服务器 Gind.cn

TrustWave的漏洞扫描程序由于运行RDP的Windows 10计算机而导致扫描失败： 块大小为64位的分组密码algorithm（如DES和3DES）生日攻击称为Sweet32（CVE-2016-2183） 注：在运行RDP（远程桌面协议）的Windows 7/10系统上，应禁用的易受攻击的密码标记为“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。 使用IIS Crypto（Nartac），我尝试应用“最佳实践”模板以及PCI 3.1模板，但是它们都包含不安全的密码（TLS_RSA_WITH_3DES_EDE_CBC_SHA）： 如果我禁用此密码，从这台计算机到许多Windows站点的RDP停止工作（它仍然适用于某些2008 R2和2012 R2服务器）。 RDP客户端只是提供“发生内部错误”和事件日志： 创buildTLS客户端凭据时发生致命错误。 内部错误状态是10013。 我检查了其中一台服务器的服务器事件日志，看到这两条消息 从远程客户端应用程序收到TLS 1.2连接请求，但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 生成以下致命警报：40.内部错误状态是1205。 如何修复安全漏洞而不打破传出的RDP？ 或者，如果上述不可能， 那么在每个RDP主机上我能做些什么，我不能再连接到那个处理它呢？ — 更新＃1 — 在Windows 10机器上禁用TLS_RSA_WITH_3DES_EDE_CBC_SHA后，我尝试连接到几个RDP主机（其中一半失败，出现“内部错误…”）。 所以我比较了一个我可以连接的主机和一个我无法连接的主机。 都是2008 R2。 两者都有相同的RDP版本（支持6.3.9600，RDP协议8.1）。 我通过使用IIS Crypto来对TLS协议和密码进行比较，以对其当前设置执行“保存模板”，以便可以比较模板文件。 他们是相同的！ 所以无论这个问题是不是在主机上缺less一个芯片组套件的问题。 这是一个来自Beyond Compare的文件的屏幕截图： 导致此问题的两台RDP主机之间有什么不同，以及如何解决这个问题？

我目前正在为ISP级公司制定stream量调整解决scheme，并且出现了一个有趣的（仁慈的哲学）问题。 看看系统应该处理的端点数量（大概在20K左右），我有点担心当我需要策略/塑造更多用户的stream量时会发生什么。 因为我正在使用HFSC整形树（请参阅tc-hfsc，大多数情况下HTB更像冷却器），所以我需要使用更多的ClassID（显然每个用户至less有一个networking）。 我发现的问题是，TC ClassID是有限的 – 他们是16位数字，这给我一个可能的最大64k用户由此解决scheme塑造。 同样，如果我想要有效pipe理TCfilter（例如不使用“flush all technique”），我需要能够删除或修改单个filter条目。 （我正在使用类似于LARTC [1]中的哈希表）。 再一次，似乎正在处理这个唯一的方法是使用单独的优先级来编号所有的filter（tc filter add dev … prio 1）。 没有其他的参数可以用于这个目的，可惜的是，prio也是16位的。 我的问题是：是否存在一些扩大可用“标识符空间”的好方法，例如“tc class”命令的32位clsid，以及“tc filter”的32位优先级（或任何其他修改句柄）命令？ 非常感谢， -MK （顺便说一句，我希望这不会去“64K用户应该是足够的每个人”场景…）

戴尔为他们的某些服务器提供了一个附加硬件卡，在两个SD卡之间提供了一个穷人RAID1（一张卡获取所有读取，直到死亡，写入镜像），用于启动一个写入负载非常小的简单操作系统操作系统存储（即ESXi） – 请参阅此处 （警告：PDF链接）。 运行无盘VM主机无需从SAN启动，也不用担心从主机中取出一小笔便宜的闪存故障，这非常棒 – 但是它非常专有，它集成到了支持它的系统的BIOS中。 是否还有类似于此的其他解决scheme，由服务器硬件供应商或其他方式提供（我想象一个定制的USB闪存阅读器与集成的RAID1？），允许两个便宜的小块闪存存储之间的冗余，希望与更好的兼容性比“几个特定的​​戴尔服务器”？

我们用4TB存储作为LVM上的XFS卷来设置一个Linux（它在Amazon AWS上，一个类似于CentOS的系统，尽pipe我们并不完全确定它已经完成了自定义），最终用于通过NFS4服务，目前还没有使用），而且我们正在使用rsync将文件从我们的NFS服务器上的文件同步到XFS卷（即我们的rsync从NFS源到本地安装的基于XFS的LVM卷）。 然而，我们观察到rsync在某一时刻开始变得越来越迟缓（吞吐量急剧下降），并且负载平均和内存消耗都在很大程度上上升（而且CPU在iowait中的比例非常高）。 最后，我重新启动了XFS系统，系统显然恢复了正常，至less在过去的24小时里，更正常的rsync性能。 我们检查了munin监视图并没有注意到任何明显的东西，但是我们发现“inode表大小”和“open inode”度量（检查了指向从/ proc / sys / fs / inode-nr）随时间不断下降。 不久之前，我们观察到rsync卡住了，我们观察到这两个度量值从几十万降低到几千（我们的非XFS服务器大多数时间停留在大约500k，并且在长时间内没有显示任何单调下降的趋势），我们从内核中观察到这样的日志： ip-XX-XXX-XXX-XXXlogin：[395850.680006] hrtimer：中断了20000573 ns Sep 18 17:19:58 ip-XX-XXX-XXX-XXX kernel：[395850.680006] hrtimer：中断了20000573 ns [400921.660046]信息：任务rsync：7919被阻塞超过120秒。 [400921.660066]“echo 0> / proc / sys / kernel / hung_task_timeout_secs”禁用此消息。 [400921.660077] rsync D ffff880002fe4240 0 7919 7918 0x00000000 [400921.660093] ffff8800683e5638 0000000000000282 ffff880000000000 0000000000014240 [400921.660131] ffff8800683e5fd8 0000000000014240 ffff8800683e5fd8 ffff88000726da40 [400921.660153] 0000000000014240 […]

我有一个奇怪的看似shell的问题，在$ PATH中的命令，壳（ksh，运行在Linux上）似乎懦弱拒绝调用。 没有完全排除命令，我得到： # mycommand /bin/ksh: mycommand: not found [No such file or directory] 但可以通过以下方式find该文件： # which mycommand /home/me/mydir/admbin/mycommand 我也明确地看到$ PATH中的目录： # echo $PATH | tr : '\n' | grep adm /home/me/mydir/admbin 在那个位置的EXE似乎很正常： # file /home/me/mydir/admbin/mycommand /home/me/mydir/admbin/mycommand: setuid setgid ELF 64-bit LSB executable, x86-64, version 1 (SYSV), for GNU/Linux 2.6.4, dynamically linked (uses shared libs), […]

最近我遇到了一个致命的固件错误，影响了我数据中心部署的几十个Crucial SSD。 许多受影响的机器使用LSI或其他专有SAS控制器，Crucial的可启动ISO无法识别。 没有受影响的机器有Windows许可证。 其他SSD制造商的故事大致相同，包括三星和英特尔。 为了解决这个问题，我被迫停止每台机器，移除受影响的SSD，从热交换盒中取出SSD，将其暂时安装到我的ThinkPad，刷新固件，反转，冲洗，重复。 通过所有受影响的设备，花了好一天的时间。 我正在寻找硬件，软件和/或采购策略来缓解这种痛苦，因为SSD固件错误似乎是不可避免的，我们的SSD占用空间也在不断增加。 我的第一个想法是得到一台带有eSATA和这些电缆之一的笔记本电脑。 至less应该这样做，所以我不必从他们的球童中删除驱动器。 其他人肯定会遇到这个问题。 任何新的解决scheme

在我们较早的Windows 2003服务器上，我们需要运行索引服务和Windowssearch。 问题是windows.edb文件已经变得相当大。 我想将这些和相关的文件移动到D:\IndexService 。 为此，您可以使用索引选项控制面板小程序的高级选项来更改索引位置： （via：Old New Thing http://blogs.msdn.com/b/oldnewthing/archive/2009/11/18/9923996.aspx ） 我做了以下几点： 停止索引服务，然后停止Windowssearch。 将C:\Documents and Settings\All Users\Application Data\Microsoft\Search的内容复制到D:\IndexService\Search 。 更新了索引服务的高级选项 – >新位置，并指向D:\IndexServicepath，并确定了我的出路，返回控制面板（请参阅上图）。 我重新启动了索引服务和Windowssearch 这似乎没有工作，从windows.edb文件上的时间戳，我可以看到，它仍然是在C:驱动器上的原始位置更新。 我还注意到，如果我打开索引选项控制面板小程序，然后单击高级选项，它仍然表示当前位置在C:并且重新启动服务后将使用新的位置（ d:\IndexService ）。 不过重新启动服务没有任何区别。 任何人都可以指出我错了什么？

我使用iwconfig创build了一个打开的临时wlan（我也和wpa_supplicant有同样的问题）。 networking上有4个节点，如下图所示。 节点运行Ubuntu 12.04和debian挤压，并有3.7.1,3.5和3.2内核。 我使用两个不同的USBencryption狗品牌（TP链接和ZCN），都有AR9271芯片组和ath9k_htc驱动程序（这里是lsusb输出和ethtool输出 ）。 我遇到的问题是有两个节点（ 10.0.0.2和10.0.0.5 ），它们具有TP链接usb wifi dongles可以ping任何networking上的节点，反之亦然。 但是，有ZCN WiFi dongle的其他节点（ 10.0.0.6和10.0.0.7 ）不能互相ping通，但与TP-link wifi模块通信没有问题。 tcpdump显示10.0.0.6和10.0.0.7看不到他们的arp-request，例如 20:37:52.470305 ARP, Request who-has 10.0.0.7 tell 10.0.0.6, length 28 20:37:53.463713 ARP, Request who-has 10.0.0.7 tell 10.0.0.6, length 28 20:37:54.463622 ARP, Request who-has 10.0.0.7 tell 10.0.0.6, length 28 20:37:55.472868 ARP, Request who-has 10.0.0.7 tell 10.0.0.6, length 28 20:37:56.463439 […]

您不能设置Windows DHCP / DHCPv6服务器侦听dynamic地址或所有地址，只有静态地址。 有这个限制的技术原因吗？ 有没有解决办法？ 我的具体情况： 我正在使用路由器通告来configuration此networking中的IPv6主机。 地址前缀是从上游路由器获取的，可以随时更改，恕不另行通知。 所讨论的Windows DHCPv6服务器仅configuration为分发域search列表和其他非地址相关configuration（configuration为无状态模式，不configuration地址）。 DHCPv6服务器可以使用相同的路由器通告来configuration自己的地址，但不会响应请求。 我无法将其configuration为使用静态地址，因为一旦前缀更改，它将会中断。 我知道我可以在这个子网中build立一个ULA，但这是最后的手段（不是答案）。 更新 ：有一个问题是dynamicIPv6路由是否是一个好主意。 即使您的ISP提供静态前缀，我也认为这是必需的。 必须使用它才能从故障转移中快速重新路由，并模仿IPv4 NAT中的伪路由提供的其他function。

在运行多个Windows Server 2008 R2 RDSH服务器场时，我们遇到了RDSH服务器都将其registry臃肿到最大值2048MB的问题。 使用Sysinternals Registry Usage（ru.exe），我们能够确定超过1000MB的三星通用打印机相关密钥所使用的registry。 三星通用打印驱动程序：版本2.3.90 Samsung通用打印驱动程序2：版本2.50.2.0 registry发生膨胀的部分： HKEY_USERS\.DEFAULT\Software\SSPrint\ spe__\ spd__\ ssp6m\ HKEY_USERS\S-1-5-8\Software\SSPrint\ spe__\ spd__\ ssp6m\ 每个这些子项拥有超过500个以上的registry使用情况报告，每个占用30-40MB的密钥。 示例子项： HKU\.default\software\ssprint\spe__\{BCC489E0-E2CA-442B-A5A5-9B849579BE1F} 查看“function”，“MUIData”等键的数据。您可以肯定地告诉他们是三星通用的价值参考三星通用当您查看他们。 从混合服务器中的一台服务器，我试图清理这些键，并能够。 清理“.Default”部分也清理了“S-1-5-18”键，所以我认为这些是registry中的参考链接。 当我这样做的时候，我清除了HKU\.default\Printers\DevModes2 ，因为这部分甚至不能在Regedit中打开。 为了删除我不得不CLI命令删除“DevModes2”键，然后在Regedit中重新创build密钥。 只要我用三星通用打印驱动程序向其部署了一台打印机的帐户login，这些密钥就会开始出现，并使registry膨胀。 由于registry填满了，我们一直在遇到导致临时configuration文件加载的用户configuration文件问题。 当我们禁用临时configuration文件的function时，用户可能会遇到“用户configuration文件服务服务login失败，无法加载用户configuration文件”。 信息。 有没有人遇到过这个问题？ 在三星通用打印驱动程序中是否有一些设置可以防止这种行为，或者在自行清理后进行清理？