All perguntas(server)

Estamos procurando um novo VPS.

O VPS vem com 1 IPv4 como padrão. Sempre usamos servidores de caixa de metal contendo funcionalidade de servidor de nomes BIND/DNS dentro. Eles tinham 2 IPs distintos (às vezes, lamentavelmente, na mesma máscara de sub-rede).

Pesquisei na internet e, no geral, é muito ambíguo e muito genérico para me dar dicas úteis. No entanto, esta pergunta está próxima do que estou perguntando: Como configurar meus próprios servidores de nomes com um serviço DNS compartilhado no meu VPS

No entanto, isso é de 2012 e também não responde totalmente à minha pergunta;

Acredito que , ao usar DNS em caixas de metal, preciso de dois IPs distintos para o servidor de nomes ns1.server.come ns2.server.comnão consigo ver nenhum indicador claro se isso continua verdadeiro para servidores VPS.

• Minha crença está correta, por exemplo, precisamos ter dois IPs distintos para melhores práticas para a mesma máquina VPS?

Bônus:

• Há algum benefício em ter o segundo/adicional IP do servidor de nomes como IPv6 em vez de IPv4 [no Reino Unido]?

Eu estava configurando um conjunto de réplicas locais do MongoDB que usa x.509 para autenticar membros do cluster, seguindo este guia .

As opções do arquivo de configuração incluíam dois parâmetros:

certificateKeyFile: <path to its TLS/SSL certificate and key file>
clusterFile: <path to its certificate key file for membership authentication>

Parece que o mongoDB (e, presumo, outros serviços semelhantes) oferece a opção de usar certificados/chaves diferentes para comunicação de servidor para cliente e de servidor para servidor (ou seja, interna).

Isso é comum em administração de rede? Se sim, por quê? Quais seriam as armadilhas (se houver) de usar o mesmo certificado para comunicação interna e de cliente ?

Tenho um servidor Apache HTTPS voltado para a Internet current.example.com. Quero renomear o servidor web para nextname.example.com. Também preciso que current.example.com continue funcionando durante a transição. Esta é apenas uma mudança de nome, e o mesmo conteúdo do mesmo local será servido.

Comecei adicionando um ServerAlias ​​às minhas configurações de virtualhost (HTTP e HTTPS). Isso resultou na mensagem "sua conexão não é privada" ao acessar nextname.example.com. Eu esperava que isso ocorresse.

Eu sei que uma (talvez a única?) solução é criar um novo certificado para nextname e criar uma nova configuração VirtualHost.

Mas espero outra solução.

Além disso, percebo que uma nova chave privada não é obrigatória, mas provavelmente é aconselhável, pois já precisaremos de um novo certificado.

Existe uma maneira de configurar para que o certificado possa ser usado/compartilhado por ambos os servidores virtuais ou é necessário um novo certificado para manter o nome antigo?

O que as contagens de token representam na aba de métricas no Azure OpenAI? Eu entendo o que é um token, e que uma contagem de token conta quantos tokens o LLM recebeu (tokens de entrada) e emitiu (tokens de saída), mas não entendo o que o valor no gráfico significa. Por exemplo, é o número de tokens usados ​​em um minuto?

Pessoal... Fiz essa pergunta no site StackExchange e me sugeriram que aqui seria melhor...

Tenho um site nginx que está recebendo muitos acessos para um arquivo inexistente "mydata.html". Esses acessos são registrados no log de acesso do site com códigos de status 301 (ou 302). Gostaria de saber como configurar uma jail Fail2ban que capturará esses acessos e banirá o IP se forem excessivos.

Aqui está um exemplo de registro do arquivo de log:

1.2.3.4 - - [02/Mar/2025:00:00:06 -0700] "GET /MyData.html HTTP/1.1" 301 185 "http://xxx.MySite.com/MyData.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/125.0.0.0 Safari/537.36"

E minha tentativa de um regex para selecionar a entrada ^.*MyData.*HTTP.* 301. Esse regex pode ser modificado para também obter os códigos 302 ou outros?

Alguém pode me dar alguma orientação, sou pior que um iniciante com expressões regex. Obrigado....RDK

Implantei um cluster ceph com quatro nós, e há 4 nós, mas quero apenas 3. Se eu excluir o 4º nó, ele retorna automaticamente após a reinicialização.

como faço para removê-lo para que não volte, estou usando o cephadm para implantar o ceph

esta é a ceph mon dumpsaída

epoch 14
fsid 383f1e64-f5a6-11ef-93f3-112a7d71c1d4
last_changed 2025-02-28T11:18:59.890169+0000
created 2025-02-28T07:34:26.733991+0000
min_mon_release 17 (quincy)
election_strategy: 1
0: [v2:10.10.20.4:3300/0,v1:10.10.20.4:6789/0] mon.ceph1
1: [v2:10.10.20.6:3300/0,v1:10.10.20.6:6789/0] mon.ceph2
2: [v2:10.10.20.5:3300/0,v1:10.10.20.5:6789/0] mon.ceph3
3: [v2:10.10.20.7:3300/0,v1:10.10.20.7:6789/0] mon.ceph4
dumped monmap epoch 14

Tenho um host virtual que redireciona não-www para www via SSL:

<VirtualHost *:443>
  ServerName example.com
  Redirect / https://www.example.com/
  # Do I need to include SSL configuration here?
</VirtualHost >

# Main Site
<VirtualHost *:443>
  ServerName www.example.com
  Redirect / https://www.example.com/
  # Rest of the configurations including SSL
</VirtualHost >

Preciso incluir a configuração SSL e os certificados no primeiro bloco vhost que só faz redirecionamento? Se eu omitir a configuração SSL no primeiro bloco vhost, o redirecionamento e o site ainda funcionam bem, então por que preciso colocar os certificados SSL no primeiro bloco vhost?

Parece que isso deveria ser fácil, mas não estou lembrando como fazer isso. Cada cliente sempre recebeu acesso a diferentes recursos (geralmente sub-redes) no servidor por meio do arquivo CCD que corresponde ao nome da conexão. Eu geralmente crio túneis "divididos" - especificando que apenas certas sub-redes privadas ou servidores sejam acessados ​​por meio do túnel por meio dos comandos push "route ..."

Em um computador, assumindo que eu tenha privilégios de administrador, eu manipulo as coisas adicionando uma rota específica para o endpoint através do gateway local, então excluindo a rota padrão, então adicionando uma rota padrão através do túnel. Tudo, EXCETO o endpoint (e quaisquer outras rotas específicas no cliente) é roteado através do túnel.

Existe um comando push de arquivo CCD que eu possa usar para fazer isso? Talvez onde as palavras-chave sejam substituídas pelos valores reais, como:

push "route <VPN_Endpoint> 255.255.255.255 <current_default_gateway>"
push "route 0.0.0.0 0.0.0.0"  

Como eu disse, estou acostumado a enviar rotas de sub-rede específicas usando o push no arquivo ccd, mas está sendo difícil descobrir como configurar para se tornar o gateway padrão.

Às vezes, um de nossos servidores perde a conexão com nosso dispositivo de armazenamento montado e a reconexão falha.

O log do kernel afirma:

CIFS: Attempting to mount //XXXX
No dialect specified on mount. Default has changed to a more secure dialect, SMB2.1 or later (e.g. SMB3), from CIFS (SMB1). To use the less secure SMB1 dialect to access old server which do not support SMB3 (or SMB2.1) specify vers=1.0 on mount.

CIFS VFS: CIFS mount error: iocharset utf8 not found

em /etc/fstabiocharset=utf8 é definido, então faz sentido que seja necessário.

Seguimos a resposta aqui:

https://askubuntu.com/questions/519796/unable-to-mount-cifs-with-iocharset-utf8

Após instalar o pacote ausente, podemos nos conectar ao compartilhamento novamente.

apt-install linux-modules-extra-$(uname -r).

Embora o acima corrija o problema temporariamente, depois de algumas semanas a reconexão falha novamente. Talvez esta seja a primeira vez que o servidor reinicia após outros pacotes terem sido atualizados, ainda não consegui conectar os pontos corretamente.

Como posso corrigir o problema do conjunto de caracteres a longo prazo sem precisar atualizar manualmente o pacote a cada poucas semanas?

Saída deLANG=C apt search linux-image |grep installed

linux-image-5.4.0-196-generic/focal-updates,focal-security,now 5.4.0-196.216 amd64 [installed,automatic]
linux-image-5.4.0-200-generic/focal-updates,focal-security,now 5.4.0-200.220 amd64 [installed,automatic]
linux-image-5.4.0-204-generic/focal-updates,focal-security,now 5.4.0-204.224 amd64 [installed,automatic]
linux-image-5.4.0-208-generic/focal-updates,focal-security,now 5.4.0-208.228 amd64 [installed,automatic]
linux-image-virtual/focal-updates,focal-security,now 5.4.0.208.204 amd64 [installed]

Estou executando um projeto de migração de domínio (vários domínios de site único mesclados em um AD global) na minha empresa.

Migrei usuários, computadores e grupos (usando a ferramenta de migração on-demand Quest) e verifiquei se o histórico do SID está sendo gravado corretamente nas contas de usuário+grupo. Posso ver o atributo SIDHistory preenchido para usuários e grupos com valores corretos.

A conta do usuário que é migrada para o novo domínio tenta acessar um servidor de arquivos no domínio antigo, no log do old-domain-fileserver, vejo:

Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado.

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted
                

Executei os seguintes comandos em domínios antigos e novos:

domínio antigo

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

novo domínio

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

Já se passaram algumas horas, então tudo deve ser replicado em todos os lugares. Ainda assim, estou recebendo o mesmo erro ao tentar acessar o compartilhamento de arquivos com a credencial do usuário migrado: acesso negado, pergunte ao seu administrador

Além de desligar o SIDfiltering e migrar grupos de usuários também, há alguma outra área que eu preciso verificar e que esqueci no meu post acima? Obrigado.

Resultado de um dos testes: Acredito que descartei o culpado NTLM - não é ele. Quando compartilho uma nova pasta para R/W para todos e na ACL de segurança, dou permissão ao OLDDOMAIN\admig2 para esse novo compartilhamento, o NEWDOMAIN\admig2 pode acessar esse compartilhamento. Ele ainda é o servidor de arquivos unido ao OLDDOMAIN. Estou confuso com esses sintomas. Sim, OLDDOMAIN\Domain users é um grupo local de domínio e NEWDOMAIN\admig2 não é membro dele, mas é aqui que o SidHistory deve entrar em ação e, devido ao antigo SID ser membro do OLDDOMAIN\Domain Users, acredito que isso ainda deve funcionar, mas não funciona. Ou...?

Continuarei com os testes amanhã.