我正在robocopy为用户创建一个作业文件,以将其本地数据备份到网络共享。我想让他们选择不仅备份用户数据,还可以备份可能位于驱动器其他位置的应用程序配置文件。当我添加附加/SD行时,例如
/SD:C:\PATH\TO\FIRST\DIR\
/SD:C:\PATH\TO\SECOND\DIR\
我收到一个错误
ERROR : Invalid Job File, Line #12 :"/SD:C:\PATH\TO\SECOND\DIR\"
显而易见的答案是 robocopy 每次执行只能支持一个/SD参数。有没有办法允许多个?
我有一个packer正在尝试运行的模板。它通常会执行我希望它执行的操作,即创建一个 Azure VM,对其进行概括并将其上传到计算库。我现在尝试扩展它以通过Powershell脚本安装应用程序。问题是我无法弄清楚脚本应该在哪里或者我应该如何在模板中调用它。
我看过各种示例,其中人们使用不同的格式,例如使用相对路径,例如script = "./install_app.ps1",或仅调用脚本名称本身,例如script = "install_app.ps1"。我已经尝试了两种方法,但都收到错误packer。
Error: Failed preparing provisioner-block "powershell" ""
on .\win10Packer.pkr.hcl line 56:
(source code not available)
1 error(s) occurred:
* Bad script './install_app.ps1': CreateFile ./install_app.ps1: The system
cannot find the file specified.
我的build{}部分:
build {
sources = ["source.azure-arm.autogenerated_1"]
provisioner "powershell" {
inline = ["Set-PSRepository -Name 'PSGallery' -InstallationPolicy Trusted","Install-Module PSCompression"]
}
provisioner "powershell" {
script = "./install_npp.ps1"
}
provisioner "powershell" {
inline = ["& $env:SystemRoot\\System32\\Sysprep\\Sysprep.exe /oobe /generalize /quiet /quits", "while($true) { $imageState = Get-ItemProperty HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Setup\\State | Select ImageState; if($imageState.ImageState -ne 'IMAGE_STATE_GENERALIZE_RESEAL_TO_OOBE') { Write-Output $imageState.ImageState; Start-Sleep -s 10 } else { break }}"]
}
}
我一直在用户将启动实例的 Win10 映像上配置代理设置。我最初在Internet 选项工具中配置了设置,然后netsh winhttp import proxy source=ie将它们拉入该系统。
我需要修改绕过列表。我试图通过在Internet Options中添加条目来做到这一点,但它没有持续存在。每次我关闭工具并重新打开它时,条目就消失了。我运行netsh winhttp reset proxy以防该配置覆盖另一个。
但是,为什么我真的很困惑,因为我使用的是本地组策略选项Make proxy settings per-machine (rather than per-user)。启用后,代理设置将使用先前的设置(包括绕过列表)进行配置。我试图再次修改列表,但同样,该条目不会持续存在。当我禁用每台机器策略时,代理设置从Internet Options中消失。再次启用它,它们会重新出现。
我浏览了注册表并删除了代理服务器的每个条目。我确定所有条目都消失了,基于我对“代理”、代理的 IP 地址、代理的端口号、“绕过”等所做的搜索。
所以我一头雾水。当我启用时代理配置来自哪里Make proxy settings per-machine (rather than per-user)?
我试图澄清本地 GPO 如何在 Window 10 上工作。根据 Microsoft 的配置安全策略设置页面
您必须具有适当的权限才能安装和使用 Microsoft 管理控制台 (MMC),并更新域控制器上的组策略对象 (GPO) 以执行这些过程。
我从中得到的印象是域策略是必要的。否则,为什么管理员需要域权限?
有问题的计算机未加入域。本地 GPO 是否仍会被应用,或者它是否依赖于域级别的策略才能使本地策略生效?
我有 Squid 4.4 和 RHEL8 上 SSL 碰撞的工作配置。不过,我发现少数没有设置 SSL 的网站(例如http://squidguard.org)无法正常工作。
我不得不使用几个不同的来源拼凑我的配置,因为似乎没有一个提供确定的方法来设置 SSL 碰撞。我可能错过了一些允许 Squid 处理 HTTP 和 HTTPS 流量的东西?
这是我在日志中看到的:
1624658033.150 59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966 60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html
浏览器页面上的错误说
The following error was encountered while trying to retrieve the URL: http://squidguard.com/
Connection to 3.223.115.185 failed.
The system returned: (110) Connection timed out
The remote host or network may be down. Please try the request again.
不过,远程主机或网络并未关闭。我可以在不通过代理时到达它。
我的 squid.conf:
acl vdi src 10.108.0.0/20
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching
http_access deny !Safe_ports
http_access allow localhost manager
http_access deny manager
http_access allow vdi
http_access deny all
http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump stare all
ssl_bump bump all
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
shutdown_lifetime 1 second
我没有运行 iptables,所以我没有任何 REDIRECT 规则。我确实怀疑这是问题所在。
我们的网络主要由我们内部域上的 Windows 服务器组成,由 Active Directory (natch) 管理。我们还有少量的 Linux 服务器,出于某种原因,它们由 IDM 管理。同样出于某些原因,IDM 设置了对 AD 的单向信任(IDM 信任 AD),以方便在单个位置进行用户管理(这无法更改)。
目前我们有三个域名(更改名称以保护无辜者):
linux.internal.dom 在 IDM 服务器上维护,另外两个在 AD 上。由于 IDM 和 AD 之间的信任是单向的,因此在 AD UI 中是不可见的。其他的,当然在 AD 中是可见的,因为那是它们被维护的地方。
我们正在设置 AD 证书服务,以便我们可以为每个域颁发证书。但是,由于 linux.internal.dom 位于仅具有单向信任的 IDM 上,因此不会出现在 AD 中,因此无法在 UI 中为其创建证书。最终,我们无论如何都不会使用 UI,因为自动化/脚本化方法会更有效。
所以,现在我的问题是:AD CA 是否可以为不完全受信任的(子)域颁发证书?也就是说,我们能否为 linux.internal.dom 颁发证书,即使它没有出现在 AD UI 中?
我正在尝试在实例上安装 ansible。我想我可以AWS::CloudFormation::Init用来执行sudo pip install ansible. 不过,这似乎不起作用。这是我的实例资源:
ansibleInstance:
Type: 'AWS::EC2::Instance'
Metadata:
'AWS::CloudFormation::Init':
commands:
ansible:
command: "sudo pip install ansible"
test: "pip --version"
ignoreErrors: 'false'
Properties:
ImageId: ami-467ca739
KeyName: Candidate-EyMm7zuOcn
InstanceType: t2.micro
SubnetId: !Ref subnetTest
SecurityGroupIds:
- !Ref allowSSH
Tags:
- Key: Name
Value: Test
有没有办法查看尝试此操作时发生的情况,以便我可以找出失败的位置/原因?有没有其他人可能建议看一下来解决这个问题?
EDIT1:我删除了sudo可能出于某种原因妨碍的以防万一(我不认为它会,但我想完全消除它)。那没有影响。我还验证了aws-cli安装了预期的工具,因为它是AWS Linux AMI
EDIT2:这是 ansibleInstance 资源的一个版本,我尝试通过以下方式执行命令UserData:
ansibleInstance:
Type: 'AWS::EC2::Instance'
Properties:
ImageId: ami-467ca739
KeyName: Candidate-EyMm7zuOcn
InstanceType: t2.micro
SubnetId: !Ref subnetTest
SecurityGroupIds:
- !Ref allowSSH
Tags:
- Key: Name
Value: Test
UserData:
Fn::Base64:
!Sub |
#!/bin/bash -xe
pip install ansible
我怀疑格式有问题,但我无法弄清楚它是什么。
EDIT3:我cfn-init按照约旦的建议跑了。这似乎确实向实例提供了元数据,如果我随后登录并手动执行cfn-init命令,则处理:
[ec2-user@ip-192-168-1-121 ~]$ sudo /opt/aws/bin/cfn-init -v -s cfTest --resource ansibleInstance [ec2-user@ip-192-168-1-121 ~]$ ansible --version 可靠的 2.5.4 配置文件 = 无 配置的模块搜索路径 = [u'/home/ec2-user/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules'] ansible python模块位置= /usr/local/lib/python2.7/site-packages/ansible 可执行位置 = /usr/local/bin/ansible python 版本 = 2.7.13(默认,2018 年 1 月 31 日,00:17:36)[GCC 4.8.5 20150623(Red Hat 4.8.5-11)]
所以现在我的问题是:为什么不cfn-init按UserData?
解决方案:感谢@jordanm,我能够解决这个问题。我的工作片段:
实例:
类型:'AWS::EC2::Instance'
元数据:
'AWS::CloudFormation::Init':
配置:
命令:
可靠:
命令:“sudo pip install ansible”
测试:“点子--版本”
忽略错误:'假'
特性:
ImageId:ami-467ca739
KeyName:Candidate-EyMm7zuOcn
实例类型:t2.micro
SubnetId: !Ref 子网测试
安全组 ID:
- !Ref 允许SSH
标签:
- 键:名称
值:测试
用户数据:
Fn::Base64:
!子 |
#!/bin/bash -xe
# 从元数据安装 Ansible
/opt/aws/bin/cfn-init -v -s ${AWS::StackName} --resource ansibleInstance
如果我设置了一个不再在我们的任何虚拟主机中使用的配置选项,httpd.conf它是否对每个虚拟主机都有效,或者每个虚拟主机都需要设置该选项?
具体来说,我想设置RewriteLogandRewriteLogLevel选项。可悲的是,我们的虚拟主机配置比理智的要多得多,因此在每个文件中设置此选项并在需要部署它时进行验证会很麻烦(不要让我开始配置管理)。所以,如果我设置它httpd.conf并确保它不在任何虚拟主机配置中,它会适用于每个虚拟主机吗?
我们使用 /etc/sysconfig/network-scripts/route-ethx 文件静态分配我们的路由。这使得管理它们变得相当容易,因为我们在启动过程中添加了路由(通过后置脚本)。它们很少更改,如果需要更新,我们只需推出更改并更新构建脚本以包含新路由。
最近,我们有一位客户要求使用具有唯一 IP 的虚拟接口 (eth0:0)。它需要专门连接到一个网络。eth0 上分配的第一个 IP 将处理所有其他流量。
我所看到的一切都说明了如何使用 添加路由ip route add,但是我无法弄清楚如何指定任何进入特定 IP 或网络的东西都可以设置源 IP。如果我使用 ip 命令,它会更新路由文件还是存储在其他地方以便在重新启动后保持持久性?如果我必须将条目添加到 eth0:0 的路由文件中,该行应该是什么样的?
所以基本上:
如果它转到 10.0.0.2,则使用 IP 10.0.1.3 作为源。如果它转到其他任何地方,请使用 IP 10.0.1.2 作为源。
这可能吗?我该如何完成它?
我有一个正在处理的 PXE 菜单配置。它包含 RHEL6 Rescue 选项,以便在从网络启动后执行修复。Rescue 引导环境会询问三个基本问题来进行自我设置:语言、键盘映射和救援映像的源代码。
我通过将“lang=”和“keymap=”选项添加到 PXE 菜单中的“附加”行来对前两个进行排序:
label rescue
kernel /images/rhel6-3/vmlinuz
ipappend 2
append initrd=/images/rhel6-3/initrd.img LANG=en_US.UTF-8 KEYMAP=us rescue
我现在很好奇的是如何告诉救援环境从 URL 获取救援图像。我不熟悉所有内核选项,而且 Rescue 模式似乎是一个特例。我试过“URL=”,但没有任何作用。
这可能吗?
前缀:我搜索了这个,但事实上有很多事情会导致这个问题,我一直无法找到解决这个特殊情况的方法。
我有一个人偶大师(3.0.2-1;RHEL6)和 /etc/puppet/manifests/site.pp 文件包含以下内容:
import 'nodes/nodes.pp'
$puppetserver = 'puppet.example.dom'
自然地,服务器域不是正在使用的域,而是已更改以保护无辜者。
nodes/nodes.pp 文件包含:
node 'agent1.example.dom' {
include users,
}
用户类在 /etc/puppet/modules/users 下。清单/init.pp 文件包含:
class users {
group { 'admins':
ensure => 'present',
gid => '501',
}
user { 'user1':
ensure => 'present',
uid => '10000',
gid => '501',
home => '/home/user1',
password_max_age => '60',
password_min_age => '1',
shell => '/bin/bash',
}
}
如果我从 nodes.pp 文件中删除“include users”行,将应用目录:
Info: Retrieving plugin
Info: Caching catalog for agent1.example.dom
Info: Applying configuration version '1357858753'
Notice: Finished catalog run in 0.02 seconds
但是,当我包含它时,会出现以下错误:
[root@agent1 ~]# puppet agent --test --noop
Info: Retrieving plugin
Error: Could not retrieve catalog from remote server: Error 400 on SERVER: Could not
parse for environment production: Syntax error at '}' at
/etc/puppet/manifests/nodes/nodes.pp:3 on node agent1.example.dom
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
这让我觉得我在 init.pp 文件中有一个语法错误,但我不知道它会是什么。也许我没有正确配置,或者我错误地链接了各个部分?
我试过在 nodes.pp 文件中不使用逗号,也尝试过使用逗号。我也尝试过在用户 init.pp 文件的最后一行不带逗号以及带逗号。我试过在组定义和用户定义之间添加一个空行。不管我做了什么小改动,我都会得到相同的结果。
我也试过将节点定义直接放入 site.pp 文件中,但出现了同样的错误。只是来自与以前不同的位置(site.pp 与 nodes/nodes.pp)。
已使用从 agent1 到 puppet master 上的端口 8140 的 telnet 验证了与服务器的连接。
有任何想法吗?代理也是 v3.0.2-1,但是是 RHEL5。我还没有测试过 RHEL6 代理。
编辑:我使用 --debug 选项运行了测试。输出在这里: http: //pastebin.com/zNs5DvCD
编辑 2:在尝试之前我没有声明类/模块。我这样做了puppet apply /etc/puppet/modules/users/manifests/users.pp(在更改文件名之后)。现在这给了我以下错误:
[root@agent1 puppet]# puppet agent --test --noop
Info: Retrieving plugin
Error: Could not retrieve catalog from remote server: Error 400 on SERVER: Could not
find class users for agent1 on node agent1
Warning: Not using cache on failed catalog
Error: Could not retrieve catalog; skipping run
所以,有些事情发生了变化。语法错误没有了,但是找不到类。
我们已经开始在我们的 RHEL 6.3 系统上遇到 iptables 问题,因为在重新启动后,当服务启动时,规则没有加载。我们得到空规则集:
[msnyder@matt-test ~]$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
尽管我们已经定义了规则并且服务确实在运行,但还是如此。我知道这一点,因为当我运行service iptables start它时,它会简单地返回到提示符。如果我运行service iptables restart它实际上会停止然后重新启动服务。而且,当然,如果我运行service iptables stop它表明 iptables 实际上正在停止。
知道我需要重新启动服务后,我这样做并且规则正确加载。重启后它们根本不会加载。除非它们在重新启动期间以不同方式加载,否则我看不出我们的规则有何错误。如果是,它们甚至不会在服务重启期间加载。
还有其他人遇到过这个吗?
编辑:规则已经保存在 /etc/sysconfig/iptables 中。它们不是从命令行即时添加的,因此service iptables save没有必要。