Início / user-519408

user53815's questions

Martin Hope
user53815
Asked: 2023-12-13 13:31:03 +0800 CST
  • 5

Em primeiro lugar, pesquisei no Google sobre o openssl, como este , e também tentei dezenas de vezes criar um certificado autoassinado válido.
Mas acho que perguntar sobre serverfault seria muito mais rápido.

Minha plataforma é um computador Windows 10 com o openssl 3.2.0 light edition instalado. A infraestrutura não possui domínio, apenas um ambiente de testes.

O objetivo é criar um certificado autoassinado para hosts do Windows e protocolo https de gerenciamento remoto do Windows para utilização e eu sabia que o Windows PowerShell "New-SelfSignedCertificate" pode resolver minha demanda diretamente, mas não é isso que eu quero.

Openssl é a ferramenta que preciso. Quero usar o openssl para gerar um certificado autoassinado (de 0) igual ao que "New-SelfSignedCertificate" pode gerar.

Encontrei problemas ao configurar o "winrm" após importar o certificado (gerado a partir do openssl). As mensagens de erro são:

settings Error number:  -2144108306 0x803380EE
The WinRM client cannot process the request. 
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication". 
Retry the request with a certificate that has the correct EKU.

Aqui estão os comandos que utilizo para criar o certificado autoassinado:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem

#Gerar uma solicitação de assinatura de certificado (CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"

#Gerar um certificado autoassinado
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt

#combine a chave privada e o certificado em um arquivo PKCS#12 (PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd

Ao executar as linhas de comando listadas acima, todas funcionaram sem mensagens de erro, porém, o "keyUsage" e o "extendedKeyUsage" nunca podem ser inseridos e essas extensões nunca aparecem no certificado. O resultado são mensagens de erro ao tentar configurar o winrm com https para utilizar este certificado, conforme mostrado acima.

Quero solucionar os problemas um por um.
Alguém pode fornecer algumas dicas sobre como lidar com as extensões do certificado usando o openssl 3?

ssl-certificate
Martin Hope
user53815
Asked: 2022-11-07 21:57:47 +0800 CST
  • 7

Atualmente, estou gerenciando alguns hosts RHEL 7.9 que precisam sincronizar o tempo com o servidor NTP e apenas o ntpd pode ser utilizado para sincronização de tempo.

Eu fiz as seguintes configurações no sistema operacional, mas não tenho certeza se o resultado indicando que elas estão corretas ou não.

  1. o servidor de horário no ambiente é 192.168.30.200
  2. no arquivo /etc/ntp.conf, os parâmetros foram escritos: server 192.168.30.200erestrict 192.168.30.200
  3. comando chkconfig ntpd onpara iniciar o ntpd.
  4. comando ntpdate -dv 192.168.30.200para sincronizar o tempo (é o comando para sincronizar o tempo imediatamente?) e a saída está abaixo:
7 Nov 13:51:42 ntpdate[128853]: ntpdate 4.2.6p5@1.2349-o Mon Jun  1 11:18:15 UTC 2020 (1)
Looking for host 192.168.30.200 and service ntp
host found : 192.168.30.200
transmit(192.168.30.200)
receive(192.168.30.200)
transmit(192.168.30.200)
receive(192.168.30.200)
transmit(192.168.30.200)
receive(192.168.30.200)
transmit(192.168.30.200)
receive(192.168.30.200)
server 192.168.30.200, port 123
stratum 4, precision -23, leap 00, trust 000
refid [192.168.30.200], delay 0.02632, dispersion 0.00005
transmitted 4, in filter 4
reference time:    e7131a05.fd12bbc4  Mon, Nov  7 2022 13:45:41.988
originate timestamp: e7131b75.00e9ce65  Mon, Nov  7 2022 13:51:49.003
transmit timestamp:  e7131b75.004901f8  Mon, Nov  7 2022 13:51:49.001
filter delay:  0.02666  0.02657  0.02632  0.02663
         0.00000  0.00000  0.00000  0.00000
filter offset: 0.001956 0.001816 0.001894 0.001940
         0.000000 0.000000 0.000000 0.000000
delay 0.02632, dispersion 0.00005
offset 0.001894

 7 Nov 13:51:49 ntpdate[128853]: adjust time server 192.168.30.200 offset 0.001894 sec

a saída significa que o servidor de horário está operando e o horário foi sincronizado em clientes ntp?

ntp time-synchronization
Martin Hope
user53815
Asked: 2022-03-19 22:50:36 +0800 CST
  • 0

Acabei de fazer algumas pesquisas como esta e esta para evitar fazer uma pergunta que já tem resposta.

No entanto, não tenho certeza se as informações correspondem totalmente à minha pergunta ou não.

A situação é que atualmente estou mantendo um ambiente de teste sob um domínio de negócios. Existem dois controladores de domínio do Windows 2016 AD atuando como DC primário e segundo DC, respectivamente, e aparentemente estão vinculados para fornecer serviços de domínio.

Esses dois controladores de domínio têm apenas funções básicas em execução: serviços de domínio e dns, e todos os nós/clientes neste domínio são gerenciados por eles.

Agora, o DC primário encontrou problemas inexplicáveis ​​e não tenho escolha a não ser excluir a máquina inteira e reconstruir um novo DC primário para substituí-lo.

Eu não tenho experiência em "reconstruir" o controlador de domínio "primário", alguém sabe o que estar ciente ao fazer tal coisa? Ou talvez eu possa simplesmente excluir o DC primário e recriá-lo sem fazer alterações no segundo controlador de domínio?

desde já, obrigado.

domain-controller
Martin Hope
user53815
Asked: 2020-08-10 01:34:01 +0800 CST
  • 1

Pesquisei um pouco sobre como estabelecer a conexão entre as portas SFP+. No entanto, parece que existem muitas maneiras e combinações de fazer isso. Um pouco confuso.

aqui está o problema: tentar conectar a NIC do servidor de datacenter (basicamente, o adaptador HPE 562SFP+) aos switches TOR Cisco (e Aruba) (que fornecem interfaces SFP+) em um rack.

Descobri que existem várias combinações de "módulos de transceptor", como "10GBASE SR", "10GBASE LRM", "transceptores de modo único" (10GBASE-LR, 10GBASE-ER e 10GBASE-ZR) e "SFP + Copper Transceiver" .

Não tenho tanta certeza sobre como escolher cabos para fibra óptica.

  1. posso dizer que usar "transceptor de cobre com cabos CAT" é uma solução?
  2. que tipos de cabo de fibra óptica posso escolher para resolver o problema de conexão SFP+? o "SFP + DAC" fornece a maneira mais fácil?
  3. haverá algum problema de compatibilidade entre esses transceptores ópticos e minha placa de rede e switch?
  4. qual combinação de transceptor óptico e cabo é provavelmente a mais barata?

bem confuso...

fiber sfp
Martin Hope
user53815
Asked: 2020-07-21 01:49:23 +0800 CST
  • 0

Eu pesquisei alguns tópicos como este e este .

No entanto, sou um novato em servidor web e acredito que essas informações não poderiam responder minhas dúvidas com precisão.

Aqui está a situação. Estou tentando criar um laboratório para fazer POC para ambiente de produção futuro que envolva pool de servidores web e balanceador de carga de rede.

Vou criar algumas VMs do WinServer 2016 em um pool de servidores web para demonstrar um site(lab_testsite.local) e aplicar uma solução de balanceamento de carga de terceiros nele, e gostaria de saber:

  1. o servidor da web precisa ter o mesmo conteúdo da web para evitar erros no balanceamento de carga da web?
  2. existe alguma configuração necessária no IIS em cada servidor web para balanceamento de carga na web?
  3. o site deve ser sempre sincronizado em todos os servidores web do pool?
load-balancing iis web-server windows-server-2016
Martin Hope
user53815
Asked: 2020-02-07 17:51:19 +0800 CST
  • 0

atualmente, estou enfrentando um ambiente Windows AD que precisa migrar o servidor AD&DNS para outra máquina.

Suponha que o servidor AD&DNS original denominado VM-A(IP:10.1.1.1) seja o único controlador de domínio e migrará para outro WinServer denominado VM-B(IP:10.1.1.2).

E então, os servidores/clientes/dispositivos sob este domínio estão usando 10.1.1.1 como seu endereço de servidor DNS (somente este endereço) agora.

Portanto, as perguntas são, após a migração da função ADDS & DNS para VM-B e a exclusão de VM-A, os servidores/clientes/dispositivos enfrentarão problemas de DNS imediatamente?

Devo alterar o endereço do servidor DNS para esses servidores/clientes/dispositivos antes ou após a migração do ADDS/DNS? Qual seria a melhor prática?

domain-name-system active-directory
Martin Hope
user53815
Asked: 2019-10-18 07:58:33 +0800 CST
  • 1

Eu pesquisei respostas semelhantes no serverfault e no google, mas preciso esclarecer o procedimento para fazer isso.

eu tenho um antigo servidor windows 2012 que fornece serviço dhcp e agora quero transferir esse serviço dhcp para outro novo servidor windows (servidor 2016) sem interromper o serviço.

estou seguindo as instruções deste post para realizar a migração do dhcp e gostaria de saber:

  1. esta instrução é boa para minha demanda?
  2. quando estou usando o comando "netsh dhcp server" para migrar o dhcp, o serviço dhcp no novo servidor entrará em conflito com o serviço dhcp antigo? eu acho que ambos existirão em um curto período de tempo antes de eu desativar e remover o dhcp no servidor antigo.

não posso correr o risco ao migrar o serviço DHCP com interrupção.

dhcp