s1lv3r's questions

我跟着

• 使用 CA 证书进行远程桌面连接
• 在远程管理模式下为 Windows Server 2012 上的 RDP 配置自定义 SSL 证书？

使用适当的证书而不是自签名的 Windows 证书来保护 RDP。这一切都很好。直到我跑

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"

此命令只会导致“无效参数”。

相同的命令适用于原始（自签名 Windows）证书的哈希。所以我想我的证书一定有问题。它似乎已正确安装在证书存储中（使用私钥并在“Remotedesktop”小节下）。

查看认证 MMC 管理单元中的证书详细信息，我导入的证书旁边有一个黄色感叹号：

密钥使用 = 数字签名、密钥加密 (a0)

和附加字段

基本限制 = 请求者类型：最终单位

虽然 Windows 为 RDP 连接生成的自签名证书具有：

密钥使用 = 密钥加密、数据加密 (30)

无论如何要改变这一点，还是不能将此证书用于RDP？

一些附加信息：

• 该证书是 COMODO PositiveSSL 通配符证书，
• 在将证书导入 Windows 证书存储之前，我使用 OpenSSL 将证书从原始 PEM 表单转换为 PKCS7 并从 PKCS7 转换为 PKCS #12/PFX，
• 证书之间的另一个区别是 Windows 证书是 sha1 证书，而 Comodo 证书是 sha256 证书，
• 这是一个Win10工作站，
• 工作站不是任何域的成员，而是独立安装。

我试图弄清楚如何在 DNS 中处理 TTL（最后我试图找出切换域的最快方法），但不知何故我一直在解释 TTL 值。

例如，我今天移动了一个域，该域在将其移给我之前具有以下 DNS 记录：

主机-a example.com ns.old-provider.net

Trying "example.com"
Using domain server:
Name: ns.old-provider.net
Address: 0.0.0.0#53
Aliases: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45674
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4

;; QUESTION SECTION:
;example.com.           IN  ANY

;; ANSWER SECTION:
example.com.        3600    IN  NS  ns9.old-provider.net.
example.com.        3600    IN  NS  ns.old-provider.net.
example.com.        180 IN  MX  10 mail.example.com.
example.com.        3600    IN  NS  ns8.old-provider.net.
example.com.        180 IN  A   0.0.0.0
example.com.        3600    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

;; ADDITIONAL SECTION:
ns8.old-provider.net.   86400   IN  A   0.0.0.0
ns9.old-provider.net.   3600    IN  A   0.0.0.0
ns.old-provider.net.        86400   IN  A   0.0.0.0
mail.example.com.   180 IN  A   0.0.0.0

Received 258 bytes from 0.0.0.0#53 in 31 ms

我对上述输出的解释是，这个域应该在最多 3600 秒后解析到我的服务器（因为我同时更改了 NS 和 A 记录）。

正如我确实移动了上述域，在收到 TRANSFER ACK 3 小时后，它仍然解析到错误的 DNS 服务器：

host -a example.com 8.8.8.8
[...]

;; ANSWER SECTION:
example.com.        179 IN  A   0.0.0.0
example.com.        3599    IN  NS  ns9.old-provider.net.
example.com.        3599    IN  NS  ns.old-provider.net.
example.com.        179 IN  MX  10 mail.example.com
example.com.        3599    IN  NS  ns8.old-provider.net.
example.com.        3599    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

如您所见，我正在使用 Google DNS 服务器进行检查，所以我想可以保存 TTL 得到尊重。

我肯定错过了什么。但我无法弄清楚 - 任何人都可以在这里给我一个提示吗？

问题是 SOA 记录的 TTL，所以在进行切换之前必须降低这个值？

编辑

挖掘 +trace +附加 example.com @8.8.8.8

; <<>> DiG 9.8.1-P1 <<>> +trace +additional example.com @8.8.8.8
;; global options: +cmd
.           1024    IN  NS  c.root-servers.net.
.           1024    IN  NS  i.root-servers.net.
.           1024    IN  NS  j.root-servers.net.
.           1024    IN  NS  d.root-servers.net.
.           1024    IN  NS  f.root-servers.net.
.           1024    IN  NS  g.root-servers.net.
.           1024    IN  NS  k.root-servers.net.
.           1024    IN  NS  a.root-servers.net.
.           1024    IN  NS  h.root-servers.net.
.           1024    IN  NS  l.root-servers.net.
.           1024    IN  NS  b.root-servers.net.
.           1024    IN  NS  e.root-servers.net.
.           1024    IN  NS  m.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

de.         172800  IN  NS  z.nic.de.
de.         172800  IN  NS  f.nic.de.
de.         172800  IN  NS  a.nic.de.
de.         172800  IN  NS  l.de.net.
de.         172800  IN  NS  s.de.net.
de.         172800  IN  NS  n.de.net.
a.nic.de.       172800  IN  A   194.0.0.53
a.nic.de.       172800  IN  AAAA    2001:678:2::53
f.nic.de.       172800  IN  A   81.91.164.5
f.nic.de.       172800  IN  AAAA    2a02:568:0:2::53
l.de.net.       172800  IN  A   77.67.63.105
l.de.net.       172800  IN  AAAA    2001:668:1f:11::105
n.de.net.       172800  IN  A   194.146.107.6
n.de.net.       172800  IN  AAAA    2001:67c:1011:1::53
s.de.net.       172800  IN  A   195.243.137.26
z.nic.de.       172800  IN  A   194.246.96.1
;; Received 343 bytes from 2001:500:2f::f#53(2001:500:2f::f) in 179 ms

example.com.        86400   IN  NS  ns9.old-provider.net.
example.com.        86400   IN  NS  ns8.old-provider.net.
example.com.        86400   IN  NS  ns.old-provider.net.
;; Received 93 bytes from 0.0.0.0#53(0.0.0.0) in 39 ms

example.com.        180 IN  A   0.0.0.0
;; Received 45 bytes from 0.0.0.0#53(0.0.0.0) in 29 ms

来自 Linux 背景，现在必须管理一些 Windows 服务器（2008R2 和 2012R2），我想知道哪些服务可以安全地直接在 Internet 上运行。这些服务器都面向 Internet，无需额外的硬件防火墙或内部 VPN 管理网络。

有疑问的服务是：

1. RDP（标准配置）？
2. MSSQL（2012）？
3. 活动目录？
4. WSUS（如果 3. 不安全，则没有域）？

经过一些研究，我知道 RDP 至少在早期的 Windows 版本（2003）中是不安全的，而 AD 似乎通常被认为是不安全的。通过 SSH 隧道 RDP 仍然是一个明智的主意（服务器都运行 cygwin）吗？

谢谢你的建议！

我正在从 U 盘启动我的 FreeNAS。但是它变坏了，无法启动。

bad dir ino {X} at offset {X}: mangled entry

我现在将 USB 驱动器连接到带有 FreeNAS 的 VM，以使用 fsck 挂载/或修复存储棒上的 fs。

运行fsck -y -t ufs一次后，分区似乎被完全破坏（甚至无法重新运行 fsck，因为它只是给出“ no superblock found”）。所以我猜fs无法修复。

这就是我现在尝试检索 config 的原因/data/freenas-v1.db。

我安装了“ mount -t ufs /dev/da0s1a /tmp/test”但“ ls /tmp/test/data/”只是给出：

ls: zfs: Bad file descriptor
./ ../

在工作安装中，配置文件freenas-v1.db位于该文件夹中，并且zfs是该文件夹的普通子目录。

文件丢失了吗？有机会找回吗？

在迁移到新的 VPS 后，我有一些用户抱怨他们网站上的图片加载速度很慢。在用 dd 创建了一些测试文件后，我意识到我可以通过 sshfs 全速下载所有文件，而通过 Web 下载的速度非常慢。文件越大，传输时间越长，传输速度就越慢。

我以为我在使用 Apache 时遇到了一些问题，只是花了整个晚上用 Apache2 替换 nginx 来提供静态文件服务——根本没有任何效果。

顶部没有 I/O 等待状态。大量可用 RAM，没有高 CPU 使用率，并且 hdparm 始终显示出不错的 I/O 性能。

我只是不知道，这台服务器上发生了什么。

这是一个演示文件的链接：http ://master.dealux.de/file.tgz

有人知道我可以检查什么吗？

将 pm 从 切换dynamic到后ondemand，我的 1GB VPS 上的内存使用问题较少，但似乎在某些高负载情况下服务器仍然卡住。它是具有 1GB 真实 RAM 和 4GB“假 RAM”（SSD 缓存）的 VMWare VPS。

安装了newrelic服务器监控，发现问题好像还是php5-fpm的问题。服务器负载达到 150（2 cpu 系统），所有 php-fpm 池最多生成 10 个孩子，这消耗了将近 2.5 GB RAM，而系统上的平均 RAM 使用量为 300 MB。

如果我理解ondemand正确，所有备用服务器设置都没有用，并且生成的孩子应该在请求完成后死亡。所以我唯一能做的就是max_children进一步降低，但因为我有 30 多个游泳池，我想这对我来说无论如何都没有帮助。

这是我的标准池配置：

[web2]

listen = 127.0.0.1:9011
listen.allowed_clients = 127.0.0.1

user = web2
group = client1

pm = ondemand
pm.max_children = 10
pm.process_idle_timeout = 10s;
pm.max_requests = 0

有没有人知道如何优化此设置以使服务器不会在高负载情况下挂起？

******编辑****** 我试过 process.max = 32了，但我不确定在使用ondemand. 今天服务器又崩溃了，我不知道是什么问题。完全中等流量。如果我急于在页面上使用 blitz.io，一切都会很顺利。他产生了所有 10 个孩子，并尽可能快地传送页面，同时立即传送 500 个请求，而不会导致服务器爆炸。

我想建立一个存储服务器并购买了10 x 2TB WD RED's. HDD's刚到的。

在将真实数据复制到磁盘之前，你们有没有什么工具可以用来检查坏驱动器或最好地防止婴儿死亡？

是检查每个单独的还是通过复制大量数据HDD来测试数组 ( ) 更好？ZFS raid-z2

我很难从我的 ESXi 4 复制 VM ...我从未尝试过复制 VM，因为我总是在 VM 内进行备份，但现在我想停用该服务器并需要获得最终的完整备份。

到目前为止我尝试了什么： 1. 使用 vCenter“Browse Datastore”：这真的很慢并且在 20-30 小时后一直中止（VM 有两个平面磁盘，每个磁盘增长到大约 200 GB，并且可能有大约 40 GB 的实际数据里面）。2. 使用 VMware 转换器：这适用于同一主机服务器上的其他（较小）机器，但特定 VM 挂在“检索数据”上。3. 将 sftp-server 二进制文件复制到 /sbin。这使我能够通过 ssh-fs 连接到 ESXi，但传输仅适用于小文件（<10MB）和大文件我只得到“连接被服务器关闭，退出代码为 139”（客户端/服务器日志文件中没有其他有用信息，通过 veeam-fastscp、winscp、filezilla ... 尝试过）。

有没有人有其他想法来备份这个虚拟机？