服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器
我们有在Windows Server 2008上运行的Exchange 2007服务器。我们的客户端使用另一个供应商的邮件服务器。 他们的安全策略要求我们使用强制的TLS。 这工作很好,直到最近。 现在,当Exchange尝试将邮件传递到客户端的服务器时,它会logging以下内容: 我们无法build立与连接器“默认外部邮件”上的域安全域“ourclient.com”的安全连接,因为我们对ourclient.com的传输层安全性(TLS)证书的validation失败,状态为“UntrustedRoot”。 联系ourclient.com的pipe理员来解决问题,或从域安全列表中删除域。 从TLSSendDomainSecureList中删除ourclient.com会使消息以机会TLS成功传递,但这是一个临时解决方法。 客户是一个非常庞大,安全敏感的国际公司。 我们的IT联系人声称不知道他们的TLS证书有任何变化。 我已经多次询问他是否需要确定生成证书的权限,以便我可以排除validation错误,但是迄今为止他一直无法提供答案。 据我所知,我们的客户可能已经用有效的TLS证书replace了内部证书颁发机构的证书。 有没有人知道一种方法来手动检查远程SMTP服务器的TLS证书,就像在Web浏览器中对远程HTTPS服务器的证书所做的那样? 确定谁颁发证书并将其与Exchange服务器上受信任的根证书列表进行比较可能非常有帮助。
HTTP头X-Forwarded-For的维基百科描述是: X-Forwarded-For:client1,proxy1,proxy2,… 指令real_ip_header的nginx文档部分读取: 该指令设置用于传送replaceIP地址的标题的名称。 在X-Forwarded-For的情况下,该模块使用X-Forwarded-For报头中的最后一个 IP进行replace。 [强调我的] 这两个描述看起来不一致。 在我们的场景中, X-Forwarded-For头部与描述的完全相同 – 客户端的“真实”IP地址是最左边的条目。 同样,nginx的行为是使用最右边的值 – 显然,这只是我们的代理服务器之一。 我对X-Real-IP理解是,它应该被用来确定实际的客户端IP地址 – 而不是代理。 我错过了什么,或者这是一个在Nginx的错误? 而且,除此之外,有没有人有任何build议如何使X-Real-IP头显示最左边的值,如X-Forwarded-For ?
众所周知,你永远不应该挂载一个挂载的分区。 我可以理解,如果通过fsck 写入文件系统(例如,使用-a选项),这很容易导致损坏,但是为什么不能在已挂载的磁盘上运行只读检查?
我在一个非常大的(1TB +)ext3磁盘上运行e2fsk e2fsck -v /dev/sda1 从RIPLinux引导与PXE。 我明白了 e2fsck 1.41.6 (30-May-2009) /dev/sda1 contains a file system with errors, check forced. Pass 1: Checking inodes, blocks, and sizes 然后很长的停顿… 我如何得到一些活动的想法? 理想情况下,完成项目总数和某种ETA。
我正在寻找一种将configuration从一台中央机器推送到多台远程机器的方法,而无需在远程机器上安装任何东西。 目标是做像你会发现像cfengine这样的工具,但在一套没有设置代理的机器上。 这实际上可能是在一组现有的远程机器上设置cfagent的好技术。
任务pipe理器显示svchost.exe的整体内存使用情况。 有没有办法查看单个服务的内存使用情况? 注意这与svchost.exe的Finegrained性能报告类似
在我们的团队中,我们有三位经验丰富的Linux系统pipe理员不得不pipe理几十个Debian服务器。 以前我们都使用SSH公钥authentication作为root工作。 但是我们讨论了这种情况下的最佳做法,而且什么都不能达成一致。 每个人的SSH公钥放在〜root / .ssh / authorized_keys2中 优点:易于使用,SSH代理转发工作轻松,开销小 缺点:缺less审计(你永远不知道哪个“根”做出了改变),事故更可能发生 使用个性化帐户和sudo 这样我们就可以使用SSH公共密钥login个性化帐户,并使用sudo以root身份执行单个任务。 另外我们可以给自己一个“adm”组,让我们查看日志文件。 优点:良好的审计, sudo防止我们太容易做愚蠢的事情 缺点:SSH代理转发中断,这是一个麻烦,因为几乎没有任何东西可以做非root 使用多个UID 0用户 这是来自系统pipe理员的一个非常独特的build议。 他build议在/ etc / passwd中创build三个UID为0但login名不同的用户。 他声称这实际上并没有被禁止,并且允许每个人都可以使用UID,但仍然可以进行审计。 优点:SSH代理转发工作,审计可能工作(未经testing),没有sudo麻烦 缺点:感觉很肮脏 – 无法find任何logging在允许的方式 你会build议什么?
我的机器正在不断做出udp DNS的stream量请求。 我需要知道的是产生这种stream量的过程的PID。 TCP连接的正常方式是使用netstat / lsof并获得与pid关联的进程。 UDP是连接状态,所以,当我打电话给netastat / lsof我可以看到它只有当UDP套接字打开,它正在发送stream量。 我已经尝试了lsof -i UDP和nestat -anpue,但我无法find至极的进程正在做这个请求,因为我需要调用lsof / netstat到udpstream量发送时,如果我打电话给lsof / netstat之前/在发送udp数据报之后,不可能查看打开的UDP套接字。 当3/4 udp数据包发送时正好调用netstat / lsof是不可能的。 我怎么能确定臭名昭着的过程? 我已经检查了stream量,试图从数据包的内容中识别发送的PID,但是不能从stream量的angular度来识别它。 任何人都可以帮助我? 我在这台机器上root FEDORA 12 Linux noise.company.lan 2.6.32.16-141.fc12.x86_64#1 SMP Wed Jul 7 04:49:59 UTC 2010 x86_64 x86_64 x86_64 GNU / Linux
这是我从来没有真正能够回答以及我喜欢的东西: 在IIS中使用Kerberos身份validation,而不是NTLM的真正优势是什么? 我看到很多人真的很难成立(包括我自己),而且我还没有拿出一个好的理由来使用它。 虽然有一些非常重要的优势,否则设置它不值得一提,对不对?
我正在build立一个新的MySQL服务器,我想给它一组相同的用户名,允许主机和密码作为现有的服务器(这是消失)。 它会工作只是做一个用户表的转储,然后将其加载到新的服务器上? 有没有比这更好的方法?