主页 / user-113404

leftcase's questions

Martin Hope
leftcase
Asked: 2016-01-29 12:42:26 +0800 CST
  • 2

我正在尝试为子 C 类块配置反向 DNS。我的 ISP 已委托 128/25.2.0.192.in-addr.arpa。

我花了好几个小时阅读我可以找到的关于无类反向映射委托的所有内容,但我似乎无法在测试中正常工作。

在 BIND 框上运行 dig 并请求 129.128/25.2.0.192.in-addr.arpa 时,BIND 似乎报告为 128/25.2.0.192.in-addr.arpa 区域的权威,但没有回复如我所料,server1.example.com 的 PTR 记录。我确定我一定错过了一些东西,但我似乎对此视而不见。

下面,2.0.192.rev是我的区域文件,named.conf是 BIND 配置的区域部分,最后是dig的输出。

我想确认这是正确的方法,如果我犯了错误,或者是否有更好的方法可以做到这一点?

---------------------------------------------------------------------
2.0.192.rev
---------------------------------------------------------------------
$TTL 4h
$ORIGIN 128/25.2.0.192.in-addr.arpa.
@               IN  SOA  ns1.example.com. hostmaster.example.com. (
                              1144449999 ; serial number
                              3h         ; refresh
                              15m        ; update retry
                              3w         ; expiry
                              3h      ; nx = nxdomain ttl
                              )
                IN  NS          ns1.example.com.
                IN  NS          ns2.example.com.


129             IN  PTR         server1.example.com.
130             IN  PTR         server2.example.com.

---------------------------------------------------------------------
named.conf
---------------------------------------------------------------------
zone "128/25.2.0.192.in-addr.arpa" {
        type master;
        file "2.0.192.rev";
};

---------------------------------------------------------------------
dig @localhost 129.128/25.2.0.192.in-addr.arpa
---------------------------------------------------------------------

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @localhost 129.128/25.2.0.192.in-addr.arpa
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38179
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;129.128/25.2.0.192.in-addr.arpa. IN        A

;; AUTHORITY SECTION:
128/25.2.0.192.in-addr.arpa. 10800 IN SOA   ns1.example.com. hostmaster.example.com. 1144449999 10800 900 1814400 10800

;; Query time: 1 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu Jan 28 20:11:39 GMT 2016
;; MSG SIZE  rcvd: 128
linux
Martin Hope
leftcase
Asked: 2014-09-24 08:41:37 +0800 CST
  • 2

使用 Apple Configurator 监督运行 IOS8 的 iPad 4 设备时。如果运行 Apple Configurator 的 Mac 发生故障并且备份丢失会怎样?我了解 iPad 只能使用最初对其进行监督的 Mac 进行无人监督。

是否可以通过将 iPad 置于恢复或 DFU 模式并重新刷新 IOS 来将 iPad 恢复到出厂设置(从而取消监督),或者 iPad 会变成昂贵的砖头吗?

ios
Martin Hope
leftcase
Asked: 2013-10-04 08:05:31 +0800 CST
  • 3

我正在运行一堆计算机,这些计算机被组策略完全锁定(用户除了浏览网络和使用 Office 之外几乎什么也做不了),并且本地配置文件在关机时从计算机中删除(delprof2)。

最近将网络更新到 Windows 7 后,我发现被锁定的帐户似乎获得了经典的 Windows 主题(方形开始菜单等),而不是标准的 Windows 7 Aero 风格。我还发现,如果我使用我的管理帐户登录其中一台 PC,重新启动它,然后使用锁定的用户登录,锁定用户的后续登录会得到我期望的全新 Windows 主题。

我试图确定为什么会发生这种情况。我尝试比较正在运行的服务,查看安装了哪些更新,并尝试将锁定的用户添加到本地管理员组(只是作为测试),看看这是否会导致锁定的用户能够启动没有其他管理用户必须先登录的正确桌面(顺便说一句,尽管如此,被锁定的用户仍然没有获得完整的桌面)。

没有使用管理员帐户登录所有 PC 一次,我几乎无法弄清楚是什么原因造成的。其他人以前见过这种东西吗?

windows
Martin Hope
leftcase
Asked: 2013-09-05 01:24:32 +0800 CST
  • 3

在将 Windows Server 2003 Active Directory 域升级到 Server 2008,并将客户端 PC 从 Windows XP 升级到 Windows 7 之后,我看到动态 DNS 更新行为不一致。

两个域控制器还具有 DHCP 和 DNS 角色。每个 DHCP 服务器都有一个“DNS 动态更新注册凭据”设置,其中填充了一个用户帐户,该用户帐户是“DnsUpdateProxy”组的成员,并且(尽管我已经看到了支持和反对的论点)我已经将服务器本身添加到“DnsUpdateProxy”组。

DHCP 服务器配置为勾选以下设置:

'根据以下设置启用 DNS 动态更新' '始终动态更新 DNS A 和 PTR 记录' '删除租约时丢弃 A 和 PTR 记录'

有些电脑似乎工作正常。他们请求一个 DHCP 地址,DHCP 服务器给他们一个并更新 DNS。如果我检查通过动态更新创建的“A”记录的安全性,则该记录由为 DNS 动态更新注册创建并填充到 DHCP 服务器中的帐户所有。

另一方面,一些 PC 似乎直接向 DNS 服务器注册了自己的“A”记录。这会导致“系统”或 PC 的 AD 计算机帐户拥有“A”记录。发生这种情况时,由于其安全设置,DHCP 服务器将无法写入“A”记录。

我能想到的唯一方法是将区域的完全控制权交给 DHCP 服务器用来动态更新 DHCP 服务器的帐户。这将允许它删除/修改任何“A”记录,即使是它尚未创建的记录。

更好的方法是弄清楚为什么 PC 有时会注册“A”记录而不是 DHCP 服务器。

如果有人以前遇到过这个问题,我真的很感激一些建议。

windows
Martin Hope
leftcase
Asked: 2013-06-09 03:42:58 +0800 CST
  • 2

我正在尝试测试和记录 Centos 6 的备份和恢复过程。这就是我要做的,但有几个地方我需要弄清楚。'net 上的 CentOS 备份/恢复文档有点乱七八糟。

一般备份和恢复计划

  • 每天使用您最喜欢的备份软件备份您的系统。我不打算深入探讨这个问题,但假设您有一个适当的备份系统,可以让您备份一个系统并将其恢复到另一个系统。

  • 烟雾和火焰吞没了您的一台服务器!在处理了眼前的危险之后,您意识到一个重要的系统已经无法修复地损坏了。您需要将其还原到不同的硬件。

  • 检查备份文件。查看故障系统/etc/redhat-release文件的备份。使用它来确定故障系统使用的 CentOS 版本(补丁级别)?获取此版本的安装媒体。

  • 使用安装媒体,将操作系统安装到您的替换硬件上,根据系统的最终用途对磁盘进行适当的分区。

  • 最小系统安装完成后,暂时关闭selinux,echo ‘0’> /selinux/enforce停止iptables,service iptables stop安装备份客户端。

  • 从备份中恢复,从恢复中排除以下文件:

/proc
/sys
/tmp
/dev
/var/lock <- 不要从恢复中排除 - 请参阅答案
/var/run <- 不要从恢复中排除 - 请参阅答案
/var/tmp
/etc/fstab
/etc/mdadm .conf
/etc/mtab
/etc/resolv.conf
/etc/networks
/etc/sysconfig/network*
/etc/sysconfig/kernel
/etc/hosts
/etc/modprobe*
/etc/networkmanager <- 确保 IP' t 恢复 - 请参阅答案
/etc/udev
/lib/modules
/boot

  • 恢复完成后,重新启动并观察错误

  • 检查网络配置是否正确。您可能需要使用system-config-network来更改您的网络设置。

  • 某些应用程序(如 Apache 和 MySQL)在还原后可能无法正常启动。因为/var/run被排除在恢复之外,子文件夹/var/run/httpd将不存在,因此应用程序将无法正确创建 PID 文件。您需要恢复像/var/run/httpd/和这样的文件夹/var/run/mysqld/并赋予它们正确的权限。 只要您不从还原中排除 /var/run 和 /var/lock,这应该不是问题 - 请参阅答案。

  • 完成补救措施后,确保应用程序正确启动。

  • 如果您运行的是 MySQL 数据库,它可能仍然可以,而无需从您可能制作的任何平面文件备份中恢复它。您可以通过运行检查数据库的状态mysqlcheck -c -u root –p******** --all-databases。如果您看到任何错误,请运行mysqlcheck -c -u root –p******** --all-databases --auto-repair以修复它们。您应该始终确保您有一个正确的备份数据库,如下面的答案所示。我个人使用mysqldump。

  • 使用 将系统修补到最新级别yum update

  • 重新启动以确保系统恢复正常并彻底检查 /var/log/messages 是否有任何错误后,测试系统的功能以确保其正常运行。遇到这种情况,请使用system-config-network将IP 地址更改为原故障系统的IP 地址。

问题/问题

  • 从还原中排除/var/run/*会导致用于包含某些应用程序的 PID 的子文件夹在还原时不会被创建。真的有必要/var/run/*从恢复中排除吗?是不恢复 PID 文件的更好方法吗?

  • 当系统恢复时,“故障系统”的IP地址也随之恢复。我不想要这个。我一定是错过了“从恢复中排除”列表中的一个文件。有什么想法吗?

  • 更新时,我收到很多消息,例如/sbin/ldconfig: /usr/lib64/libblah.so is not a symbolic link. 当我在更新后重新启动系统时,某些服务无法正确启动。我想知道这是否与备份系统恢复符号链接指向的文件而不是符号链接本身有关。如果我运行 ldconfig 并查看它抱怨的共享对象之一,共享对象是一个实际文件而不是符号链接。还有其他人看到这个吗?

linux
Martin Hope
leftcase
Asked: 2012-08-02 01:39:44 +0800 CST
  • 0

我有一个这样的 pclist.csv 文件:

----------------------------------------------
| Name | LastLogonTimestamp | Some Other Data |
-----------------------------------------------
| 2342 | 23/05/2012         | Blah Blah Blah  |
-----------------------------------------------
| 3433 |                    | Yada Yada Yada  |
-----------------------------------------------

如您所见,一些 LastLogonTimestamp 单元格不包含任何数据,而另一些则包含。

我正在尝试使用这样的 powershell 函数检查此 .csv:

$assets = import-csv pclist.csv

Function ActiveDesktop
{
foreach ($asset in $assets)
    {
    if ($asset.'LastLogonTimestamp' -le {get-date.adddays(-90) -format "ddMMyyyy"})
        {write-host $asset.Name, $asset."LastLogonTimestamp"}
    }
}

我想查看哪些 PC 处于非活动状态,但运行查询不会返回任何内容。有人能指出我正确的方向吗?

powershell
Martin Hope
leftcase
Asked: 2012-06-17 01:23:36 +0800 CST
  • 4

我遇到了在 Redhat 6 上配置 Alfresco 4.0.d 的问题。

我正在使用 Kerberos 身份验证,它似乎工作正常,并且单点登录正在主要的露天应用程序本身上工作。我已经完成了使共享应用程序正常工作的配置步骤,但尽我所能,每次浏览器访问时我都会在 catalina.out 中收到此错误http://server:8080/share以及“Windows 安全”密码框。

WARN  [site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!

这是我到目前为止所做的:

使用 AD 用户和计算机,选择alfrescohttp帐户,然后选择“信任此用户以委派任何服务(仅限 Kerberos)”。

共享-配置-custom.xml

复制/opt/alfresco-4.0.d/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml.sampleshare-config-custom.xml编辑如下:

   <config evaluator="string-compare" condition="Kerberos" replace="true">
      <kerberos>
         <password>*****</password>
         <realm>MYDOMAIN.CO.UK</realm>
         <endpoint-spn>HTTP/[email protected]</endpoint-spn>
         <config-entry>ShareHTTP</config-entry>
      </kerberos>
   </config>


   <config evaluator="string-compare" condition="Remote">
      <remote>
         <keystore>
             <path>alfresco/web-extension/alfresco-system.p12</path>
             <type>pkcs12</type>
             <password>alfresco-system</password>
         </keystore>

         <connector>
            <id>alfrescoCookie</id>
            <name>Alfresco Connector</name>
            <description>Connects to an Alfresco instance using cookie-based authentication</description>
            <class>org.springframework.extensions.webscripts.connector.AlfrescoConnector</class>
         </connector>

         <endpoint>
            <id>alfresco</id>
            <name>Alfresco - user access</name>
            <description>Access to Alfresco Repository WebScripts that require user authentication</description>
            <connector-id>alfrescoCookie</connector-id>
            <endpoint-url>http://localhost:8080/alfresco/wcs</endpoint-url>
            <identity>user</identity>
            <external-auth>true</external-auth>
         </endpoint>
      </remote>
   </config>

krb5配置文件

像这样设置/etc/krb5.conf文件:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.CO.UK
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
forwardable = true
proxiable = true

[realms]
MYDOMAIN.CO.UK = {
  kdc = mydc.mydomain.co.uk
  admin_server = mydc.mydomain.co.uk
}

[domain_realm]
.mydc.mydomain.co.uk = MYDOMAIN.CO.UK
mydc.mydomain.co.uk = MYDOMAIN.CO.UK

java.login.config

/opt/alfresco-4.0.d/java/jre/lib/security/java.login.config配置如下:

Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

AlfrescoCIFS {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescocifs.keytab"
   principal="cifs/server.mydomain.co.uk";
};

AlfrescoHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescohttp.keytab"
   principal="HTTP/server.mydomain.co.uk";
};

com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

ShareHTTP {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/alfrescohttp.keytab"
principal="HTTP/server.mydomain.co.uk";
};

alfresco-global.conf

最后,在以下设置中alfresco-global.conf

authentication.chain=kerberos1:kerberos,alfrescoNtlm1:alfrescoNtlm

kerberos.authentication.real=MYDOMAIN.CO.UK
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.cifs.password=******
kerberos.authentication.http.password=*****
kerberos.authentication.defaultAdministratorUserNames=administrator

ntlm.authentication.sso.enabled=true

正如我所说,我遇到了困难,非常感谢您能给我的任何帮助!这个问题也发布在 Alfresco 论坛上,但我想知道 serverfault 上是否有人遇到过类似的实施挑战?

centos redhat kerberos single-sign-on alfresco
Martin Hope
leftcase
Asked: 2012-05-11 08:29:58 +0800 CST
  • 8

我正在运行一个由不超过 10 台 Linux 服务器组成的小型(但不断增长的)Linux 环境。

环境由 CentOS 5 & 6 和 Oracle Linux 5 & 6 boxen 组成。所有这些都通过相应的 yum repos 单独修补。

谁能建议一种为这些服务器集中补丁管理的方法?我听说 Puppet 经常用于执行此操作,但我自己从未使用过它,并且有兴趣听取其他系统管理员的意见。

linux