KTamas's questions

好吧，我从来没有见过这样的事情。这是故事。

我们有四台 DNS 服务器。我们称它们为 server01-04。server03 被 DHCP 设置为主服务器。

到处都禁用清理。

发生的情况是 server03 正在从 DNS 中删除自己的 A 记录。如果我创建 DNS 条目，它将一直保留在那里，直到我重新加载正向查找区域（或在几分钟后重新加载自身）。

这是创建的审计日志：

An operation was performed on an object.

Subject :
    Security ID:                SYSTEM
    Account Name:                SERVER03$
    Account Domain:                myfancydomain
    Logon ID:                0x323d924

Object:
    Object Server:                DS
    Object Type:                dnsNode
    Object Name:                DC=server03,DC=myfancydomain.se,CN=MicrosoftDNS,CN=System,DC=myfancydomain,DC=se
    Handle ID:                0x0

Operation:
    Operation Type:                Object Access
    Accesses:                WRITE_DAC
                            WRITE_OWNER

    Access Mask:                0xc0000
    Properties:                WRITE_DAC
WRITE_OWNER
    {e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}


Additional Information:
    Parameter 1:                -
    Parameter 2:                

这是要删除的内容。可以看到是server03在删除记录：

An operation was performed on an object.

Subject :
    Security ID:                SYSTEM
    Account Name:                SERVER03$
    Account Domain:                myfancydomain
    Logon ID:                0x323d924

Object:
    Object Server:                DS
    Object Type:                dnsNode
    Object Name:                DC=server03,DC=myfancydomain.se,CN=MicrosoftDNS,CN=System,DC=myfancydomain,DC=se
    Handle ID:                0x0

Operation:
    Operation Type:                Object Access
    Accesses:                Write Property

    Access Mask:                0x20
    Properties:                Write Property
            {771727b1-31b8-4cdf-ae62-4fe39fadf89e}
                    {e0fa1e69-9b45-11d0-afdd-00c04fd930c9}
                    {d5eb2eb7-be4e-463b-a214-634a44d7392e}
    {e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}


Additional Information:
    Parameter 1:                -
    Parameter 2:                

我不知道为什么会这样。有任何想法吗？

因此，我们得到了一款支持千兆的全新 48 端口交换机。在两台计算机之间，使用 CAT5e 电缆，我得到 20-35 MB/s，我想使用 CAT6 电缆可以进一步提高。但由于某种原因，在 Hyper-V VM（也运行 W2008）和我的计算机之间，我只能获得 100 mbit/s 的速度，即使 Hyper-V 主机计算机通过 CAT6 电缆连接到交换机并使用千兆网卡（和VM使用相同）。任何想法为什么？

编辑：可能的一件事是流量以某种方式通过我们的路由器路由，该路由器只能做 100 兆位。但是为什么（会）？

所以...我在我们的电子邮件服务器上看到了一些非常奇怪的负载问题。它在上午 8 点到 9 点左右开始飙升（巧合的是人们开始工作的时间），但在上午 11 点左右下降。CPU使用率保持正常，我有足够的可用内存，没有交换。昨天我们有一个非常高的 iowait% (49.75) 和非常高的负载 (40)，今天我们“只”有 11-12 的负载，iowait% 在 3-4 之间。

所有迹象都指向 imapd 是罪魁祸首（courier-imap），因为当我停止它时，负载突然开始降低，并在 2-3 分钟内恢复正常。我确实有大约 40-60 个在运行。我们使用 Thunderbird，每个打开 5 个连接，我在大多数工作站上将其降低到 1，它有点帮助（负载下降到 5-7），然后......整个服务器在上午 11 点左右恢复正常。

我仍然有大约 30 个 imapds 正在运行，但负载完全正常（介于 0.2 和 0.4 之间）。所以......我真的不明白为什么会发生这种情况，因为从逻辑上讲，如果这会是问题的原因，它应该更高。

这是具有 1gig ram 的 Linode 1080 VPS。

（chkrootkit / rkhunter 没有表现出任何异常。）

好的，这让我毛骨悚然——我看到了大约 1500-2500 个：

root@wherever:# netstat

Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:60930         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60934         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60941         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60947         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60962         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60969         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60998         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60802         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60823         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60876         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60886         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60898         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60897         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60905         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60918         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60921         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60673         localhost:sunrpc        TIME_WAIT  
tcp        0      0 localhost:60680         localhost:sunrpc        TIME_WAIT  
[etc...]

root@wherever:# netstat | grep 'TIME_WAIT' |wc -l
1942

这个数字正在迅速变化。

我确实有一个非常紧凑的 iptables 配置，所以我不知道是什么原因造成的。有任何想法吗？

谢谢，

塔马斯

编辑：“netstat -anp”的输出：

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:60968         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60972         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60976         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60981         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60980         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60983         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60999         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60809         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60834         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60872         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60896         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60919         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60710         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60745         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60765         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60772         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60558         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60564         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60600         127.0.0.1:111           TIME_WAIT   -               
tcp        0      0 127.0.0.1:60624         127.0.0.1:111           TIME_WAIT   -               

因此，我们有一个基于 postfix-courier-saslauthd 的邮件系统，其中包含 unix 用户和 maildirs 以及大量共享文件夹。T'bird (2.0.0.21) 和 Roundcube 在订阅时都表现出奇怪的症状。

在 Roundcube 中，如果我进入个人设置 -> 文件夹，10 次中有 9 次，它会自动为我订阅所有文件夹。不酷。

在 Thunderbird 中，当我打开订阅...，然后开始浏览文件夹结构（它动态加载它们）时，它开始为我订阅随机文件夹，有时是整个子文件夹树。

我开始怀疑服务器端发生了一些奇怪的事情。有人有什么想法吗？这是非常非常烦人的。

编辑：在调试模式下运行 T'bird。我收到大量这些消息：1628149872[1e71f20]：考虑播放排队 url:imap://[email protected]:143/unsubscribe>.shared/a/sub/folder

-1628149872[1e71f20]：创建协议实例来播放排队的 url:imap://[email protected]:143/unsubscribe>.shared/a/sub/folder

-1628149872[1e71f20]：创建协议实例以播放排队 url 失败：imap://[email protected]:143/unsubscribe>.shared/a/sub/folder

所以我在 Linode 1080 VPS 上部署了 Postfix + saslauthd + Courier-IMAP。我们是一家小公司，我们有大约 30 个帐户（为了方便起见，我使用物理 *nix 用户 + Maildirs，见下文），但我们通过自定义脚本广泛使用 Courier 的共享文件夹（用于多个帐户）功能用红宝石写的。它通过 Spamassassin 过滤电子邮件，读取包含一些规则的 YAML 文件，然后执行多项检查以查看在我们复杂的结构中将电子邮件归档到何处。Maildirs 和物理用户为我提供了所需的灵活性。

收到邮件，然后将其传递给我的脚本，该脚本在其主目录中用户的 .forward 文件中定义。

总而言之，该脚本大约需要 2 秒才能完成。现在，我们没有相对较高的电子邮件量（我估计每小时大约 30-50 封电子邮件），但我正在寻找加快速度的方法，同时确保我们的电子邮件负载是否变高（或者我们会遇到“垃圾邮件风暴”） '），我们的服务器不会突然内存不足等。我的问题是：

1. 在将电子邮件传递给我的脚本之前，通过spamassassin守护程序过滤电子邮件的方法是什么（而不是每次收到邮件时都启动应用程序）？猜猜以我现在的方式做这件事是不好的做法。
2. 有没有办法限制后缀同时传递给我的脚本的电子邮件数量？我不想让我的脚本同时运行 10 个实例。
3. 我怎么能把我的脚本变成一个守护进程？这会让事情变得更快吗？

提前致谢。

PS：电子邮件（嗯，/home）存储在一个单独的 XFS 分区上，该分区使用 noatime 挂载。