Sergei's questions

我有一个简单的设置：

• 内置 USB 拇指驱动器上的 Ubuntu 13.04
• raidz spool 中的 4xSATA 驱动器，带有一些卷 /tank/vol1, /tank/vol2

zfs 在哪里存储它的配置数据——是在 zpool 的成员驱动器上吗？如果 USB 拇指驱动器坏了，我需要重新安装它并访问 zpool 上的数据，会发生什么情况？

我们正在迁移到数据中心，并计划在 EVA4400 上进行分层存储——用于 SQL 数据库的 FC RAID 10 和 RAID5 跨 24 个 FATA 1TB 磁盘形成 VMware ESX 来宾。HP 将 FATA 磁盘描述为适合近在线存储，但我不相信24 个主轴不足以为 3 个 ESX 服务器运行 VMWare。
有没有人对为什么这可能是一个坏主意有意见？

我希望有人能指出我正确的方向 - 看起来我对这个主题没有足够的知识，而且时间框架太紧，我无法深入探索不同的场景。

我们有两个相距几英里的数据中心，通过 100 Mbps 链路连接。每个数据中心将有 5 个 BL490 刀片，ESX 标准托管大约 50 个虚拟机。每个站点都有 HP eva4400 SAN，并设置了 SAN 复制。VC 将位于第一个数据中心，并且两个数据中心都联网。

SAN 复制是块级的，所以看起来我不能只复制更改，而是必须复制所有写入。这应该不是问题，因为链接每天可以维持大约 1.8 TB 并且可以缓冲数据。

但是我很难想象在这种情况下恢复将如何工作。我们不需要即时恢复，我会说 4 小时的恢复时间是可以接受的，因此由于财务原因，不容易接受像 DR 场景这样的花哨的自动 SRM，但是欢迎任何意见。

目前的思路是：将 LUN 从主站点复制到辅助站点。当灾难发生时，IT 人员打开远程端的 ESX 主机并将复制的 LUN 连接到它们，然后注册 VM 并更改 IP 地址。

我知道这似乎是一个可怕的手动过程，我几乎可以肯定我在这里错过了一些明显的陷阱。

有人可以让我知道我应该去哪个方向吗？关于这个主题的文章？

这是一个全新的设置，我们宁愿建立基本的恢复过程并在以后扩展它。我只需要有一个正确的方向来实现这种可扩展性。

非常感谢您！

我们计划将我们的生产服务器移动到数据中心并在此过程中虚拟化剩余的服务器。数据中心将在顶部安装带有 vSphere 的 HP 刀片。目前我们使用 Celerra NS20 作为文件服务器。由于数据中心使用 HP 套件和 EVA 4400 作为 SAN，我们不能在那里安装 Celerra，因为 Celerra 的 EMC 支持不适用于非 EMC 阵列。

我已经搜索了可能的选项，其中之一是使用 HP NAS 刀片 X3800sb 而不是 Celerra。但这对我来说似乎有点过头了。我们只为大约 100 个用户和 50 个服务器使用 Celerra，我认为拥有 X3800sb 可能会浪费资源。

另一种选择是将虚拟文件服务器作为数据中心的 vmware 环境的一部分。我们只需要提供 CIFS。我能想到的唯一选择是 Windows 存储服务器。我们对用作文件服务器的 Windows 服务器有不好的体验（内存泄漏一件事）过去，这是我们搬到 Celerra 的原因之一。

其他选项是什么？我们需要像 Celerra 一样可靠且具有尽可能多选项的产品。例如，Celerra 具有每个文件夹配额、重复数据删除、动态卷分配、自动故障转移、VTLU、复制。

我们还需要将 NAS 数据复制到故障转移站点。我们可以使用块级复制，SAN 到 SAN，但这意味着浪费带宽，因为我们只需要复制文件夹的子集。我们使用 CA XSoft for windows过去的服务器，Celerra 可以选择 Celerra 复制。

非常感谢您，

请问我是否遗漏了任何细节！

我们使用 FTP 服务器来分发大量文件。硬链接被广泛使用，因为我们有很多相同的文件以不同的名称命名。
我们还有一个辅助 FTP/WWW 服务器作为主服务器的故障转移。文件通过 ssh 从主 FTP 重新启动。两台服务器都有本地 RAID 1 磁盘。
不幸的是，辅助服务器的存储空间比主服务器少，这导致了存储空间不足的情况。这是一个生产服务器，我需要尽可能少的干预来解决这个问题。
我有两个想法如何纠正它：
1. 在 iSCSI SAN 上创建 LUN 并将其附加到辅助服务器。但是此服务器从未连接到 iSCSi，我需要安排停机时间以确保安全。此外，iSCSi 可能无法正常工作在这台服务器上，因为没有时间测试它。
2. 在主服务器上打开 NFS（两台服务器都在同一个 Gb 交换机上）。服务 /home，所有文件都通过 NFS。这里的问题我不知道 NFS 在此设置中将如何执行以及是否有任何协议限制- 我们从未在我们的商店中使用过 NFS。
3.任何其他设置

你会怎么做？这或多或少是一个临时解决方案，因为我们将在一年内搬迁到数据中心。

我们的开发团队希望我们调查当前的硬件是否足以满足需求。他们使用的应用程序一直很慢，他们希望确保我们没有硬件瓶颈 我们正在为 MS SQL 2005 标准使用以下配置：

服务器：HP DL 380 G5
操作系统：Windows Server 2003 R2 Standard x64 Edition Service Pack 2
SQL Server：MS SQL 2005 Standard Edition x64 位
内存：6 GB
CPU：2 个 Intel Xeon 5140 L1 64 KB、L2 4 MB
存储
操作系统 + tmpdb ：RAID 1 中的 32 GB SAS 驱动器
数据：FC Clariion CX3-10 SAN、RAID 5、FC 磁盘上的 300 GB LUN
日志：同一 SAN RAID 5 磁盘组上的 100 GB。

我们环境中的其他服务器具有类似的配置，并且没有关于它们的投诉。很少有查询没有优化，很多索引也没有经常完成，所以我怀疑开发人员应该更多地优化他们的查询。这里最大的问题是我不知道从哪里开始。当然我可以运行 perfom 并显示显示 Disk Queue 、 CPU time 和其他性能相关数据的图表。
我可以运行一些会显示 SQL 配置问题的一般测试吗？
我知道每个工作量都不同，但我需要从某个地方开始。到目前为止，我开始使用 perfmon 收集数据，看看是否可以看到任何相关性。

前段时间我在 USB 硬盘上创建了文件系统，昨天我的同事试图挂载它。根据我的文档，他所要做的就是运行：

mount -t ext3 /dev/sdX /mnt/usb

这确实有效，但他坚持认为这是错误的并且不应该工作，因为我应该只能挂载 /dev/sdXnn分区号在哪里。他的论点是您无法安装整个设备。

我相信答案可能很简单？

在 Windwos 2k3 中在整个驱动器上设置共享时，我收到一条消息“您已选择共享整个驱动器出于安全原因，不建议这样做”。我做了一个快速的谷歌搜索，但找不到这些神秘的安全原因。有谁知道它们是什么？

我们有许多需要修补的 Debian 服务器，随着数量的增加，手动修补成为一个问题。我正在研究的是一种将补丁从中央位置推送到服务器并对其运行情况进行某种报告的方法。我相信应该有一种相对简单的方法来做到这一点，而无需购买第三方工具。我想到了 Puppet，但也许还有其他想法可以更好地服务于这个目的？

情况：

• 我们有需要测试的 DR 站点

• DR 站点上混合了 Linux 和 Windows 主机。如果生产站点中的 SERVER 不可用，则发生灾难时，DR 上的 SERVER_DR 将打开并加入同一个 Windows 域。这样做是为了以防主站点是不可用，我们不想删除 SERVER 表单 AD 的原始记录。

  我要解决的问题是 DR 站点中的名称解析。进程和脚本使用 DNS 名称 SERVER，因此在 DR 站点中对 SERVER 的请求应转换为 SERVER_DR。我们无权在 Windows DNS 上执行任何操作。

我的想法是使用 BIND 来解决这个问题。DR 中的主机应该能够使用 AD 进行身份验证。事实上，他们不需要访问 Windows 域中 DR 站点之外的任何其他内容，这应该可以简化问题。

需要DR主机访问的服务主要是文件共享和SQL服务器。我相信SQL服务器可能是一个问题，因为他们使用SPN

这带来了一个想法，即在 DR 站点中由 BIND 持有的 our.domain.com 区域使用 BIND，但是当 Windows DR 主机需要针对 AD 进行身份验证时，我可以看到可能的问题，因为如果我没记错的话，它们需要使用未解码的记录。我们不能由于我前面提到的原因，从 AD 委派区域。

解决这个问题值得麻烦吗？我的一位同事建议为每个 Windows DR 主机使用 hosts 文件。但是看起来很丑，因为它们并不多，我设置 BIND 的时间可能会被浪费掉。

我们有 20 多台 Windows 2k3 物理服务器，每周几次用于一些繁重的计算作业。用户通过 rdp 登录到它们并运行一些作业。一旦这些作业完成，用户将结果保存在这些共享服务器上的本地硬盘上. 生成的文件总共可以有几 GB，每个文件的平均大小为 100M。文件准备就绪后，来自 scriptserver 的脚本会连接到每个服务器共享，并将这些服务器上的文件同步到 Celerra NS20 NAS 上的文件共享。同步完成后，文件会从文件管理器发送给客户到 ftp 服务器。

这种设置已经存在多年，现在我们正在虚拟化我们的基础设施，所以我正在考虑摆脱这些服务器并用虚拟机替换它们以节省电力、空间和硬件支持。服务器不需要处于高可用性设置，但它们确实需要大量内存，并且它们运行的​​应用程序不是多线程的。

当前可以使用的基础设施：

• Dell PowerEdge M600 刀片上的 Vsphere 基础设施。我们可能会再购买 2 个刀片来容纳这些服务器
• CX3-10 光纤通道 SAN。我们可能会购买额外的磁盘托盘来容纳这些服务器。我倾向于说服管理层购买 FC 磁盘。
• Celerra NS20 文件管理器连接到此 SAN 上的 SATA 磁盘托盘
• Cisco Catalyst 3560 千兆交换机

我主要关心的是如何重新组织存储。由于所有服务器都在同一个 SAN 上，所有这些对共享的摆弄都将消失。我正在考虑将驱动器映射到 NAS 文件管理器上的位置，然后将文件同步到同一个位置，但是这似乎是文件管理器上的数据重复。

也许在这种设置中有一种更优雅的方式来重新排列存储并且有人处于类似的情况？

我的计划有什么重大失误吗？我应该期待哪些陷阱？

我正在尝试为 Debian 稳定服务器启用 AD 身份验证，以使用户能够通过针对 Windows AD 的 ssh 身份验证登录。一切正常，我可以使用我的 Windows 凭据通过 ssh 连接到服务器，但是当我以 root 身份登录时，我注意到远程 ssh 登录时出现此消息：

Your account has been locked. Please contact your System administrator
Your account has been locked. Please contact your System administrator
Your account has been locked. Please contact your System administrator
Last login: Sat Jun 13 14:15:14 2009 from workstation1
server1:~#

我已经检查了我是否可以通过本地控制台以 root 身份登录，哎呀，我不能。弹出同样的错误。这可能会让我在未来痛苦不堪。同时我为 RedfHat 尝试了相同的设置，我没有这个问题。我相信问题出在我的 pam 配置中，但看不到 where.googling for error 也不会让我到任何地方。

以下是 Debian 和 redhat 上相应 pam 文件的详细信息...

Debian 版本

普通账户

account sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
account sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
account sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
account required    pam_unix.so

普通认证

auth    sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
auth    sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
auth    sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
auth    required    pam_unix.so nullok_secure

普通会议

session required        pam_mkhomedir.so skel=/etc/skel/ umask=0022
session sufficient      pam_winbind.so  require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX 
session sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX
session sufficient      pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXX
session required    pam_unix.so

RedHat 系统验证文件：

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     sufficient    pam_winbind.so use_first_pass
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_first_pass
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     required      pam_winbind.so    use_first_pass
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_mkhomedir.so skel=etc/skel/ umask=0027

/etc/pam.d/sshd

# PAM configuration for the Secure Shell service

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple

# Standard Un*x password updating.
@include common-password

我们在 DMZ 中很少有面向客户的服务器也有用户帐户，所有帐户都在影子密码文件中。我正在尝试整合用户登录并考虑让 LAN 用户针对 Active Directory 进行身份验证。需要身份验证的服务是 Apache、Proftpd 和 ssh。在咨询安全团队后，我设置了具有 LDAPS 代理的身份验证 DMZ，该代理依次联系 LAN 中的另一个 LDAPS 代理（proxy2），这个代理通过 LDAP（作为 LDAP 绑定）将身份验证信息传递给 AD 控制器。仅需要第二个 LDAP 代理，因为 AD 服务器拒绝使用我们的安全 LDAP 实现使用 TLS。这适用于使用适当模块的 Apache。在稍后阶段，我可能会尝试将客户帐户从服务器移动到 LDAP 代理，这样它们就不会分散在服务器周围。

对于 SSH，我将 proxy2 加入 Windows 域，以便用户可以使用他们的 Windows 凭据登录。然后我创建 ssh 密钥并使用 ssh-copy 将它们复制到 DMZ 服务器，以便在用户通过身份验证后启用无密码登录。

这是实现这种 SSO 的好方法吗？我是否错过了这里的任何安全问题，或者是否有更好的方法来实现我的目标？

通过 SAN 在 Linux 和 Windows 服务器之间共享文件系统的最佳方式是什么？我们有前端 RHEL Linux 服务器和后端 Windows 2k3 服务器，它们通过数据库传递文件，这不是最佳解决方案。我假设集群文件系统是一种解决方案是否正确？如果是这样，最好使用什么？