shodanshok's questions

Para habilitar o LDAPS, preciso de certificados em ambos os controladores de domínio. Não posso usar o Certificate Services, pois não tenho uma máquina Windows sobressalente e instalar essa função em um DC é um grande não-não, então prefiro usar um certificado autoassinado com SANs cobrindo ambos os DCs (FQDN e nomes curtos de máquina).

Algo que eu deva prestar atenção? Por exemplo:

• o certificado deve ter uma duração máxima (ou seja: 1, 5, 10, 100 anos)?
• isso pode interromper/afetar a conexão com a máquina cliente (improvável, pois o DC não tem certificado no momento);
• EFS - não ter uma CA significa que os próprios clientes são responsáveis ​​por suas chaves. O que acontecerá com o certificado autoassinado?

Recentemente, atualizei um antigo domínio baseado em Win2008R2 para um novo baseado em Win2019 (com a dança comum de promoção/rebaixamento/desativação). Isso foi para um escritório muito pequeno (3 pessoas), então esta é uma configuração de DC único, onde os DCs antigos e novos dobraram como servidor de arquivos.

Por esse motivo, criei um alias de DNS para apontar o nome antigo (ou seja: olddc.example.com) para o novo (ou seja: newdc.example.com). Até agora, tudo bem: todos os clientes podem acessar o novo DC/servidor de arquivos com os nomes antigos e novos. No entanto, esqueço de adicionar formalmente ao novo DC o nome do DC antigo (como um alias). Em outras palavras, eu não emiti algo semelhante a:

netdom computername newdc.example.com /add:olddc.example.com

Hoje eu estava no novo DC e, sem memória muscular, tentei alcançar seus próprios compartilhamentos pelos nomes antigos (abrindo o Explorer e escrevendo \\olddc.example.com). Explorer imediatamente reclamou sobre "credenciais erradas" e, de fato, um dump do Wireshark mostrado STATUS_LOGON_FAILURE. Emiti o netdomcomando acima (adicionando olddc.example.comcomo um alias) e o problema desapareceu: o servidor agora pode ver seus próprios compartilhamentos por meio do nome antigo.

Eu sei e entendo por que o nome alternativo/alias deve ser adicionado via netdom(ou por meio de um setspncomando separado). No entanto, o que me surpreende é que todos os clientes Win10 não mostraram nenhuma reclamação, mesmo quando esse nome alternativo não foi fornecido.

Então, por que os clientes Win10 não trabalharam com nenhum problema enquanto o servidor imediatamente voltou a acessar seus próprios compartilhamentos com um alias DNS "desconhecido"? É devido a algumas configurações diferentes entre os sistemas operacionais de servidor e cliente? Ou está relacionado ao acesso a um compartilhamento de loopback?

Eu tenho um aplicativo LDAP que precisa se comunicar com o Active Directory via LDAPS (LDAP sobre SSL). Instalei os Serviços de Certificados do Active Directory em um Controlador de Domínio de teste (sei que isso não é uma prática recomendada, mas meu cliente não tem uma licença do Windows Server sobressalente para um servidor de CA autônomo).

A partir daqui eu li e segui estas instruções:

Se você instalar a função AD CS e especificar o tipo de instalação como Enterprise em um controlador de domínio, todos os controladores de domínio na floresta serão configurados automaticamente para aceitar LDAP sobre SSL

O certificado emitido foi realmente carregado no armazenamento de certificados DC e os aplicativos compatíveis com LDAPS estão funcionando.

Minha dúvida é: o certificado será renovado/recadastrado automaticamente ou preciso cuidar dele manualmente? O que preciso verificar para ter certeza de que a renovação automática funcionará corretamente?

Com o objetivo de colocá-lo em mais caixas de produção, estou testando o comportamento de atualização do Windows 2016. Corri sconfigpara selecionar "DownloadOnly" em "Windows Update Setting" e configurei "Active Hours" das 07:00 às 19:00.

É meu entendimento que esta configuração deve funcionar como abaixo:

• as atualizações são baixadas automaticamente;
• as atualizações não são instaladas automaticamente; em vez disso, um administrador de sistema tinha que confirmar manualmente a instalação das atualizações;
• se o servidor precisar ser reinicializado, uma reinicialização agendada fora do horário ativo deverá ser configurada automaticamente;
• fora do horário comercial (ou seja: depois das 19:00 - 07:00) o servidor deve reiniciar.

Pergunta principal: o entendimento acima está correto?

Estou perguntando porque ao testar em um controlador de domínio do Windows 2016 e instalar manualmente as atualizações, mesmo que um aviso mostre "seu dispositivo está programado para reiniciar fora do horário ativo (o horário ativo é das 07:00 às 19:00)", a reinicialização nunca ocorre.

Percebi que no Gerenciador de Tarefas\Biblioteca\Windows\Windows Update, uma inicialização de Tarefa de Reinicialização musnotification.exe RebootDialogfoi criada para ser executada às 19:20 e é executada a cada 30/60 minutos.

Segunda pergunta: como o Windows 2016 se comporta, por padrão, quando há usuários de área de trabalho remota registrados? Ele notifica? Ele reinicia? E se a sessão estiver no estado desconectado?

Nota: eu conheço a política No auto-restart with logged on users for scheduled automatic updates installations, no entanto:

1. Não está ativo/configurado;
2. Como não estou instalando atualizações automaticamente, isso não deve ter efeito:

Essa política se aplica somente quando a política Configurar atualizações automáticas está configurada para realizar instalações agendadas de atualizações.

Concedido, eu entendo perfeitamente que um servidor deve ser corrigido e reiniciado apenas no momento apropriado. No entanto, eu realmente gostaria de entender a lógica por trás do comportamento de atualização atual (Win2016). Eu sinto fortemente que estou perdendo alguma coisa, pois esta deve ser uma tarefa de manutenção básica.

Eu li essas informações , mas eu realmente gostaria de ouvir alguma experiência em primeira mão com o sysadmin do Windows.

Eu tenho um domínio AD de dois controladores e todos os PCs ingressados ​​no domínio têm seus endereços como servidores DNS primários e secundários.

Gostaria de saber se devo configurar um DNS público terciário. O raciocínio é que muitos PCs estão localizados em redes remotas menores e alcançam os dois controladores de domínio por meio de um túnel VPN central. Se o túnel VPN ficar inativo, ambos os DCs ficarão indisponíveis e os PCs remotos não poderão resolver nenhum endereço, impedindo-os de navegar na Internet/verificar e-mail/etc.

Adicionar um DC em cada rede está fora de questão (são 5/10 PCs), e o mesmo pode ser dito sobre a criação de um túnel VPN direto da rede remota para o site DC secundário (devido à capacidade do hardware).

Um servidor DNS público terciário evitaria isso, mas me pergunto se isso pode causar problemas (ou seja: se for, por algum motivo, selecionado como o DNS preferencial, o PC será "desconectado" do domínio).

Então: não há problema em usar um DNS público terciário em um PC associado ao domínio ou isso causará problemas? Alguma coisa para ficar sabendo?

Herdei uma instalação antiga do Active Directory baseada no Windows 2003 e tenho a tarefa de atualizá-la para padrões modernos. Eu fiz vários testes (com sucesso) em meu laboratório usando o plano abaixo, mas eu realmente quero uma verificação da realidade / sugestões de práticas recomendadas de outros especialistas na área.

Status atual: um domínio do Active Directory de modo misto do Windows-2000 de rótulo único em execução em uma instalação do Windows 2003. O componente DNS está sendo executado com atualizações dinâmicas não seguras.

Status de destino: migre para um domínio de nível do Windows 2012R2 em uma instalação do Windows 2016 (observação: o nível de destino do Windows 2012R2, em vez de 2016, deve-se ao fato de meu cliente ter outros servidores Windows 2012R2). A migração deve ser feita da forma menos disruptiva; de qualquer forma, como vou trabalhar nele durante um fim de semana, são aceitas interrupções de serviço curtas.

Advertências: embora o domínio de rótulo único esteja obsoleto, eu realmente preciso mantê-lo funcionando como está. Eu avaliei uma renomeação de domínio e/ou uma migração de domínio para um novo nome, mas eles simplesmente parecem pedir demais para o meu cliente.

Meu plano:

• instale um novo servidor Windows 2016 e adicione-o, como um membro simples, ao domínio atual
• aumentar o nível funcional da floresta/domínio atual para o Windows 2003
• promova o novo servidor Windows 2016 para a função de Controlador de Domínio (com Catálogo Global)
• rebaixar o servidor antigo (via dcpromo)
• no novo servidor Windows 2016, use "Sites e serviços do Active Directory" para remover qualquer eventual sobra da operação de rebaixamento
• no novo Windows 2016, use o "Gerenciador de DNS" para alterar o tipo de atualização dinâmica do DNS para "Somente seguro"
• aumentar o nível funcional da floresta/domínio para o Windows 2012R2
• alterar o endereço IP original do servidor antigo (por exemplo: de 192.168.1.1 para 192.168.1.2)
• altere o endereço IP do novo servidor para corresponder ao antigo controlador de domínio (por exemplo: de 192.168.1.10 para 192.168.1.1). Observação: estou planejando fazer isso devido às configurações atuais de DHCP e às regras de firewall/VPN do gateway
• migrar de FSR para DFSR (veja aqui e aqui )
• instale outro servidor Windows 2016 em uma filial, adicionando-o como um novo Controlador de Domínio (com Catálogo Global).

Perguntas:

• Estou perdendo algo importante?
• Minha ideia de trocar o endereço IP do servidor antigo/novo para minimizar as alterações de firewall/VPN/DHCP é boa ou devo evitar isso?
• Algo que eu deveria estar ciente?

ATUALIZAÇÃO: depois de muita discussão e testes, convenci meu cliente a mudar o nome de domínio . Eu fiz isso por meio do rendomutilitário, de acordo com as recomendações da Microsoft, e tudo correu bem (felizmente, não havia nenhum servidor Exchange local).

Um cliente meu recentemente mudou sua infraestrutura de email no Office365 e no Outlook na Web. Tudo está funcionando corretamente, mas temos um problema com o envio automático de log/e-mail de alerta.

Basicamente, temos vários servidores/impressoras/firewalls/switches configurados para enviar log de alerta usando [email protected]como remetente (por exemplo, [email protected]. Nem todos esses remetentes suportam autenticação SMTP e/ou SSL (alguns são muito antigos).

Até agora, usando um servidor de e-mail interno, simplesmente precisávamos colocar o IP do host interno na lista de permissões para habilitar a retransmissão de e-mail sem autenticação. No entanto, o Outlook agora está marcando esses emails como spam/lixo.

Como cada email contém um assunto previsível, com palavras bem definidas (que usamos para filtrar bem nossos logs), pensei em usar regras de filtro de email de entrada para marcar como "limpo" ou "não spam". No entanto, não consigo encontrar essa opção (por outro lado, encontrei a ação "marcar como spam").

Minha pergunta são:

• é possível, usando o Office365 com o Outlook na Web, marcar um email como "não lixo"? Se sim, como posso fazer isso?

• se não for possível, existem outros métodos (exceto definir manualmente cada remetente como confiável) para realizar algo semelhante ao que eu preciso?

• alguma ideia adicional?

Obrigado.

Primeiro, uma breve explicação:

Usando o Zabbix para monitoramento do sistema, estou tentando entender se/como ele pode ser usado para executar tarefas importantes e agendadas para as quais preciso de um valor OK/PROBLEM relatado (por exemplo: via e-mail).

Já utilizo um script customizado, chamado por cron, para reportar erros na execução do programa. No entanto, essa abordagem está aberta a ser "inundada" por uma tarefa agendada de repetição rápida, mas com falha. O que eu realmente quero é ser notificado sobre uma "mudança de borda" - ou seja: de execuções normais (OK) para com falha (PROBLEMA), e vice-versa.

A partir daqui, tive a ideia de experimentar o Monit - e funciona muito bem. No entanto, já tendo o Zabbix implantado, eu gostaria de evitar o uso de outras ferramentas se eu puder razoavelmente atingir meu objetivo usando a configuração existente.

OK, de volta ao problema principal:

Das minhas pesquisas/testes, a abordagem básica é tratar a tarefa a ser executada como uma verificação/consulta de dados recorrente. Existem duas possibilidades:

• configure uma verificação SSH para executar o comando;
• estendendo o agente Zabbix com o comando específico a ser executado.

A primeira abordagem requer um login para cada execução de comando, o que tende a "poluir" os logs com entradas desnecessárias, então eu sugiro a segunda abordagem. Dito isto, ambos os métodos têm um problema significativo: eles apenas capturam a saída do comando, não capturando o valor de saída do comando

Então, minhas perguntas são:

• alguém sabe como capturar o valor de saída do comando? Nota: Eu gostaria de evitar scripts de wrapper.
• alguém está usando uma abordagem semelhante? Se sim, você tem algum feedback?
• devo simplesmente "renunciar" para usar o Monit?

Percebi que algumas empresas de hospedagem que fornecem serviços de DNS e e-mail vinculam irrevogavelmente o último ao primeiro - especificar um DNS externo como o autoritativo significa automaticamente não apenas a suspensão do serviço de e-mail/webmail, mas também a exclusão de todos os e-mails.

Embora eu entenda a motivação prática por trás de um serviço suspenso, a cláusula de exclusão de e-mail realmente me surpreende. Além disso, isso pode ser um incômodo durante uma migração de domínio e/ou e-mail.

Então:

• por que tanta pressa em suspender e deletar o serviço? Existem algumas razões técnicas imperativas?

• como você gerencia essa situação (migração de domínio e e-mail de um provedor de hospedagem para outro)?

Obrigado.

Fui encarregado de gerenciar uma instalação antiga do VMWare 4.0.1, que deve ser substituída em um futuro próximo, mas deve ser mantida em execução no momento.

Percebi imediatamente que algumas máquinas virtuais têm instantâneos muito antigos, alguns até tirados anos atrás. Não gosto de rodar com snapshots tão antigos, pois reduzem o desempenho e ocupam bastante espaço (mais de 100 GB). Por outro lado, estou um pouco preocupado que a consolidação desses instantâneos muito antigos possa causar alguns problemas (ou seja: uma consolidação com falha deixando a imagem vm em um estado inconsistente).

Qual você acha que é a melhor abordagem para se livrar desses instantâneos antigos?

Gostaria de entender qual é a melhor solução para replicação em tempo real entre duas caixas ZFS on Linux (ZoL) conectadas por um link de 10 GbE. O objetivo é usá-los para máquinas virtuais; apenas uma caixa de cada vez executará as máquinas virtuais e o próprio sistema de arquivos ZFS. O instantâneo precisa ser possível na primeira caixa (ativa). Eu pretendo usar discos SATA de nível empresarial/quase, portanto, discos SAS de porta dupla estão fora de questão.

Pensei nas seguintes possibilidades:

• use iSCSI para exportar os discos remotos e fazer um espelho entre os discos ZFS da caixa local e os discos iSCSI remotos. O maior apelo desta solução é sua simplicidade, pois usa o próprio espelhamento do ZFS. Por outro lado, o ZFS não dará prioridade aos discos locais sobre os remotos, e isso pode causar alguma degradação de desempenho (pouco relevante em uma rede de 10 GbE, suponho). Além disso, e causa de maior preocupação, é como o ZFS se comportará em caso de perda de link de rede entre as duas caixas. Ele ressincronizará o array quando a máquina remota estiver disponível ou será necessária a intervenção manual?
• use o DRBD para sincronizar dois ZVOLS e coloque o ZFS em cima do dispositivo DRBD . Em outras palavras, estou falando de uma solução empilhada ZVOL + DRBD + ZFS. Essa parece ser a abordagem preferida para mim, pois o DRBD 8.4 é muito estável e comprovado. No entanto, muitas camadas de E/S estão em jogo aqui e o desempenho pode ser prejudicado.
• use ZFS simples + GlusterFS no topo . Do ponto de vista do ZFS, esta é a solução mais simples/melhor, pois todo o tráfego de replicação é delegado ao GlusterFS. Você achou o GlusterFS estável o suficiente?

Qual você acha que é a melhor abordagem? Obrigado.

Fui encarregado de instalar um novo servidor SFTP. Por si só, esta é uma operação muito simples: simplesmente usar a internal-sftpfunção do onipresente serviço SSH (com chrooting) é suficiente para ter um servidor SFTP confiável.

No entanto, é da minha natureza sempre tentar pelo menos duas abordagens diferentes para o mesmo problema e percebi que posso usar ProFTPDum plug-in sftp para fazer a mesma coisa, com o benefício adicional de opções mais granulares relacionadas à transferência de arquivos (por exemplo: limitação de largura de banda ). Por outro lado, este plugin não é compilado (e empacotado) por padrão, e eu gostaria de evitar (talvez) uma solução "menos testada".

No momento, o único serviço necessário é o SFTP; no entanto, estou jogando com antecedência e gostaria de implementar uma solução que funcione não apenas com SFTP, mas também com FTP/S.

Considerando que vou fazer o chroot dos usuários dentro de suas casas, o que você acha que é uma solução melhor?

1. use SSH internal-sftpe um servidor FTP autônomo ( vsftpdou proftpd) para serviços FTP/S
2. use apenas o serviço ProFTPD com o plug-in relevante

Gostaria de entender se, e como, é possível configurar os parâmetros de inicialização padrão do kernel no Red Hat 6 / CentOS 6 (grub legacy bootloader).

Eu entendo muito bem como configurar manualmente os parâmetros necessários: eu simplesmente tenho que editar /etc/grub.conf e editar a estrofe específica. No entanto, uma configuração semelhante não durará uma atualização do kernel: a nova estrofe será configurada com os parâmetros de inicialização do kernel padrão .

O sistema mais recente (por exemplo: RHEL7) usa grub2 e o arquivo /etc/default/grub e a variável GRUB_CMDLINE_LINUX para resolver esse problema específico.

Portanto, minha pergunta é: é possível especificar parâmetros de inicialização do kernel padrão em todo o sistema e permitir que esses parâmetros sejam as configurações padrão para novos kernels (atualizados via YUM/RPM) também?

Obrigado.