All perguntas(server)

Existe uma maneira de fazer solicitações de despejo do IIS para seus arquivos de log o mais rápido possível?

Contexto

Estou enfrentando um atraso muito longo entre uma solicitação que faço ao IIS ser atendida e ser realmente registrada nos logs do IIS. Isso pode variar entre 20 e 60 segundos de atraso.

Alguns pontos-chave:

• Assim que a solicitação aparecer no arquivo de log, ele mostrará a hora real em que a solicitação ocorreu,
• os relatórios de solicitação são processados ​​em até 350 ms,
• nos logs de solicitação do IIS, as solicitações também não ficam "travadas"
• a solicitação é totalmente tratada no navegador rapidamente
• Pude notar que em uma produção, pouco ocupada ou nada, o Windows Server 2012 (IIS 6.2 build 9200)
• mesmo comportamento em meu host de desenvolvimento, nem um pouco ocupado , Windows 10 (IIS 10.0.19041.1)
• a produção está no armazenamento da Amazon (não sei dizer a tecnologia exata que eles usam, acredito que seja derivada do SSD)
• o armazenamento local é um disco SSD
• se eu monitorar arquivos no mesmo disco/sistema de arquivos, as atualizações dos arquivos serão refletidas instantaneamente na tela (no máximo, se houver, atraso de 1s)

Algumas coisas que eu tentei

Tentei tail -fou continuo repetindo tailo comando e também o Notepad ++ com o modo "Visualizar> Monitoramento (tail -f)" . Todos atualizando o conteúdo do arquivo ao mesmo tempo, obedecendo ao atraso um tanto aleatório, mas sempre longo.

A partir de uma cópia desta pergunta que postei (fora do tópico) em StackOverflow , Xudong Peng sugeriu que eu tentasse uma configuração flushByEntryCountW3CLog do arquivo de configuração de todo o servidor IIS ( %WinDir%\System32\Inetsrv\Config\applicationHost.configou nó de nível superior do Gerenciador IIS (computador) > Editor de configuração > sites.applicationHost/sites/siteDefaults/logFile). Isso fez com que o intervalo de registro mudasse, mas para pior. Senti que agora estava sendo descartado a cada minuto, então reverti para 0.

No tópico acima, também garanti que o específico <site>que estava testando não substituísse o sitesDefault/logFile/flushByEntryCountW3CLogin applicationHost.config. Também reciclei o pool de aplicativos (portanto, os sites também foram reciclados) e a configuração certamente entraria em vigor. Continua a mesma mudança de “comportamento” que parecia pior.

Parece que, mesmo que o buffer (dessas configurações, 64k) não seja preenchido, ele é despejado a cada minuto. Ao definir 1isso, senti que o despejo aconteceu entre 1 e 2 minutos.

Não consegui encontrar nenhuma outra configuração relacionada ao "buffer do arquivo de log" (para que o IIS preenchesse um buffer de entradas de log antes de "despejá-las" nos arquivos).

Conclusão

Isso é normal? Todo mundo que lida com logs do IIS precisa reservar um tempo para verificar as solicitações nos logs, ou talvez haja uma maneira de (pelo menos temporariamente) fazer solicitações de despejo do IIS para o arquivo de log o mais rápido possível?

Quando crio um túnel 6 em 4 (por exemplo, em HE ), recebo vários endereços e máscaras:

IPv6 Tunnel Endpoints:
Server IPv4 Address: 216.66.80.162
Server IPv6 Address: 2001:470:70:625::1/64
Client IPv4 Address: [redacted]
Client IPv6 Address: 2001:470:70:625::2/64
Routed IPv6 Prefixes:
Routed /64: 2001:470:71:625::/64
Routed /48: 2001:470:6297::/48

Na minha mente, eles me alocam uma sub-rede /64 denotada como roteada /64 . Todo o tráfego que deveria ir para lá atingirá seus servidores e será tunelado para mim ( Endereço IPv4 do Cliente ) via IPv4. E para enviar pacotes IPv6, tudo o que preciso saber é o Endereço IPv4 do Servidor , e eu simplesmente os encapsulo e os envio para lá, reivindicando meu endereço IPv6 como Endereço IPv6 do Cliente . O que eu não entendo é:

1. Por que o Client IPv6 Address não está em Routed /64 ? Como as respostas são roteadas de volta para mim se meu IP não está associado ao meu túnel?
2. Depois de configurar tudo seguindo o guia do meu roteador , os dispositivos na rede começaram a obter endereços em Routed /48 . Qual é o propósito do Client IPv6 Address então?
3. O guia não solicitou o endereço IPv6 do servidor . Qual é a sua finalidade?

Quero ter contas virtuais no Maildir, então descobri o seguintemain.cf

home_mailbox = Maildir/
virtual_mailbox_domains = mydomain.com
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

mas o e-mail é entregue no formato Mailbox e não no Maildir. O que estou fazendo de errado?

/etc/postfix/vmapsé:

[email protected] mydomain.com/test

Eu herdei alguns servidores, eles estão em redes e sites diferentes, mas presumi que todos tinham a mesma configuração. Não consegui descobrir o que causa o seguinte comportamento:

nslookup em alguns servidores retorna o FQDN da máquina esperado, outros apenas retornam "localhost". Eles são todos DC's, com DNS primário definido para o IP da máquina e secundário para um servidor DNS diferente. DC's hospedam serviços de servidor DHCP e DNS.

Não tenho certeza se está relacionado, mas também estou tendo um problema com a prioridade da máscara de rede no DNS, eu a configurei, desabilitei o round-robin e, ainda assim, algumas máquinas estão resolvendo nomes em um site diferente. Definir manualmente a ordem não ajudou, pois a sincronização entre elas quebraria novamente.

O que estou esquecendo? Para contextualizar, estou mais acostumado com *nix, não com MS Windows. Obrigado.

ATUALIZAÇÃO: parece que as configurações do IPv6 estavam atrapalhando.

Atualmente estou trabalhando com uma VM do Windows Server 2019 e pensando em configurar um ambiente em contêiner para um serviço de impressão de etiquetas. Meu objetivo é criar um contêiner com a função de servidor de impressão usando o Windows Server 2019 Core (mcr.microsoft.com/windows/servercore:ltsc2019).

Eu encontrei alguns problemas:

• É possível instalar e configurar uma função de servidor de impressão em um contêiner Windows Server 2019 Core?

Tentei instalar os recursos necessários usando comandos do Windows, mas estou encontrando erros.

Também tentei instalar o Chocolatey dentro do container para simplificar o processo, mas não consegui instalá-lo.

Além disso, tenho outra VM executando o Windows Server 2022 e tentei uma configuração semelhante lá. Na VM Windows Server 2022, instalei um contêiner usando o Windows Server 2022 Core e consegui instalar o Chocolatey. No entanto, ainda não consegui instalar o recurso de função Servidor de impressão.

Também experimentei uma imagem diferente (mcr.microsoft.com/windows:ltsc2019) e, nesse ambiente, consegui instalar o serviço Servidor de Impressão. No entanto, esta imagem não é o que preciso para meu projeto, pois necessito especificamente do ambiente Windows Server 2019 Core.

Alguém configurou com êxito um servidor de impressão em um contêiner Windows Server 2019 Core?

Em caso afirmativo, você poderia fornecer orientação ou compartilhar as etapas que funcionaram para você?

Agradecemos antecipadamente por qualquer ajuda ou sugestão!

Espero que esta pergunta seja adequada para falha do servidor. Ele contém algum código, mas não acho que se encaixe muito bem no Stack Overflow.

Eu tenho um programa Python que salva um certificado autoassinado no cache "Autoridades de certificação raiz confiáveis" do "Computador local". Mas o problema é que ele não está sendo salvo na loja correta (não tenho certeza se “loja” é a terminologia correta).

Vejo dois caminhos diferentes para o que presumi ser a mesma loja, mas aparentemente não são. A Microsoft fez um excelente trabalho ao tornar isso confuso.

Você pode ver que o primeiro caminho é Local Computer\Trusted Root Certification Authorities\Certificates. Nota: isto é aberto no certlmprograma (Gerenciar certificados de computador).

E o segundo caminho é Console Root\Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates. Nota: Isso é aberto criando um novo snap-in de Certificados no MMC e escolhendo "Conta de computador".

Meu programa está salvando meu certificado no primeiro caminho, mas preciso que ele vá para o segundo caminho. É isso. Para conseguir isso, acho que só preciso escolher o "Local da Loja" correto. Estou usando este site como referência:

https://learn.microsoft.com/en-us/windows/win32/seccrypto/system-store-locations

Meu código é bem simples:

def save_cert_to_store(cert_to_save: str) -> None:
    cert_byte = win32crypt.CryptStringToBinary(
        cert_to_save,
        CRYPT_STRING_BASE64HEADER
    )[0]

    store = win32crypt.CertOpenStore(
        CERT_STORE_PROV_SYSTEM,
        0,
        None,
        CERT_SYSTEM_STORE_LOCAL_MACHINE | CERT_STORE_MAXIMUM_ALLOWED_FLAG,
        "Root"
    )

    try:
        store.CertAddEncodedCertificateToStore(
            X509_ASN_ENCODING,
            cert_byte,
            CERT_STORE_ADD_REPLACE_EXISTING
        )
    except Exception as e:
        print(e)
    finally:
        store.CertCloseStore(CERT_CLOSE_STORE_FORCE_FLAG)

Você pode ver que o armazenamento do sistema que estou usando CERT_SYSTEM_STORE_LOCAL_MACHINEe o local do armazenamento é "Root". Ao executar isso, ele salva em Local Computer\Trusted Root Certification Authorities\Certificates, o que eu não quero.

Se eu alterar "Root" para "Trust", ele será salvo em Console Root\Certificates (Local Computer)\Enterprise Trust\Certificates, que é o armazenamento raiz correto, mas não o caminho correto.

Alterar "Root" para "CA" salva-o em Console Root\Certificates (Local Computer)\Intermediate Certification Authorities\Certificates. Novamente, armazenamento raiz correto, mas caminho errado.

Então, minha pergunta é: qual é a combinação correta de armazenamento/local de armazenamento do sistema a ser usada para salvar isso no caminho correto, que é Console Root\Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates? Estou executando meu programa como administrador, então não acredito que seja um problema de permissão. A menos que a Microsoft bloqueie isso totalmente sem aviso prévio.

Consulte as fotos acima. Meus usuários às vezes enfrentam problemas, mesmo quando o token existe e é enviado como cabeçalho. Esta é uma solicitação ajax, e certifiquei-me de que ela será getToken() primeiro e, em seguida, prossiga com ajax no retorno da promessa. Por que o bot ainda emitirá um desafio (que basicamente mata um ajax) neste caso, apesar do token não estar ausente? Recentemente, implementei o Bot Control habilitado para AWS Waf + e meus usuários estão tendo dificuldades para usar os sites às vezes (aleatório). Às vezes, eles não conseguem carregar a página até que sejam atualizadas, às vezes o ajax morre, mesmo quando getToken() é usado.

Já incluí o script challenge.js fornecido pela integração de aplicativos do AWS WAF, que também obterá/obterá novamente o token ao carregar a página + durante a navegação.

Obrigado

Estou obtendo resultados que realmente me surpreendem e os documentos não estão me ajudando a entender.

Tenho uma implantação configurada via kustomize.

Atualmente há 1 pod na implantação.

Estou obtendo resultados diferentes para os dois comandos a seguir, o que não esperaria.

kubectl exec deployment/name -- sha256sum <file>

contra

kubectl exec <podname> -- sha256sum <file>

Eu verifiquei os ReplicaSets para a implantação. Existem vários ReplicaSets, mas há apenas um com um número diferente de zero de pods.

Suspeito que o Kubernetes esteja de alguma forma encontrando um contêiner não gced que, de certa forma, ainda pertence à implantação. Isso é incrivelmente não intuitivo, pois o contêiner não aparece em nenhum lugar que eu possa ver. Só posso raciocinar sobre a sua existência por causa desta estranha ação à distância.

Fico feliz em compartilhar mais detalhes se você achar que eles serão relevantes, mas parece que destilei tudo até sua essência.

Esta é aproximadamente a infraestrutura de rede a partir de agora

Como você pode ver, tenho dois roteadores/firewalls no Nethserver e no OpnSense (este foi instalado recentemente com o novo ISP).

A sub-rede da LAN Nethserver é 192.168.0.0/24 (chamada de sub-rede 0) A sub-rede da LAN OpnSense é 192.168.2.0/24 (chamada de sub-rede 2)

A maioria dos dispositivos conectados à rede (ponto de acesso ou via switch) são da sub-rede 192.168.0.0/24 com o DG de 192.168.0.1

Entendo que os dispositivos na sub-rede 0 não são capazes de se conectar/comunicar diretamente com dispositivos da sub-rede 2, pois são de sub-redes diferentes (o ARP não funciona) e qualquer solicitação é basicamente enviada eventualmente para o DG 192.168.0.1

Uma vez aqui, o roteador Nethserver o envia para fora da rede para encontrar o(s) dispositivo(s)

Tentei adicionar uma rota estática no Nethserver usando o comando abaixo

ip route add 192.168.2.0/24 via 192.168.2.1 dev eth0

Mas isso apenas dá a saída

RTNETLINK answers: Network is unreachable

Estou faltando alguma coisa aqui. Eu sei isso. Mas não posso apontar o dedo para isso.

É possível excluir um instantâneo de uma imagem QCOW2 sem desligar uma máquina virtual (QEMU+KVM)? A execução não qemu-img snapshot -d ...quebraria a consistência dos dados? Em caso afirmativo, isso quebraria a consistência se alguém fosse executado virsh pause ...antes de excluir um instantâneo e depois executado virsh resume ...? O que você acha?

Obrigado!