器是域的第一个域控制器,因此具有InfrastructureMaster,PDCEmulator和RIDMasterangular色。 但是,在进行任何降级尝试之前,这些angular色都使用Move-ADDirectoryServerOperationMasterRole转移到另一个域控制器,而没有明显的事件发生。 域控制器是一个全局编录和一个AD DNS服务器,就像其他域控制器一样,它现在拥有FSMOangular色,森林的域控制器也是如此。 其他域控制器上不会触发相同的警告。 repadmin /replsummary显示没有明显的问题。 没有定制Windows防火墙。 域控制器在同一个VLAN上,并且没有沿其path应用特定于接口的ACL。

将Win 2008 R2 DC添加到Win 2000 Server域

我正在将我们的活动目录环境从Windows 2000服务器迁移到新的Windows 2008 R2服务器。 我准备好了我们的Windows 2000域,并升级了架构,以便我可以将DCangular色添加到Windows 2008服务器。 我可以复制这两个服务器之间的变化,但我有一个问题复制sysvol目录到新的Windows 2008服务器。 我已经尝试通过停止ntfrs&netlogon服务强制复制,并在相应的服务器上的registry中设置D4&D2标志,并重新启动这两个服务。 ( http://support.microsoft.com/kb/315457 ) sysvol和netlogonnetworking共享都存在于Windows 2008服务器上。 我们使用绑定9作为我们的内部DNS,但是这两个服务器上都运行着dns。 Windows 2000服务器指向绑定9服务器的主要和本身的辅助。 Windows 2008服务器指向相同的绑定9服务器的主要和本身的辅助。 另请注意:我没有将任何模式angular色移到Windows 2008 R2服务器上。 当我在W2008服务器上运行“dcdiag”时,所有的testing都通过了,而且我只收到错误信息,说明事件日志中存在与GPO有关的问题: 组策略的处理失败。 Windows尝试从域控制器读取文件\ mydomain.com \ sysvol \ mydomain.com \ Policies {GUID已删除} \ gpt.ini,但未成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:发生错误事件。 EventID:0x00000422 任何build议将不胜感激!!! -麦克风

Windows GPO软件限制策略不能与%TEMP%variables一起使用

我试图通过限制* .exe在less数几个位置的执行,特别是各种压缩工具解压到的临时文件夹,当用户可能select打开可执行文件直接从一个Zip文件。 从TechNet文章http://technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx : 您可以在path规则中使用环境variables。 由于path规则是在客户端环境中进行评估的,因此使用环境variables(例如%Windir%)的function允许规则适应特定用户的环境。 … path规则可以包含? 和*通配符,允许诸如“* .vbs”的规则匹配所有的Visual Basic脚本文件。 以下示例说明了通配符的使用: “\ DC – ?? \ login $”匹配\ DC-01 \ login $,\ DC-02 \ login $ “* \ Windows”匹配C:\ Windows,D:\ Windows,E:\ Windows “c:\ win *”匹配c:\ winnt,c:\ windows,c:\ windir 我有这些path规则(我已经应用了单一和各种组合): %APPDATA%\*.exe %APPDATA%\*\*.exe %LOCALAPPDATA%\*.exe %LOCALAPPDATA%\*\*.exe %TEMP%\*.exe %TEMP%\7z*\*.exe %TEMP%\wz*\*.exe %TEMP%\Rar*\*.exe …理论上应该代表用户临时文件夹下的可执行文件,以及以Winzip,WinRAR和7-zip命名临时文件夹(例如%TEMP%\7zSF20.tmp\the_file.exe的方式命名的临时文件夹中的可执行文件)。 %APPDATA%和%LOCALAPPDATA%工作; %TEMP%的人没有。 可执行文件似乎在%TEMP%下被阻止,但这只是因为在默认设置下,它们也与%LOCALAPPDATA%\*\*.exe规则相匹配(默认情况下Temp为AppData \ Local)。 我原本以为这是在部分文件夹名称通配符的问题,但它显示这是特定于使用%TEMP%variables(因此重写)。 […]