Blue Warrior NFB's questions

我们的 DNS 基础设施有点支离破碎。我们为公司的不同部门设置了多个独立的 DNS 服务器。但是，我们仍然存在一些交换问题。现在，来自 Somewhere Else 的服务器需要轮询我的东西以获取某些内容，其中一项被轮询的内容对反向 DNS 查找很挑剔。这会导致反向 DNS 区域以及它们的解析方式。

45.123.10.in-addr.arpa无法从我的 DNS 服务器解析，但可以从使用不同服务器的其他网络部分解析。这是因为那些其他服务器对该区域具有权威性。由于政策的原因，他们不允许我在我的 DNS 服务器上托管该区域的辅助区域，因此我坚持寻找另一种使反向区域可解析的选项。

我正在考虑的选项：

1. 自己托管它，并将我需要的反向查找放入该区域，然后忘记 /24 上的其余部分。
2. 以某种方式向我的 DNS 服务器指示在哪里可以找到权威区域。

我宁愿以某种方式选择选项2，我只是不确定如何去做。胶水式存根区域是否有效（SOA、NS 记录指向其他服务器，但没有 PTR 或 A 记录）？会创建父域 (123.10.in-addr.arpa) 并以某种方式将 45. 委派给其他 DNS 服务器吗？我不确定。

目前我们每次启动时都需要运行这样的东西：

/usr/sbin/semanage port -a -t memcache_port_t -p tcp ${special-snowflake-port}

如果我们可以在重新启动时坚持这一点，那就太好了。答案是编译 poicy，但最大的问题是这是如何完成的？我在.fc文件文档中看到的任何内容都没有表明这可以在那里进行编码，并且.te文件语法有点难以阅读。然而，显然每个编译的策略确实设置了一些东西，我只是找不到如何。

我错过了什么？

考虑到虚拟机上的“无纪律的本地时钟”在大多数情况下并不是您所说的准确，那么在您的 NTP 配置中包含诸如此类的行有多明智？

# Undisciplined Local Clock. This is a fake driver intended for backup
# and when no outside source of synchronized time is available.
server  127.127.1.0     # local clock
fudge   127.127.1.0 stratum 10

在我的例子中，ntp 配置是通过 puppet 管理的，我们正在向它推送真正的 NTP 服务器。然而，看起来这个假服务器可能会导致一些服务器需要更长的时间才能与网络的其余部分同步。

这些行在这种情况下是否有用，或者它们是否可以安全删除？

在对另一件事进行故障排除时，我注意到 TCP 关闭的奇怪模式。

数据包：http ://www.cloudshark.org/captures/7590ec4e6bef

正在发生的事情是由于某种奇怪的原因，关闭序列的最后几个数据包正在重新传输。该模式在 cloudshark 链接中，但为了后代，这里是一个摘要：

1. 来源 -> 同步
2. 目的地 -> 确认
3. 来源 -> SynAck
4. 数据
5. 数据
6. 来源 -> Fin/Ack
7. 目的地 -> Psh/Ack (6)
8. 目的地 -> 鳍/确认
9. 来源 -> 确认 (7)
10. 来源 -> 确认 (8)
11. [此时应关闭两侧的连接。但事实并非如此。]
12. [+200ms] Dest -> Fin/Ack
13. 来源 -> Ack (8 & 12)

目标系统上的某些东西在重新发出 Fin/Ack 数据包之前等待 200 毫秒。这在多个事务中非常一致。更糟糕的是，这种模式在事务的双方都复制：它出现在两个主机上的捕获中。它不像 Fin/Ack 数据包在某处被丢弃并被重新传输那么简单。或者它可能正在下降，但在运行的水平之上tcpdump。

200 毫秒的延迟让我觉得这里涉及 TCP 延迟确认，但我无法弄清楚为什么会这样。

以上 tcpdump甚至是一回事吗？

这是 RHEL6 系统的正常连接模式吗？

我们有一个 RoR 应用程序（现在是 Rails 版本 3.2.15）。随着它变得越来越忙，它生成的日志文件对故障排除的用处越来越小。当他们像这样进来时，这不是问题：

开始 GET "/accounts/28088166/kittens/22894/rendered_png?file_id=5d3eaec77954a489b5ddd75143091767&kitten_store_id=9970569bbacf7b6dbeb4eb9295960d69&size=large" for 172.16.201000 2013:45:-12
由 KittenController#rendered_png 处理为 HTML
  参数：{"file_id"=>"5d3eaec77954a489b5ddd75143091767", "kitten_store_id"=>"9970569bbacf7b6dbeb4eb9295960d69", "size"=>"large", "kitten_cam_id"=>"280941", "id"=>"kjlak357awt479}
  渲染文本模板（0.0ms）
发送数据（1.8ms）
在 1037.4ms 内完成 200 OK（查看：1.4ms | ActiveRecord：98.4ms）

简短的请求，快速组装，所有相关的日志行都在一个块中。

但是，并非我们所有的代码都在 1037 毫秒内呈现。有几个调用可能超过几秒钟，在此期间，其中几个更快的调用可能会进入（我们正在运行多个乘客实例）。发生这种情况时，很难确定哪些日志行属于哪个GET. 得到这样的日志行并不少见：

Sent data   (4.1ms)
Completed 200 OK in 947.1ms (Views: 230.9ms | ActiveRecord: 56.8ms)
Completed 200 OK in 767.4ms (Views: 3.2ms | ActiveRecord: 72.2ms)
Completed 200 OK in 2338.0ms (Views: 0.2ms | ActiveRecord: 0.0ms)

Ooookaaaaay ... 哪个 GET 转到“处理依据”行？

是否可以在这些日志行中添加诸如事务 ID 之类的内容？日志垃圾邮件会散布，但至少 grep-magic 会给我我需要的统一条目。

在办公室中，我们选择使用一种商品化方法来白盒化我们最终需要大量使用的某类服务器。是时候考虑多买几个了。距离我们上次这样做已经一年了，所以我希望更新一些组件。

具体来说，RAID卡。

当我们第一次构建这些时，我们使用内部使用 SFF-8087 电缆的 Adaptec 6805 卡。这很好，因为他们要进入的机箱也有那种插座。工作得很好，漂亮的大砖，从来没有遇到过问题。

我看到他们的 7x 和 8x 系列现已推出，但他们使用的是 SFF-8643。7x 系列与 6x 系列是相同的 6Gb SAS，但出于某种原因，它们使用 12Gb/s 电缆。

我还没想到 8x 系列，因为我还不能做 12Gb SAS，但 7x 系列是可能的。但是，它使用不同的电缆。

• SFF-8643 电缆是否像 USB3 电缆与 USB2 一样，因为它们向后兼容较低的规格？
• SFF-8643 电缆是否更像 OM3 电缆与 OM2 电缆，因为它们是相同的电缆，只是按照更高规格制造（因此兼容）？
• 还是 SFF-8643 电缆的电气和引脚方式不同，所以它们根本不是一回事？

我终于获准更好地集中我们的以太网。上次我离开时，我正在展望未来，找出如何最好地应对扩张。现在，我有了答案。我现在有一对 A5820 L3 开关，我打算将其用作我的核心。这些设备还支持 HP 的新智能弹性网络 (IRF)，这似乎是堆叠交换机组的一种特别奇特的方式。

这看起来可以解决我的一些问题。这是我想要达到的目的：

我以前有五个相同的 2910al，但现在他们有一对时髦的 L3 开关可以与之通话。理想情况下，我想如图所示进行接线：每个交换机两个 10GbE 上行链路，每个核心路由器类设备一个。这样我就可以对路由器进行维护，而不必处理主要的网络中断。另外，链路冗余。

1. 我的 2910al 需要什么样的配置才能支持这种架构？
   • 一个具有两个端口的中继组，还是两个独立的中继？
   • 完全是别的东西？
2. A5820 需要什么配置才能支持这个（如果有）？
3. 或者这是我应该坚持像 VRRP 这样的标准而不必打扰的狗吗？

IRF 意味着 A5820 将成为一个逻辑单元，但我不知道单独交换机上的端口是否可以加入到单个中继组中，或者即使这是个好主意。

我的 AD 域中有一位用户似乎无法自行选择密码。我可能还有另一个，但它们的密码到期时间表完全不同，我现在不记得它是谁了。

我可以很好地通过 ADU&C 设置密码，但是当他通过 CAD 尝试时，他收到“不符合复杂性”的消息。弄清楚他只是在做类似“pAssword32”的事情，我自己做了一些故障排除，果然它不想那样接受密码。

他是我们的用户之一，习惯性地使用本地帐户，然后使用他的 AD 凭据映射驱动器，这样他就不会得到你的密码将在 4 天后过期，也许你应该更改它的提示，所以他经常出现“我的密码已过期，你能修好它吗？”传单。

我不想让他每隔 N 天就通过 ADU&C 在我肩上设置它。我很好地设置了 48 个键盘敲击字符的临时密码，并让他更改它一些令人难忘的东西。

我的环境处于 Windows 2008 R2 功能级别，并且我正在使用细粒度密码策略。事实上，我有两个这样的政策：

1. 对于普通用户（最小长度，记住密码）
2. 对于特殊公用事业账户

我试过的密码复杂性与长度和字符集选择的策略相匹配。

User 对象本身的权限看起来正常，SELF 确实具有“更改密码”权限。

还有其他地方我应该寻找可以影响这个的东西吗？

我在网络扩展方面遇到了一些困难。就目前而言：

我们有五台 ProCurve 2910al 交换机如上连接，但具有 10GbE 连接（两个 CX4，两个光纤）。这完全填充了上面的中央交换机，该设备将不再有 10GbE 以太网连接。这组开关没有堆叠（no stack指令）。

在接下来的两三个月的某个时候，我需要添加第六个，但我不确定我陷入的困境有多深。理想情况下，我会用功能更强大且具有更多 10GbE 端口的东西替换核心交换机. 但是，这是一次重大中断，需要特殊安排。

通过光纤连接的两个边缘交换机中有双端口 10GbE 卡，所以我可以在其中一个的远端放置另一个交换机。我不知道那会是个好主意还是坏主意。

端点之间的段太多了吗？

一些配置摘录：

Running configuration:


; J9147A Configuration Editor; Created on release #W.14.49

hostname "REDACTED-SW01" 
time timezone 120 
module 1 type J9147A 
module 2 type J9008A 
module 3 type J9149A 
no stack

trunk B1 Trk3 Trunk 
trunk B2 Trk4 Trunk 
trunk A1 Trk11 Trunk 
trunk A2 Trk12 Trunk 

vlan 15 
   name "VM-MGMT" 
   untagged Trk2,Trk5,Trk7 
   ip helper-address 10.1.10.4 
   ip address 10.1.11.1 255.255.255.0 
   tagged 37-40,Trk3-Trk4,Trk11-Trk12 
   jumbo 
   ip proxy-arp 
   exit