我有一个包含 2 个站点的域,每个站点都有自己的 2019 DC。在(辅助)站点上,我看到一条警报,提示 KPSSVC 服务(KDC 代理服务器服务)未启动。并且它的启动类型设置为自动。
当我尝试启动该服务时,Windows 回复“Windows 无法在本地计算机上启动 KDC 代理服务器服务 (KPSSVC)。错误 5:访问被拒绝”。我正在尝试以域管理员身份登录时启动该服务。
我没有任何子 OU,这是一个非常简单的域。
我有一个包含 2 个站点的域,每个站点都有自己的 2019 DC。在(辅助)站点上,我看到一条警报,提示 KPSSVC 服务(KDC 代理服务器服务)未启动。并且它的启动类型设置为自动。
当我尝试启动该服务时,Windows 回复“Windows 无法在本地计算机上启动 KDC 代理服务器服务 (KPSSVC)。错误 5:访问被拒绝”。我正在尝试以域管理员身份登录时启动该服务。
我没有任何子 OU,这是一个非常简单的域。
我有一个 Avago raid 控制器,管理 4 个磁盘 + 1 个热备用的阵列。
----------------------------------------------------------------------------------
EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp Type
----------------------------------------------------------------------------------
252:0 3 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:1 5 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:2 6 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:3 7 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:4 4 GHS - 7.276 TB SATA HDD N N 512B WDC WD8004FRYZ-01VAEB0 U -
----------------------------------------------------------------------------------
一切运行良好,但我注意到 storcli 输出显示 GHS 磁盘已旋转。为什么要让 GHS 保持运转 - 这不会磨损原本闲置的磁盘吗?是否可以降低该驱动器的转速直至需要为止?
我有一个 LSI 控制器,其 R10 阵列由 4 个驱动器 + 1 个备用驱动器组成。斯托克利报道:
----------------------------------------------------------------------------------
EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp Type
----------------------------------------------------------------------------------
252:0 3 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:1 5 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:2 6 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:3 7 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:4 4 UGood - 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
----------------------------------------------------------------------------------
slt 4的详细信息显示:
Drive /c0/e252/s4 Policies/Settings :
===================================
Enclosure position = 1
Connected Port Number = 4(path0)
Sequence Number = 3
Commissioned Spare = No
Emergency Spare = No
我想让驱动器 4 成为全局热备用。另一篇文章建议使用以下命令:
storcli /c0/e252/s4 add hotsparedrive
但这与上面的“委托备用”与“紧急备用”有何关系。我只是希望该磁盘可以作为备用磁盘,以防任何驱动器出现故障。
我正在调查最近可能遭遇驱动器故障的 LSI raid 阵列的状态。该阵列配置了备用阵列,因此阵列不会降级。但是,storcli 命令 ( /opt/lsi/storcli/storcli /c0/e252 show ) 显示有 2 个驱动器正在运行后台任务 (BT:Y)。
这是否意味着它正在重建?后台任务是什么?
-----------------------------------------------------------------------------
DG Arr Row EID:Slot DID Type State BT Size PDC PI SED DS3 FSpace TR
-----------------------------------------------------------------------------
0 - - - - RAID10 Optl N 10.915 TB dflt N N dflt N N
0 0 - - - RAID1 Optl N 5.457 TB dflt N N dflt N N
0 0 0 252:0 3 DRIVE Onln N 5.457 TB dflt N N dflt - N
0 0 1 252:1 5 DRIVE Onln N 5.457 TB dflt N N dflt - N
0 1 - - - RAID1 Optl N 5.457 TB dflt N N dflt N N
0 1 0 252:2 6 DRIVE Onln Y 5.457 TB dflt N N dflt - N
0 1 1 252:3 7 DRIVE Onln Y 5.457 TB dflt N N dflt - N
-----------------------------------------------------------------------------
有没有办法找出这两个驱动器在后台做什么?
我接管了一台带有 LSI RAID 卡的新服务器,配置了 4 个驱动器(R10)和一个备用驱动器。我通常通过关闭服务器并通过 LSI GUI (rom) 进行配置来管理 RAID 阵列。
但是,我目前无法关闭该服务器,因此我安装了 LSI CIM(在 ESXi 6.7 上)。storcli 命令显示以下内容:
----------------------------------------------------------------------------------
EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp Type
----------------------------------------------------------------------------------
252:0 3 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:1 5 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:2 6 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:3 7 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:4 4 UBad F 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-0 U -
----------------------------------------------------------------------------------
正如您所看到的,插槽 4 中的磁盘被标记为“UBad”。然而,这真的意味着失败吗?它显示为旋转 (Sp:U)。DG(驱动组)显示为“F” - 不知道这意味着什么。是否该驱动器根本没有配置为热备用?
我还可以从命令行做些什么来查看发生了什么?有什么方法可以从通过 IP 连接到主机的 GUI(在 Linux 或第二选择 Windows 中)进行管理吗?
更新:
我按照下面的建议在驱动器上使用了“set good”参数,以及“/fall delete”,它不再显示为外部配置:
----------------------------------------------------------------------------------
EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp Type
----------------------------------------------------------------------------------
252:0 3 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:1 5 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:2 6 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:3 7 Onln 0 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
252:4 4 UGood - 5.457 TB SATA HDD N N 512B WDC WD6002FRYZ-01WD5B1 U -
----------------------------------------------------------------------------------
请注意,完整的型号现在出现了……很奇怪。这是有什么东西不稳定的迹象吗?
我购买了一张较旧的 LSI 9300-4i 卡,在将其投入生产之前,我想刷新最新的固件。除了可用固件的 IT 与 IR 风格之外,还有 IT 与 IT_ACM 风格。
ACM 后缀有什么用?
我将仅将一个驱动器(无 raid)连接到该卡,以热插拔驱动器托盘。所以我不会等待raid,这就是为什么我认为我应该刷新IT固件。但 IT_ACM 让我摸不着头脑。
我有 2 台主机(h1 和 h2),如果 h1 出现故障,h2 将接管服务。主机名是唯一的,它们有不同的 MAC 地址,并且每个都有一个唯一的 IP 和一个共享 IP(在故障转移时在主机之间移动)。
是否可以在主机之间共享 SSL 证书?这样,寻找 TLS 保护服务的上游/下游设备认为它们连接到与以前相同的主机(故障转移前)?
或者这些证书中是否有与硬件相关的内容,如果将它们移至新主机,将拒绝正常运行?
我的 Ansible 脚本创建了一台 AWS 机器,然后尝试连接到它。根据我创建的图像,SSH 登录的默认用户名是“centos”或“ubuntu”等。
我下面的脚本在 wait_for_connection 上失败,出现“权限被拒绝”错误。我认为这是因为 ssh 使用了错误的用户名;控制节点以“userx”身份运行脚本。(我确认我的公钥在远程机器上,并且我的匹配私钥在控制节点上可用)。
如何调整我的脚本以使 ansible 使用正确的用户名?由于刚刚创建主机,因此我无法在清单中指定它,并且用户名取决于实例的类型。wait_for_connection 没有“用户名”选项
我的脚本:
- name: Create one AWS machine
local_action:
module: ec2
aws_access_key: "{{ aws_access_key }}"
aws_secret_key: "{{ aws_secret_key }}"
key_name: "{{ key_name }}"
group_id: "{{ security_group_id }}"
instance_type: "{{ instance_type }}"
image: "{{ ami_id }}"
wait: true
region: "{{ aws_region }}"
zone: "{{ aws_zone}}"
vpc_subnet_id: "{{ aws_vpc_subnet }}"
assign_public_ip: yes
register: ec2
- name: Wait for SSH to come up
delegate_to: "{{ ec2.instances[0].public_dns_name }}"
wait_for_connection:
delay: 60
sleep: 15
timeout: 40
我尝试在 wait_for_connection 之前设置用户和密钥文件,如下所示,但 ansible 仍然报告为连接用户 NONE,并且密钥文件尝试不列出我的密钥文件(/root/.ssh/mykey):
- name: Prepare to connect to new node
set_fact:
ansible_user: 'centos'
ansible_ssh_private_key_file: "{{ private_key_file }}"
和部分ansible输出:
<ec2-34-27-194-74.compute-1.amazonaws.com> ESTABLISH SSH CONNECTION FOR USER: None
debug1: identity file /root/.ssh/id_ecdsa type -1
我正在尝试更新主机变量中的字典,并且密钥的名称是使用变量(节点)构造的。例如,如果 'node' 为 1,那么我想更新 hostvars['fakehost']['mydict']['localaddress1']。这是我的代码:
- name: Read IPv4 of first interface
add_host:
name: "fakehost"
telium: "{{ hostvars['fakehost']['mydict'] | combine ({ 'localaddress{{ node }}' : ansible_all_ipv4_addresses[0] }) }}"
我不知道如何用 ansible 抱怨语法来构造 localaddress{{node}} 。
我们有一台旧服务器,多年来遭受了许多硬件和软件问题。我们只想摆脱旧的 Exchange 2013 服务器,重新安装新的 Windows 2019 + Exchange 2019。
作为预防措施,我尝试从旧服务器上卸载 Exchange 2013,但盒子太乱了。卸载失败。
最好的方法是什么?我是否需要进入 ADSI 编辑并开始清理旧服务器的 AD?或者只是从域中删除旧服务器并创建新的 Exchange 2019 服务器?我已经阅读了关于需要删除软件、清理 AD 的风险可能会阻止新服务器安装等的混合建议。请参阅此详细演练
(我已经在客户端级别导出邮件 - 所以我不需要保存任何内容)。
我有一个运行 wordpress 的 AWS lightsail 实例。它受到来自中国 IP 地址的点击的冲击——而且他们不断更换 IP。我开始制定数百个 iptables 规则,但我放弃了,因为这显然是错误的方法。
我发现了 AWS WAF 服务,并创建了一个 ACL 来丢弃来自中国的流量。WAF 与我的 lightsail 实例位于同一区域。
伟大的。但它什么也没做......仍然受到打击。我不知道如何(或是否)将我的 lightsail 流量连接到 WAF。甚至可能吗?
我不需要负载均衡器,也不需要云端,也不需要网关(我认为)。这个设置真的很简单...
我有一个网站,其中包含允许不经常调用的 php 脚本。一些烦人的用户每隔几秒钟就会点击我的脚本,我需要禁止他们。我已经设置了 failban,但他们没有被抓住。我已经阅读了 wiki 并根据示例对我的设置进行了建模。有人能告诉我这里有什么不对吗?
首先是我的监狱:
[my-checkversion]
enabled = true
filter = checkversion
logpath = /data/logs/mydomain.com-access_log
findtime = 60
bantime = 86400
maxretry = 6
action = iptables[name=HTTP, port=http, protocol=tcp]
接下来我的过滤器:
[INCLUDES]
before = apache-common.conf
[Definition]
# Example
# 144.217.80.24 - - [02/May/2019:07:02:00 -0500] "POST /hidden/readversion.php HTTP/1.1" 200 -
failregex = ^<HOST> - - \[.*\] "POST <checkversion_url> HTTP/1\.[01]" 200 .*$
ignoreregex =
[Init]
checkversion_url = /hidden/readversion.php
我从 apache 访问文件中放置了 1 行摘录,显示用户在正则表达式行上方的评论中点击了有问题的 URL。
有人可以告诉我有什么问题吗?是正则表达式吗?由于变量替换,在线正则表达式编辑器无济于事......所以这是最好的努力
我使用 logrotate 配置文件为 postfix 设置了日志轮换,如下所示:
/var/log/mail.*
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
}
但是文件旋转得很奇怪。例如,这是我看到的邮件日志文件的摘录:
-rw-r----- 1 syslog adm 0 Jan 10 01:47 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz
-rw-r----- 1 syslog adm 0 Jan 11 02:04 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1
-rw-r----- 1 syslog adm 0 Jan 11 02:04 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1
-rw-r----- 1 syslog adm 0 Jan 19 01:48 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1.1
-rw-r----- 1 syslog adm 0 Jan 21 01:59 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 23 02:16 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 28 02:39 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1.1.1.1.1
-rw-r----- 1 syslog adm 20 Jan 8 01:36 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.1.1.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 5 01:28 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.1.2.gz
-rw-r----- 1 syslog adm 0 Jan 9 01:44 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz.2.gz
-rw-r----- 1 syslog adm 0 Jan 10 01:47 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.3.gz
-rw-r----- 1 syslog adm 0 Jan 7 01:32 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.3.gz.1
-rw-r----- 1 syslog adm 0 Jan 11 02:04 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.4.gz
-rw-r----- 1 syslog adm 0 Jan 9 01:44 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.4.gz.1
-rw-r----- 1 syslog adm 0 Jan 19 01:48 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.5.gz
-rw-r----- 1 syslog adm 0 Jan 21 01:59 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.5.gz.1
-rw-r----- 1 syslog adm 0 Jan 23 02:16 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.5.gz.1.1
-rw-r----- 1 syslog adm 0 Jan 28 02:39 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.5.gz.1.1.1
-rw-r----- 1 syslog adm 33 Dec 31 01:25 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.5.gz.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 9 01:44 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz
-rw-r----- 1 syslog adm 0 Jan 10 01:47 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1
-rw-r----- 1 syslog adm 0 Jan 10 01:47 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1
-rw-r----- 1 syslog adm 0 Jan 12 02:26 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1
-rw-r----- 1 syslog adm 0 Jan 20 01:51 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 22 02:06 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 24 02:26 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1.1.1
-rw-r----- 1 syslog adm 20 Jan 7 01:32 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 5 01:28 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.2.gz
-rw-r----- 1 syslog adm 0 Jan 11 02:04 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz
-rw-r----- 1 syslog adm 0 Jan 19 01:48 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1
-rw-r----- 1 syslog adm 0 Jan 21 01:59 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1
-rw-r----- 1 syslog adm 0 Jan 23 02:16 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1
-rw-r----- 1 syslog adm 0 Jan 28 02:39 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1
-rw-r----- 1 syslog adm 20 Jan 8 01:36 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.1.1.1.1.1
-rw-r----- 1 syslog adm 0 Jan 9 01:44 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.3.gz
-rw-r----- 1 syslog adm 0 Jan 6 01:29 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.3.gz.1
-rw-r----- 1 syslog adm 0 Jan 10 01:47 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.4.gz
-rw-r----- 1 syslog adm 0 Jan 8 01:36 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.4.gz.1
-rw-r----- 1 syslog adm 0 Jan 12 02:26 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.5.gz
-rw-r----- 1 syslog adm 0 Jan 20 01:51 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.5.gz.1
-rw-r----- 1 syslog adm 0 Jan 22 02:06 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.5.gz.1.1
-rw-r----- 1 syslog adm 0 Jan 24 02:26 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.5.gz.1.1.1
-rw-r----- 1 syslog adm 20 Jan 3 01:26 mail.log.7.gz.2.gz.2.gz.2.gz.2.gz.2.gz.2.gz.5.gz.1.1.1.1
有人可以解释什么是错误的/我需要添加到我的 logrotate 配置文件中以便后缀更正此问题吗?
我创建了一个新的 dovecot 安装,但我的客户端 (Outlook 2013) 无法同步(经常出现错误)。在服务器端,我看到以下错误。
Dec 01 17:14:36 imap-login: Info: Login: user=<[email protected]>, method=PLAIN, rip=125.3.26.22, lip=172.16.15.26, mpid=13497, TLS, session=<8HjEPf17CuaHF+zy>
Dec 01 17:14:38 imap([email protected]): Error: Sync failed for mbox file /data/mail/mydomain.com/myuser: UID inserted in the middle of mailbox (10804 > 10802, seq=2, idx_msgs=1)
Dec 01 17:14:38 imap([email protected]): Error: Sync failed for mbox file /data/mail/mydomain.com/myuser: UID inserted in the middle of mailbox (10804 > 10802, seq=2, idx_msgs=1)
在客户端,我看到如下错误
8:04:58 Error synchronizing folder
8:04:58 [800CCCD3-0-0-560]
我在 Dovecot 文档中看到了一些与操纵 mbox 商店的其他程序有关的常见问题解答。但是,我只运行 dovecot 和 postfix - 没有任何东西在服务器上处理消息。
这是什么原因造成的?
我在域上有一台 Win10 计算机。它可以在联机时访问服务器共享上的所有文件/文件夹。我已在笔记本电脑上标记了一个子文件夹以供离线使用,并已同步。
使用文件资源管理器断开连接时,我可以正常浏览脱机文件夹,但是当我尝试通过双击(启动应用程序)打开资源管理器中显示的 Word/PPT 文件时,我从应用程序(字/PowerPoint)。
服务器上的文件和文件夹都设置为所有人完全控制。服务器上的共享授予此用户完全控制权。
奇怪的是,如果我在同一个文件夹中创建一个记事本 TXT 文件,那么我可以使用 NOTEPAD 从脱机文件夹中打开它,同步文件等。一切都很好。但 MS Office 应用程序仅在离线时无法打开办公文件。(在线时他们正常工作)
如果我在离线时打开 WORD 并单击文件打开,我可以在地址栏中键入“\server\”开始浏览离线共享,但是,我立即收到“Windows 无法访问 \server\”错误。如果我在文件资源管理器中重复上述内容,它工作正常。
我已重新格式化离线缓存并重新启动。没有不同。我已经修复了 Office 2016 安装。没有不同。
这是怎么回事?感觉像是权限错误,但我看不到。为什么办公应用程序甚至无法浏览脱机文件结构,这超出了我的理解。
我希望为用户(技术上存在挑战且无法安装复杂产品)分发 VMWare VM。用户可以在他们的环境中运行多个 VM 实例,因此每个 VM 都必须具有具有唯一 MAC 地址的 NIC。
有没有一种方法可以在首次启动时将新的 MAC 地址强制到 NIC 上来分配 VM?
如果用户只是将虚拟机添加到他们的清单中并选择“已移动”而不是“已复制”,那么他们会得到相同的 MAC(我相信)。
我正在使用 VMWare WORKstation 12 以防万一。
我们有 1 个 Mac (osx 10.11.1) 用户运行 Outlook 2016,他正在尝试连接到我们的 Exchange 2013 服务器(版本 15.0 Build 847.32)。在 Outlook 中创建帐户后,帐户旁边会保留一个黄点。
为了诊断,我们确保我们的根证书已添加到 Mac 系统钥匙串中的受信任证书中,并且我们已经验证客户端可以协商/接受证书:
openssl s_client -CApath ~/myca.cer -connect www.example.com:443
我们可以从 Mac 浏览到我们交易所的 www.example.com/owa,一切正常。但由于某种原因,Mac 客户端不会创建/验证帐户。我们可以采取进一步的诊断步骤来帮助解决这个问题吗?
更新:在交换服务器上,我看到带有文本的事件 36874 和 36888:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
我如何确保他们协商一个双方都可以接受的密码套件?
我使用 TinyCA2 创建了一个 CA,并为我的 Exchange 2013 服务器创建了一个证书。尽管证书在 Exchange 上安装良好,但 Exchange 始终显示“吊销检查失败”。(我尝试了 10 种不同的证书)
我的 CRL 在 LAN 上是可见的,并且可以从交换服务器上的 Web 浏览器中检索该文件。在 TinyCA2 中设置的 CA 证书将“ http://myserver.com/crl.pem ”列为 CRL。
交换外壳显示:
Get-ExchangeCertificate | fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {newmail.myco.com}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=MyCo, C=CA
NotAfter : 2/26/2026 9:21:09 PM
NotBefore : 2/29/2016 9:21:09 PM
PublicKeySize : 2048
RootCAType : GroupPolicy
SerialNumber : 03
Services : IMAP, POP
Status : RevocationCheckFailure
Subject : C=CA, S=Michigan, L=Detroit, O=MYCO, OU=IT3, CN=newmail.myco.com
Thumbprint : 3EF2C92F4D3747B9
和 certutil 显示:
Serial: 04
SubjectAltName: No alternative name
06a85bf14f2747b8cd2c2c4be5bb5ae945f94ed9
The revocation function was unable to check revocation for the certificate. 0x80
092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
------------------------------------
Revocation check skipped -- no revocation information available
Cert is an End Entity certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
我还需要做些什么来让交易所接受证书吗?为什么不接受 CRL?
我们曾经有一个 Windows CA,但我们已将其关闭。正在尝试切换到 Linux。关于 Windows CA 不再处于活动状态,我有什么必须告诉 DC 的吗?(Exchange 是否检查旧的 Windows CA 的 CRL?)
更新:叶子证书的“certutil -urlfetch -verify”结果:
Issuer:
CN=My Company
C=CA
Name Hash(sha1): b6b02cfd24a47572f68a85a398322f978989d9ef
Name Hash(md5): 5333e962243f00751ee6fcf5b62973b9
Subject:
C=CA
S=State
L=City
O=mydomain
OU=IT4
CN=newmail.mydomain.com
Name Hash(sha1): 1a7840c8a10059e8e2b87e32f32426dd6ad3d60a
Name Hash(md5): 1b0581a411b0c14d057203950e3aca98
Cert Serial Number: 04
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
CertContext[0][0]: dwInfoStatus=101 dwErrorStatus=40
Issuer: CN=My Company, C=CA
NotBefore: 2/29/2016 9:45 PM
NotAfter: 2/26/2026 9:45 PM
Subject: C=CA, S=State, L=City, O=mydomain, OU=IT4, CN=newmail.mydomain.com
Serial: 04
SubjectAltName: No alternative name
06a85bf14f2747b8cd2c2c4be5bb5ae945f94ed9
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0
---------------- Certificate CDP ----------------
No URLs "None" Time: 0
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
CertContext[0][1]: dwInfoStatus=109 dwErrorStatus=0
Issuer: CN=My Company, C=CA
NotBefore: 2/29/2016 8:17 PM
NotAfter: 2/26/2026 8:17 PM
Subject: CN=My Company, C=CA
Serial: 86278a3832426d41
SubjectAltName: No alternative name
353c6f365f9d7b2e623b7c228e937adac5ee3a2b
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Certificate AIA ----------------
No URLs "None" Time: 0
---------------- Certificate CDP ----------------
No URLs "None" Time: 0
---------------- Certificate OCSP ----------------
No URLs "None" Time: 0
--------------------------------
Exclude leaf cert:
06a85bf14f2747b8cd2c2c4be5bb5ae945f94ed9
Full chain:
b8408cac425b1604c28a619181394d7f057607e0
Issuer: CN=My Company, C=CA
NotBefore: 2/29/2016 9:45 PM
NotAfter: 2/26/2026 9:45 PM
Subject: C=CA, S=State, L=City, O=mydomain, OU=IT4, CN=newmail.mydomain.com
Serial: 04
SubjectAltName: No alternative name
06a85bf14f2747b8cd2c2c4be5bb5ae945f94ed9
The revocation function was unable to check revocation for the certificate. 0x80
092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
------------------------------------
Revocation check skipped -- no revocation information available
Cert is an End Entity certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
我正在实验室中设置 Exchange 2013,我们正在尝试用 Linux 主机替换 Windows 主机。我们已经启动并运行了交换,但连接抱怨我们需要有效的证书。
我以前在 Windows CA 上做过这个,但从来没有在 Linux 上做过。我们可以使用 Linux 生成 Exchange 所需的证书(以正确的格式)吗?或者我们是否需要将证书服务添加到其中一台 Windows 服务器?