Início / user-372332

Chris Woelkers's questions

Martin Hope
Chris Woelkers
Asked: 2024-12-23 23:50:38 +0800 CST
  • 5

Estamos usando o Windows para hospedar nosso servidor CA interno para todos os servidores web internos e outros serviços protegidos por TLS, certificados. Antes da atualização para o servidor 2022, de 2016, se bem me lembro, eu conseguia enviar uma solicitação de certificado para a CA, por meio do desktop, já que o IIS não estava configurado, e obter um certificado emitido. Como muitos desses certificados são para serviços Linux e a solicitação é criada via OpenSSL ou Java, eu uso um arquivo em lote com o seguinte comando para iniciar o processo: certreq -attrib "CertificateTemplate:WebServer".
Após a atualização, tenho recebido o seguinte erro ao tentar obter um certificado emitido.Certificate not issued (Denied) Denied by Policy Module The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED)

Eu encontrei esta página 4sysops.com e pelo que entendi dela, preciso adicionar o computador que está fazendo a solicitação à página Segurança para o modelo com direitos de Leitura e Registro . Os computadores em questão são caixas Linux e muitos deles não estão no AD, incluindo aquele para o qual estou tentando obter um certificado, então não posso adicionar esse sistema às configurações de segurança. Eu tentei adicionar o servidor CA e o grupo Computadores do Domínio às configurações de segurança do modelo sem nenhuma alteração. Também verifiquei que o grupo Administradores do Domínio , do qual minha conta é membro, tinha os direitos de Leitura e * Registro atribuídos.

E agora, as perguntas. Como posso contornar esse problema? Sou obrigado a adicionar o sistema ao AD? Posso alterar uma configuração em algum lugar para evitar isso? Se isso não for possível, eu precisaria configurar um sub-CA em uma caixa Linux apenas para esses sistemas não AD?

Editar: Adicionei minhas informações de permissão de conta para o modelo.

linux
Martin Hope
Chris Woelkers
Asked: 2023-07-21 03:14:04 +0800 CST
  • 5

Estou "atualizando" um servidor do CentOS 7 para o Rocky 8. Este servidor é um Supermicro SYS-1029U-TRT 1U, funciona como parte de um HPC e possui duas interfaces de rede Ethernet e uma Infiniband. Uma das interfaces Ethernet é para o HPC, a outra é utilizada para a rede da sala de servidores e acesso à Internet. Depois de abrir uma cópia da VM do servidor CentOS, iniciei uma nova instalação do Rocky 8. Reutilizei a tabela de partições anterior e o RAID mdadm que já estava configurado e formatei cada partição. Após a instalação e configuração inicial das interfaces de rede, o servidor fica excepcionalmente lento ao lidar com qualquer tráfego de rede através da interface "externa". Esse problema nunca foi evidente no CentOS e apresenta vários sintomas.

  • As consultas DNS não são concluídas. Isso é visto especialmente bem ao executar um ping em um host na rede local ou ao tentar baixar um arquivo da Internet ou de um servidor web local via curl ou wget.
  • Os pings de e para o servidor, usando apenas IP, falharão ou começarão a funcionar depois que alguns pacotes, geralmente cerca de 4, falharem.
  • As conexões SSH com o servidor geralmente falham com algumas tentativas de obter uma solicitação de senha, mas o login nunca é concluído.

Tentei várias etapas de solução de problemas sem nenhuma solução aparente ainda.

  • Verifiquei se as configurações de IP, tabela de roteamento e resolv.conf estavam corretas.
  • Desconectei ambas as interfaces de rede HPC. Também tentei com as interfaces conectadas mas desativadas, sem configuração, e com elas conectadas e configuradas.
  • Verifiquei se os drivers Ethernet estavam corretos para o hardware. O sistema inclui duas interfaces Intel X540-AT2 de 10 Gbps que usam o driver ixgbe do kernel. Também baixei e instalei a versão mais recente do driver da Intel.
  • Verifiquei se a porta do switch está configurada corretamente, incluindo as configurações de VLAN e MTU.
  • Testei as outras duas interfaces via ping de e para o servidor e ambas não apresentaram problemas.
  • Desconectei a interface do switch normal e usei um novo cabo para conectá-la a um switch próximo na mesma VLAN.

Nenhuma dessas etapas mudou nada. Estou sem ideias e estou procurando outras razões possíveis para isso estar ocorrendo. Se alguma informação for necessária, terei prazer em adicioná-la conforme solicitado.

Um problema anterior que não foi relatado quando o CentOS 7 foi instalado é que às vezes uma conexão SSH “pausa” por até um minuto antes de ser utilizável novamente. Isso é semelhante aos problemas atuais para me fazer pensar que é um problema de hardware.

Aqui estão algumas saídas de comando ip, ip a e ip route, para mostrar como as coisas estão configuradas. Além disso, ao configurar no nmtui, ativei as configurações "Nunca usar esta rede para rota padrão", "Ignorar rotas obtidas automaticamente" e "Ignorar parâmetros DNS obtidos automaticamente" nas conexões eno2 e ib0. Nenhuma dessas configurações está habilitada na conexão eno1.

[root@hostname ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ac:1f:6b:c9:b3:6e brd ff:ff:ff:ff:ff:ff
    altname enp24s0f0
    inet 10.0.21.150/22 brd 10.0.23.255 scope global noprefixroute eno1
       valid_lft forever preferred_lft forever
3: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ac:1f:6b:c9:b3:6f brd ff:ff:ff:ff:ff:ff
    altname enp24s0f1
    inet 10.33.0.110/22 brd 10.33.3.255 scope global noprefixroute eno2
       valid_lft forever preferred_lft forever
4: ib0: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 4092 qdisc mq state UP group default qlen 256
    link/infiniband 00:00:01:20:fe:80:00:00:00:00:00:00:0c:42:a1:03:00:c0:af:08 brd 00:ff:ff:ff:ff:12:40:1b:ff:ff:00:00:00:00:00:00:ff:ff:ff:ff
    inet 10.33.4.110/22 brd 10.33.7.255 scope global noprefixroute ib0
       valid_lft forever preferred_lft forever
[root@hostname ~]# ip route
default via 10.0.20.1 dev eno1 proto static metric 100
10.0.20.0/22 dev eno1 proto kernel scope link src 10.0.21.150 metric 100
10.33.0.0/22 dev eno2 proto kernel scope link src 10.33.0.110 metric 101
10.33.4.0/22 dev ib0 proto kernel scope link src 10.33.4.110 metric 150

Edit1: Adicionadas mais informações, o problema do CentOS.
Edit2: Adicionadas saídas de comando ip solicitadas e algumas configurações de nmtui.

networking
Martin Hope
Chris Woelkers
Asked: 2021-07-15 15:01:20 +0800 CST
  • 1

Eu tenho um servidor NAS com três placas SAS HBA. Dois são SAS3 e funcionam bem, eles se conectam a três gabinetes JBOD de 48 unidades. O terceiro é o SAS2, conectando-se a um robô de fita com 5 drives, e não funciona.

O servidor é um Supermicro SYS-2029U-TR4T. A placa SAS2 HBA em questão é uma LSI 9201-16e. O servidor está executando o CentOS 7 com as atualizações mais recentes, a partir desta postagem.

Eu tentei mover a placa para diferentes slots PCIe e o melhor que consegui fazer foi fazê-la aparecer no lspci. Em alguns slots o SO nem reconhece. Quando listado em lspci, o sistema operacional tenta carregar o driver mpt2sas que falha com a seguinte saída:

[ 4401.676636] mpt2sas version 20.103.01.00 loaded
[ 4401.677574] mpt2sas 0000:5e:00.0: can't disable ASPM; OS doesn't have ASPM control
[ 4401.677930] mpt2sas_cm0: 64 BIT PCI BUS DMA ADDRESSING SUPPORTED, total mem (791000116 kB)
[ 4401.732434] mpt2sas_cm0: CurrentHostPageSize is 0: Setting default host page size to 4k
[ 4401.732450] mpt2sas_cm0: MSI-X vectors supported: 1
[ 4401.732454] mpt2sas_cm0:  0 1
[ 4401.732548] mpt2sas 0000:5e:00.0: irq 571 for MSI/MSI-X
[ 4401.732637] mpt2sas_cm0: High IOPs queues : disabled
[ 4401.732639] mpt2sas0-msix0: PCI-MSI-X enabled: IRQ 571
[ 4401.732642] mpt2sas_cm0: iomem(0x00000000c5ec0000), mapped(0xffffc243e3960000), size(16384)
[ 4401.732643] mpt2sas_cm0: ioport(0x0000000000009000), size(256)
[ 4401.787430] mpt2sas_cm0: CurrentHostPageSize is 0: Setting default host page size to 4k
[ 4402.306189] mpt2sas_cm0: reply pool: dma_pool_alloc failed
[ 4413.653575] mpt2sas_cm0: failure at drivers/scsi/mpt3sas/mpt3sas_scsih.c:10651/_scsih_probe()!

A tentativa de listar a placa com sas2flash, versão 20.00.00.00, falha com "Nenhum adaptador LSI SAS encontrado!"

Alguma ideia?

sas lsi hba centos7
Martin Hope
Chris Woelkers
Asked: 2021-01-29 11:09:12 +0800 CST
  • 0

Foi decidido substituir nosso antigo NAS primário, que consiste em três expansores SAS de 48 unidades de unidades de 4 TB, por um sistema semelhante de unidades de 12 TB, reutilizando alguns dos hardwares mais recentes, um expansor e uma placa SAS que foi adicionada há cerca de um ano. A decisão foi tomada para manter as coisas o mais simples e baratas possível, sem ocupar nenhum espaço adicional no rack no final.

O novo hardware chegou, o servidor e dois expansores, e foi configurado com o Debian Buster e o ZFS disponível no repositório buster-backports. O pool ZFS foi criado com um espelho de duas unidades SSD U.2 para o log, mais duas unidades SSD U.2 para o cache, 4 unidades de HDD sobressalentes (2 por expansor) e 12 raids RAID-Z2 de 7 unidades cada ( 6 ataques por expansor). Tudo parecia bem e comecei a copiar os dados do antigo NAS para este usando um script que fazia uso de instantâneos incrementais, envio de zfs e recebimento de zfs.

A primeira execução do script levou muitos dias, mas acabou terminando. Sem problemas em nenhuma das extremidades. A segunda corrida também funcionou. Então, após o terceiro, muitos problemas foram observados com o ZFS Pool. Em 4 raids, um grande número de discos mudou de status para UNAVAILABLE ou FAILED e todos os 4 sobressalentes foram colocados em uso automaticamente. A saída do status do zpool segue.

# zpool status
  pool: bigvol
 state: DEGRADED
status: One or more devices is currently being resilvered.  The pool will
    continue to function, possibly in a degraded state.
action: Wait for the resilver to complete.
  scan: resilver in progress since Thu Jan 28 09:55:20 2021
    160T scanned at 11.5G/s, 151T issued at 10.8G/s, 160T total
    4.99T resilvered, 94.53% done, 0 days 00:13:46 to go
config:

    NAME                                           STATE     READ WRITE CKSUM
    bigvol                                         DEGRADED     0     0     0
      raidz2-0                                     ONLINE       0     0     0
        scsi-35000c500cacd481b                     ONLINE       0     0     0
        scsi-35000c500cacceddb                     ONLINE       0     0     0
        scsi-35000c500cacd5c4b                     ONLINE       0     0     0
        scsi-35000c500cacd19cb                     ONLINE       0     0     0
        scsi-35000c500cacd0f4f                     ONLINE       0     0     0
        scsi-35000c500cacd5efb                     ONLINE       0     0     0
        scsi-35000c500cacd133f                     ONLINE       0     0     0
      raidz2-1                                     ONLINE       0     0     0
        scsi-35000c500cab6617f                     ONLINE       0     0     0
        scsi-35000c500cacd131b                     ONLINE       0     0     0
        scsi-35000c500cacd1637                     ONLINE       0     0     0
        scsi-35000c500cacd0dd3                     ONLINE       0     0     0
        scsi-35000c500cab64247                     ONLINE       0     0     0
        scsi-35000c500cacd5f4b                     ONLINE       0     0     0
        scsi-35000c500cacd206b                     ONLINE       0     0     0
      raidz2-2                                     ONLINE       0     0     0
        scsi-35000c500cacd251f                     ONLINE       0     0     0
        scsi-35000c500cacf60a7                     ONLINE       0     0     0
        scsi-35000c500cacd55cb                     ONLINE       0     0     0
        scsi-35000c500cacd3a5f                     ONLINE       0     0     0
        scsi-35000c500cacd0fa7                     ONLINE       0     0     0
        scsi-35000c500cacd4cb3                     ONLINE       0     0     0
        scsi-35000c500cacd2edf                     ONLINE       0     0     0
      raidz2-3                                     DEGRADED     0     0     0
        scsi-35000c500cacd1627                     ONLINE       0     0     0
        scsi-35000c500cacd049f                     ONLINE       0     0     0
        scsi-35000c500cacdf9d3                     ONLINE       0     0     0
        scsi-35000c500cab51563                     DEGRADED     0     0     1  too many errors  (resilvering)
        scsi-35000c500cacd1c9b                     DEGRADED     0     0     0  too many errors
        scsi-35000c500cacdf757                     FAULTED      0    10    48  too many errors  (resilvering)
        scsi-35000c500cacd291b                     FAULTED      0    11    31  too many errors  (resilvering)
      raidz2-4                                     DEGRADED     0     0     0
        spare-0                                    DEGRADED     0     0    11
          scsi-35000c500cacdb54f                   FAULTED      0    18     0  too many errors  (resilvering)
          scsi-35000c500cacdc907                   DEGRADED     0     0     0  too many errors  (resilvering)
        scsi-35000c500cacd2c77                     DEGRADED     0     0     4  too many errors
        scsi-35000c500cacdbdd3                     DEGRADED     0     0    12  too many errors  (resilvering)
        scsi-35000c500cacd0a47                     DEGRADED     0     0     7  too many errors  (resilvering)
        scsi-35000c500cacdf107                     DEGRADED     0     0     4  too many errors  (resilvering)
        scsi-35000c500cacd59fb                     DEGRADED     0   195    79  too many errors  (resilvering)
        scsi-35000c500cacd5307                     DEGRADED     0   177    30  too many errors  (resilvering)
      raidz2-5                                     DEGRADED     0     0     0
        spare-0                                    DEGRADED     0     0    15
          scsi-35000c500cacd03a3                   FAULTED      0    12     0  too many errors  (resilvering)
          scsi-35000c500cacd340b                   ONLINE       0     0     0
        scsi-35000c500cacd29d7                     FAULTED      0    21    24  too many errors  (resilvering)
        scsi-35000c500cacd23d7                     DEGRADED     0     0    11  too many errors  (resilvering)
        scsi-35000c500cacd1c27                     DEGRADED     0     0    29  too many errors  (resilvering)
        spare-4                                    DEGRADED     0     0    32
          scsi-35000c500cacd26bb                   FAULTED      0    31     0  too many errors  (resilvering)
          scsi-35000c500cacd299f                   DEGRADED     0     0     0  too many errors  (resilvering)
        scsi-35000c500cacd258b                     DEGRADED     0   207    63  too many errors  (resilvering)
        spare-6                                    DEGRADED     0     0    24
          scsi-35000c500cacdf867                   FAULTED      0    15     0  too many errors  (resilvering)
          scsi-35000c500cacd60ef                   ONLINE       0     0     0
      raidz2-6                                     DEGRADED     0     0     0
        scsi-35000c500cacd2e37                     ONLINE       0     0     0
        scsi-35000c500cacd0ecf                     ONLINE       0     0     0
        11839096008852004814                       UNAVAIL      0     0     0  was /dev/disk/by-id/scsi-35000c500cacd1f8f-part1
        scsi-35000c500cacd088b                     ONLINE       0     0     0
        scsi-35000c500cacd28df                     ONLINE       0     0     0
        scsi-35000c500cacd068b                     ONLINE       0     0     0
        scsi-35000c500cacdbd77                     ONLINE       0     0     0
      raidz2-7                                     ONLINE       0     0     0
        scsi-35000c500cacd040b                     ONLINE       0     0     0
        scsi-35000c500cacd16bb                     ONLINE       0     0     0
        scsi-35000c500cacd4d37                     ONLINE       0     0     0
        scsi-35000c500cacd1b57                     ONLINE       0     0     0
        scsi-35000c500cacd0453                     ONLINE       0     0     0
        scsi-35000c500cacd3f6b                     ONLINE       0     0     0
        scsi-35000c500cacd0297                     ONLINE       0     0     0
      raidz2-8                                     ONLINE       0     0     0
        scsi-35000c500cacd4bcb                     ONLINE       0     0     0
        scsi-35000c500cacd36cf                     ONLINE       0     0     0
        scsi-35000c500cacd1983                     ONLINE       0     0     0
        scsi-35000c500cacd3aaf                     ONLINE       0     0     0
        scsi-35000c500cacda90b                     ONLINE       0     0     0
        scsi-35000c500cacd0d53                     ONLINE       0     0     0
        scsi-35000c500cacdaa1f                     ONLINE       0     0     0
      raidz2-9                                     ONLINE       0     0     0
        scsi-35000c500cacd3f13                     ONLINE       0     0     0
        scsi-35000c500cacd3187                     ONLINE       0     0     0
        scsi-35000c500cacd59a3                     ONLINE       0     0     0
        scsi-35000c500cacd0913                     ONLINE       0     0     0
        scsi-35000c500cacdf663                     ONLINE       0     0     0
        scsi-35000c500cacd156b                     ONLINE       0     0     0
        scsi-35000c500cacd203f                     ONLINE       0     0     0
      raidz2-10                                    ONLINE       0     0     0
        scsi-35000c500cacd4c97                     ONLINE       0     0     0
        scsi-35000c500cacd58a3                     ONLINE       0     0     0
        scsi-35000c500cacd2353                     ONLINE       0     0     0
        scsi-35000c500cacd3f67                     ONLINE       0     0     0
        scsi-35000c500cacd235f                     ONLINE       0     0     0
        scsi-35000c500cacdf14f                     ONLINE       0     0     0
        scsi-35000c500cacd2583                     ONLINE       0     0     0
      raidz2-11                                    ONLINE       0     0     0
        scsi-35000c500cacd2f87                     ONLINE       0     0     0
        scsi-35000c500cacdb557                     ONLINE       0     0     0
        scsi-35000c500cacd00f3                     ONLINE       0     0     0
        scsi-35000c500cacd3ea7                     ONLINE       0     0     0
        scsi-35000c500cacd23ff                     ONLINE       0     0     0
        scsi-35000c500cacd09d3                     ONLINE       0     0     0
        scsi-35000c500cacd3adb                     ONLINE       0     0     0
    logs    
      mirror-12                                    ONLINE       0     0     0
        nvme-eui.343842304db011100025384700000001  ONLINE       0     0     0
        nvme-eui.343842304db011060025384700000001  ONLINE       0     0     0
    cache
      nvme-eui.343842304db010920025384700000001    ONLINE       0     0     0
      nvme-eui.343842304db011080025384700000001    ONLINE       0     0     0
    spares
      scsi-35000c500cacdc907                       INUSE     currently in use
      scsi-35000c500cacd299f                       INUSE     currently in use
      scsi-35000c500cacd340b                       INUSE     currently in use
      scsi-35000c500cacd60ef                       INUSE     currently in use

errors: No known data errors

Eu parei a transferência, por motivos óbvios, e estou esperando que o resilver termine antes de substituir os drives FAULTED e UNAVAIL. No entanto gostaria de saber se os drives DEGRADADOS devem ser substituídos? Além disso, se alguém tiver uma idéia de por que isso pode acontecer? (Além da possibilidade de apenas um conjunto ruim de unidades.) Ou talvez eu só precise matar o pool e substituir as unidades. De qualquer forma, estou pensando que os dados terão que ser copiados mais uma vez.

zfs debian-buster debian-jessie
Martin Hope
Chris Woelkers
Asked: 2017-06-20 07:25:51 +0800 CST
  • 0

Então eu tenho um servidor Apache 2.4. Atualmente, está servindo páginas via SSL, com um certificado Comodo, por trás de um login htpasswd.

Existem alguns computadores em casa que estão acessando este servidor constantemente. Eu gostaria de criar alguns certificados de cliente SSL e instalá-los nos computadores para que os usuários não precisem fazer login todas as vezes. Encontrei este tutorial básico: http://www.garex.net/apache/ que segui com algumas modificações para criar os certificados do cliente. Eu ainda tenho que implementar esses certificados no Apache.

O que eu preciso saber é se posso ter os dois, o certificado SSL da Comodo mais a CA interna com seus certificados de cliente. Um substituirá ou entrará em conflito com o outro?

ssl
Martin Hope
Chris Woelkers
Asked: 2017-02-22 20:15:36 +0800 CST
  • 3

Primeiro, uma rápida explicação do problema subjacente. Consegui um novo emprego como administrador de sistema e herdei um servidor de arquivos usando ZFS como base para os dados compartilhados. O pool inclui vários sistemas de arquivos, mas nenhum volume. Recentemente, o compartilhamento do Samba no servidor parou de funcionar e parece ser um problema de autenticação. Estamos trabalhando com a Centrify, que fornece a integração de autenticação AD, para descobrir o motivo.

Enquanto esperamos, já faz uma semana que os usuários estão ficando muito inquietos e a administração começou a nos encarar, temos tentado encontrar uma maneira de compartilhar os dados de outra maneira.

Descobrimos que os compartilhamentos do Centrify Samba funcionam bem com o Debian 8.4. Neste ponto, gostaríamos de configurar outro servidor para distribuir temporariamente os compartilhamentos do Samba. Este segundo servidor precisará se conectar ao servidor de arquivos principal. Tanto o NFS quanto o iSCSI foram discutidos, mas ambos têm problemas.

Pela minha pesquisa, o NFS tem problemas de desempenho, permissão e até validação de dados quando uma montagem NFS é compartilhada no Samba. Pode funcionar, mas não parece ser a melhor solução. O iSCSI, por outro lado, parece que funcionaria muito bem, mas parece exigir volumes ZFS em vez de sistemas de arquivos.

Então as perguntas são as seguintes.

Os sistemas de arquivos ZFS podem ser usados ​​como destinos iSCSI?

Os sistemas de arquivos ZFS podem ser convertidos em volumes ZFS?

Ou a solução NFS funcionaria melhor neste caso temporário?

nfs debian iscsi zfs
Martin Hope
Chris Woelkers
Asked: 2016-08-31 08:05:58 +0800 CST
  • 0

Eu obtive alguns certificados SSL apropriados para o nosso site. Consegui instalá-los e os testes do lado HTTPS funcionaram muito bem. A única coisa que restava era redirecionar todo o tráfego HTTP para HTTPS, e então as coisas foram por água abaixo.

Eu adicionei a seguinte linha à minha <VirtualHost *:80>área:

Redirect permanent / https://www.website.com/

Isso causou um comportamento interessante de duas maneiras. A primeira é que todos os links absolutos dentro do site para um diretório diferente dentro do site falharam. Por exemplo, um link para http://www.website.com/directoryterminaria em https://www.website.comdirectorycom o erro obrigatório "Este site não pode ser acessado". Inserir diretamente no URL http://www.website.com/directorydaria o mesmo comportamento.

Seria melhor substituir a instrução Redirect por esta?

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/%$1 [R,L]

Ou é necessário algo mais?

ssl redirect apache-2.4