Mark Henderson's questions

Eu tenho um módulo do Terraform que define a senha do administrador com base em uma variável

admin_password = "${var.local_admin_password}"

No entanto, var.local_admin_passwordnão é mais o único lugar de onde a senha pode vir. Eu preciso mudar a lógica para ser algo nesse sentido:

admin_password = "${var.local_admin_password != "" ? var.local_admin_password : module.secrets.local_admin_password}"

Se local_admin_passwordfor fornecido, ele usará isso, mas se não for fornecido, ele deverá obter uma senha de um módulo de segredos.

Isso funciona muito bem para novos recursos. Mas aplicar isso a recursos antigos aciona uma alteração na variável sensível admin_passwordque aciona um novo recurso. Todos os recursos antigos terão local_admin_passwordfornecido, portanto, o valor não está realmente mudando.

Existe uma maneira de fazer essa alteração de forma que o Terraform reconheça que os dados são realmente os mesmos e não acione uma alteração de recurso?

Tenho um ambiente AWS que foi construído 100% com Terraform. Eu não toquei nisso em alguns dias, mas hoje, quando fui fazer o que pensei ser uma mudança bastante trivial, a Terraform decidiu que quer construir uma infraestrutura AWS totalmente nova. Desistir da mudança não fez diferença, não importa o que eu faça, a Terraform agora quer construir uma nova infraestrutura.

Não quer derrubar a infraestrutura antiga, quer construir essa nova infraestrutura lado a lado.

Está basicamente agindo como se toda a minha infraestrutura pré-existente simplesmente não existisse.

Suspeito que seja porque tudo está vinculado a uma VPC e porque acha que precisa criar uma nova VPC, tudo a jusante da VPC (ou seja, tudo) também é recriado para que os IDs correspondam.

Eu sou muito novo no Terraform, então existe alguma maneira de "forçar" o Terraform de volta ao seu estado antigo?

Estamos vendo um problema estranho com a consulta LDAP do Active Directory.

A situação é: Temos um grupo de segurança em uma determinada UO. Esse grupo de segurança precisa ser movido para uma UO totalmente diferente .

Temos um aplicativo que usa LDAP para autenticar no AD e consulta usando o Active Directory LDAP_MATCHING_RULE_IN_CHAIN ​​, para que ele suporte grupos incorporados:

(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)

Um exemplo de consulta seria:

ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Departments,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)' dn

Ele retorna uma lista completa de usuários que pertencem à UO solicitada - conforme o esperado.

No entanto, se movermos esse grupo para fora Departments\System Administratorse para dentro Security Groups\System Administration(e atualizarmos a consulta adequadamente):

(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)

por exemplo:

ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Security Groups,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)' dn

Não recebemos nenhum resultado da Pesquisa LDAP.

Nosso primeiro pensamento foi "Ah, provavelmente está armazenando algo em cache". Mas deixamos o grupo de segurança em sua nova UO por várias horas e ainda vimos os mesmos resultados.

Alguém já viu algo assim antes? Alguma sugestão sobre onde solucionar problemas em seguida?

Estou usando o Powershell Invoke-WebRequest(isso também se aplica a Invoke-RestMethod) para fazer uma chamada para um cluster ElasticSearch. Este comando específico geralmente retorna um resultado de erro ( 409 conflict).

O Powershell vê o estado do erro, lança um erro e não passa nada de útil pelo pipeline e vomita o corpo da resposta no console:

No entanto, a) mesmo que tenha um código de erro, não me importo realmente com o erro (apenas que seja retornado) e b) quero poder acessar o corpo dessa resposta para que eu possa realmente inspecionar o dados contidos nele.

Existe alguma maneira de o PowerShell suprimir a saída de erro ( -ErrorActionnão funciona) e passar algo útil ao longo do pipeline?

Como observação, na verdade, quero invocar isso com Invoke-RestMethodmas como e Invoke-WebRequestsão essencialmente o mesmo comando, generalizei esta questão paraInvoke-WebRequest

Estou tentando consultar as estatísticas de DNS do Windows Server 2012 via WMI.

Se eu executar o seguinte comando no Powershell:

Get-WmiObject -Namespace root\MicrosoftDNS -Class MicrosoftDNS_Statistic | ?{ $_.Name.Contains("UDP messages allocated") } | ft Name,Value

Eu recebo o seguinte:

Name                           Value
----                           -----
UDP messages allocated         20550
UDP messages allocated         2596235

Duas estatísticas com o mesmo nome? E valores totalmente diferentes? O que? Então, começo a investigar a classe subjacente e vejo que a classe realmente tem:

uint32 UdpAlloc;
uint32 TcpAlloc;

O que parece óbvio, e os dois valores acima são provavelmente esses dois. Mas - qual é qual?

Parece uma suposição óbvia que o maior número é UDP e o menor número é TCP. Mas isso é ainda mais complicado pelo fato de que existem várias estatísticas duplicadas, não apenas esta, e algumas delas têm valores baixos que podem ser TCP ou UDP.

Alguém já viu isso antes e trabalhou em torno disso?

Eu tenho um nó DFS do Windows Server 2012 R2 que tem seu banco de dados corrompido. Antes da corrupção do DFS-R, ele tinha um conjunto de dados totalmente atualizado. Foi cerca de uma semana antes de descobrirmos a corrupção, o que significaria que cerca de 10.000 arquivos foram alterados durante aquela semana.

Felizmente, tenho outro nó DFS 2012 R2 que possui um banco de dados perfeitamente intacto, então pensei "Ótimo! Vou apenas exportar seu banco de dados e importá-lo para o outro servidor!", de acordo com o "Usar clonagem para substituir um DFS corrompido Banco de dados de replicação" de https://technet.microsoft.com/en-us/library/dn482443.aspx?f=255&MSPPError=-2147217396

Portanto, removi o servidor com defeito do grupo de replicação DFS-R.

No servidor de trabalho, executei:

Export-DfsrClone -Volume G: -Path C:\Temp\DFSR-Export\

E no servidor com defeito, executei:

Stop-Service DFSR
Remove-Item –path "G:\system volume information\dfsr" –recurse -force
Start-Service DFSR
Import-DfsrClone -Volume G: -Path C:\Temp\DFSR-Export\

Em seguida, adicionei novamente esse servidor ao grupo de replicação e, depois de esperar cerca de uma hora para colocá-lo em ordem, executei:

Get-DfsReplicationGroup APPS | Get-DfsrBacklog -SendingMember goodserver -ReceivingMember badserver

VERBOSE: A pasta replicada tem um backlog de arquivos. Pasta replicada: "APPS". Contagem: 4242345

Querendo saber se estava apenas refazendo os arquivos, deixei-o rodar, mas ele copiou 40 GB completos de arquivos para a pasta Conflitos e Excluídos e pegou novas cópias dos arquivos idênticos.

Existe alguma maneira de solucionar isso? Não quero sugar quase 800 GB de arquivos por este link remoto se não for necessário. Como eu disse, o volume DFS estava totalmente atualizado e funcionando bem até uma semana atrás.

Tenho um aplicativo do Windows que preciso invocar com um atalho na área de trabalho e alguns parâmetros de linha de comando.

Já fiz isso milhares de vezes, mas essa é um pouco diferente. Em vez de usar um parâmetro de linha de comando normal como -e 12345ou -example 12345, este usa @12345(começando com o @símbolo).

Os atalhos do Windows não gostam que esse parâmetro venha imediatamente após o nome do executável e apenas remove tudo. Eu não sei por quê.

Por exemplo:

c:\example\example.exe @12345 -e9876como o "alvo", ao salvar, retira todos os parâmetros e deixa apenas c:\example\example.execomo o destino.

Mas c:\example\example.exe -e9876 @12345 funciona muito bem. Ele salva e valida, e está tudo bem.

No entanto , preciso que o @parâmetro seja o primeiro no comando. Além de fazer algo como agrupar o comando em um arquivo de lote e chamar o lote, como posso ter um @símbolo como o primeiro parâmetro de linha de comando em um atalho do Windows?

Recentemente, atualizamos um site remoto de uma fibra de 10/10 Mbps para um link de fibra de 20/20 Mbps (é fibra até o porão, depois VDSL do porão até o escritório, aproximadamente 30 metros). Existem cópias regulares de arquivos grandes (multi-gig) entre este site e um site central, então a teoria era que aumentar o link para 20/20 deveria reduzir pela metade os tempos de transferência.

Para transferências para copiar arquivos (por exemplo, usando robocopypara copiar arquivos em qualquer direção ou replicação do Veeam Backup and Recovery), eles são limitados a 10 Mbps.

Antes da atualização:

Após a atualização ( robocopy):

Quase idêntico (ignore a diferença no tempo de transferência).

As transferências estão sendo feitas através de um túnel IPSec entre um Cisco ASA5520 e um Mikrotik RB2011UiAS-RM .

Primeiros pensamentos:

• QoS - não. Existem regras de QoS, mas nenhuma que afete esse fluxo. Desativei todas as regras por alguns minutos para verificar de qualquer maneira, e nenhuma alteração
• Limites definidos por software. A maior parte desse tráfego é de envio externo do Veeam Backup and Recovery, mas não há limites definidos lá. Além disso, acabei de fazer uma sequência robocopye vi exatamente as mesmas estatísticas.
• Hardware não capaz. Bem, os números de desempenho publicados de um 5520 são 225 Mbps de dados 3DES, e o Mikrotik não publica números, mas seria bem mais de 10 Mbps. O Mikrotik está em torno de 25%-33% de uso da CPU ao fazer esses testes de transferência. (Além disso, fazer uma transferência HTTP pelo túnel IPSec atinge quase 20 Mbps)
• Latência combinada com o tamanho da janela TCP? Bem, é uma latência de 15 ms entre os sites, portanto, mesmo no pior caso, o tamanho da janela de 32 KB 32*0.015é de no máximo 2,1 MB/s. Além disso, várias transferências simultâneas ainda somam apenas 10 Mbps, o que não suporta essa teoria
• Talvez a origem e o destino sejam uma merda? Bem, a fonte pode enviar leituras sequenciais sustentadas de 1,6 GB/s, então não é isso. O destino pode fazer gravações sequenciais sustentadas de 200 MB/s, então também não é isso.

Esta é uma situação muito estranha. Eu nunca vi nada se manifestar dessa maneira antes.

Onde mais posso procurar?

Em uma investigação mais aprofundada, estou confiante em apontar o túnel IPSec como o problema. Fiz um exemplo artificial e fiz alguns testes diretamente entre dois endereços IP públicos nos sites, e depois fiz exatamente o mesmo teste usando os endereços IP internos, e consegui replicar 20 Mbps na Internet não criptografada e apenas 10 Mbps no IPSec lado.

A versão anterior tinha uma pista falsa sobre HTTP. Esqueça isso, este foi um mecanismo de teste defeituoso.

De acordo com a sugestão do Xeon e ecoada pelo meu ISP quando pedi suporte, configurei uma regra mangle para reduzir o MSS dos dados IPSec para 1422 - com base neste cálculo :

 1422   +  20 + 4 +  4 +   16  +   0     +      1    +     1     +   12
PAYLOAD  IPSEC SPI ESP  ESP-AES ESP (Pad)  Pad Length Next Header ESP-SHA

Para caber dentro do 1480 MTU do ISP. Mas, infelizmente, isso não fez nenhuma diferença efetiva.

Depois de comparar as capturas do wireshark, a sessão TCP negocia um MSS de 1380 em ambas as extremidades agora (depois de ajustar algumas coisas e adicionar um buffer no caso de minha matemática ser ruim. Dica: provavelmente sim). 1380 também é o MSS padrão do ASA de qualquer maneira, então pode ter negociado isso o tempo todo de qualquer maneira.

Estou vendo alguns dados estranhos na ferramenta dentro do Mikrotik que venho utilizando para medir o tráfego. Pode não ser nada. Não percebi isso antes porque estava usando uma consulta filtrada e só vi isso quando removi o filtro.

Estou experimentando a desduplicação em um espaço de armazenamento do Server 2012 R2. Deixei executar a primeira otimização de desduplicação ontem à noite e fiquei satisfeito ao ver que reivindicou uma redução de 340 GB.

No entanto, eu sabia que isso era bom demais para ser verdade. Nessa unidade, 100% da desduplicação veio de backups do SQL Server:

Isso parece irreal, considerando que existem backups de bancos de dados com 20x esse tamanho na pasta. Como um exemplo:

Ele considera que um arquivo de backup de 13,3 GB foi reduzido para 0 bytes. E, claro, esse arquivo realmente não funciona quando fiz uma restauração de teste dele.

Para adicionar insulto à lesão, há outra pasta naquela unidade que contém quase um TB de dados que deveria ter deduplicado muito, mas não foi.

A desduplicação do Server 2012 R2 funciona?

Estamos vendo um comportamento muito estranho em nosso Cisco ASA 5505 em execução9.1(2)

Temos um PABX SIP dentro da nossa rede. Ele tem uma configuração um pouco estranha, ele escuta solicitações SIP de entrada para nosso tronco em UDP/60052.

Portanto, em nosso ASA, tenho um encaminhamento de porta de UDP/5060para UDP/65002em nossa interface externa. 90% desse tempo, isso funciona muito bem.

No entanto, nos 10% restantes do tempo, e até agora parece ser aleatório, o ASA decide não fazer nada com o UDP/5060tráfego de entrada. Uma captura de pacotes no ASA mostra o INVITEpedido SIP que atinge a outsideinterface, mas nunca alcança a interface de saída.

Não estamos usando nenhuma inspeção SIP, pois o servidor interno usa STUNpara remapear seus cabeçalhos SIP.

Regra NAT:

nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002

ACL:

object-group service DM_INLINE_SERVICE_3
 service-object object Swyx-RTP-55000
 service-object object Swyx-SIP-65002-UDP
 service-object object RTP

access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical

O que eu perdi? Há algum bug conhecido nesta versão do ASA?

Eu tenho uma situação estranha. No fim de semana, nosso sistema Exchange 2010 queimou, então retirei o backup de sexta-feira, 12/12/2014, e o restaurei.

Agora, quando nossos usuários se reconectam às suas caixas de correio, seja por meio do Outlook ou de seus telefones, eles não veem nada depois de 18/11/2014. Eu assisti o conteúdo desaparecer com meus próprios olhos. Em um momento estava lá, no próximo, bam - desaparecido. Quase um mês de dados se foi de seus dispositivos. E-mails, compromissos, etc. O Outlook de todos está sendo executado no modo Cache - não tenho ideia do que os próprios dispositivos fazem (alguns são iPhones, outros são Android).

No entanto: Se eu fizer login na interface da web, tudo estará intacto. Posso ver as entradas até quando o backup foi feito.

O que está acontecendo? Os Outlooks dos usuários eventualmente se resolverão? Novo conteúdo (e-mails de entrada) está aparecendo corretamente na caixa de correio.

No momento, acabei de aconselhar nossos usuários a entrar em seu webmail.

Eu tenho um ESXi 5.5.0 autônomo b2143827. Ele está sendo executado em um Dell R710 com 144 GB de RAM. Tem aproximadamente 20 VMs nele.

No momento, não consigo acessar o console por meio do cliente VMWare vSphere ou SSH. Ele apenas age como se o servidor não existisse. O host retornará em horários aparentemente aleatórios e eu posso acessar o host via SSH e o cliente vSphere, mas ele simplesmente sairá da rede novamente em um momento indeterminado no futuro. Posso acessá-lo através do console de emergência no próprio host físico ( Alt+F1).

No entanto, todas as VMs estão ativas e funcionando. Mas cerca de 10 vezes por dia, todas as VMs vão cair fora da rede entre 15 segundos e 5 minutos. Então eles vão voltar muito bem e tudo continua funcionando.

Eu fiz o seguinte:

• Estava em uma compilação anterior, atualizei para b2143827. Isso não fez diferença
• /sbin/services.sh restart- isso não ajuda a situação
• Reiniciou o host físico. Isso não fez diferença.
• No console físico ( Alt+F1), fiz o ping de outro dispositivo físico na rede. Não descarta nenhum pacote.
• No console físico, fiz ping em uma máquina virtual no host. Sofre aproximadamente 80% de perda
• De uma máquina remota, posso executar ping no endereço IP de gerenciamento com 0% de perda de pacotes
• A partir de uma máquina remota, posso executar ping em uma VM no host e posso ver o host sair e voltar à rede de vez em quando
• Eu observei tail -f /var/log/hostd.logpor um tempo e não vi nada de desagradável acontecendo lá
• O sistema é instalado em um cartão SD. Desliguei o servidor, DDtransferi o cartão para outro cartão e inicializei-o no novo cartão. O mesmo problema.
• Tentei um switch de rede diferente
• Executei o Dell Update Manager e atualizei cada firmware para a versão mais recente.

Eu estou em uma perda para onde ir a partir daqui. Este servidor operou perfeitamente nos últimos 2,5 anos. O VMWare costumava ser instalado em uma unidade física, mas há 6 meses ele foi transferido para o cartão SD para que pudéssemos reconfigurar as unidades físicas.

Eu tenho uma pilha de novos switches Dell N2048. Estou fazendo a configuração inicial e quero configurar o horário de verão para a Austrália.

Nosso horário de verão vai de outubro a abril de cada ano, mas o switch não permite que eu configure este intervalo de data/hora:

Erro: os valores de início recorrentes do horário de verão devem preceder os valores finais

(que também está escrito incorretamente).

Então pensei "Ok, vou definir de abril a outubro com um deslocamento de -60 minutos, será o mesmo efeito", mas é claro, não, não posso definir um deslocamento negativo para o horário de verão.

Existe alguma maneira de configurar corretamente o DST para esses switches?