SteadH's questions

我正在尝试将此日历： https : //bushnellbeacons.com/calendar.ics 加载到另一个内部网络系统。日历提要很好 - 我可以单击上面的链接并下载提要。问题是其他站点给出了一般错误“找不到源”。

做一些调查，如果我在浏览器中下载 ICS 文件，然后将其上传到另一个网络服务器，我可以将该 URL 添加到目标日历系统。我的工作理论是，服务器一在浏览器请求时生成 ICS 文件，但服务器二正试图抓取尚未生成的文件。这个问题与目标日历系统/服务器和故障排除无关。

我现在提出的解决方案是定期在服务器 2 上的 cron 脚本中使用 wget 来获取文件。不幸的是， wget 产生：

HTTP request sent, awaiting response... 404 Not Found
2021-11-01 17:13:20 ERROR 404: Not Found.

有趣的是，PowerShell 可以执行 Invoke-WebRequest https://bushnellbeacons.com/calendar.ics并返回类似于日历提要的内容：

StatusCode        : 200
StatusDescription : OK
Content           : BEGIN:VCALENDAR
                    VERSION:2.0
                    PRODID:-//SIDEARM Sports//NONSGML SIDEARM//EN
                    X-WR-CALNAME: Athletics
                    X-PUBLISHED-TTL:PT120M
                    BEGIN:VEVENT
                    UID:vcal_4644-bushnellbeacons.com
                    DTSTAMP:20211102T001441Z...
RawContent        : HTTP/1.1 200 OK
                    Strict-Transport-Security: max-age=0;
                    X-Content-Type-Options: nosniff
                    X-XSS-Protection: 1; mode=block
                    Referrer-Policy: no-referrer-when-downgrade
                    Content-Length: 113757
                    Cache-Con...
Forms             : {}
Headers           : {[Strict-Transport-Security, max-age=0;], [X-Content-Type-Options, nosniff], [X-XSS-Protection, 1;
                    mode=block], [Referrer-Policy, no-referrer-when-downgrade]...}
Images            : {}
InputFields       : {}
Links             : {}
ParsedHtml        : mshtml.HTMLDocumentClass
RawContentLength  : 113757

我的问题是：

• 有没有办法让 wget 执行似乎生成 ICS 文件的 Web 请求？（就像powershell似乎正在做的那样）
• 有没有更优雅的解决方案？

谢谢！我很乐意根据需要进行澄清。

今天早上，我们注意到 Active Directory 联合服务已停止对所有基于 SAML 的依赖方信任（其中大约 8 个）执行 SAML 身份验证。通过同一 ADFS 服务器（服务器 2012 R2）进行的 Office 365 登录没有遇到问题。周末没有执行更新、重新启动或配置更改，并且 SAML 很高兴在 48 小时前进行身份验证。

依赖方信任之一，一个 DokuWiki 系统，吐出以下错误：“ADFS：签名验证失败。SAML 响应被拒绝”

第 3 方系统（SAML 身份验证）给出错误：“ADFS 签名验证失败，请联系您的系统管理员。”

因为我从尝试在此 ADFS 服务器上通过 SAML 进行身份验证的两个不同系统收到相同的错误，所以我排除了这些系统并将我的视野缩小到 ADFS 服务器。

在通过事件查看器的 ADFS 管理日志中，唯一出现的新事件是：

The SAML artifact resolution endpoint is not configured or it is disabled. 

The artifact resolution service is not started. 

User Action 
If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.

这似乎是相关的......但我在 ADFS 控制台或通过 powershell 中没有看到任何关于工件解析的信息。此外，我在互联网上没有找到很多其他人有同样的问题，这总是让我认为我正在追踪一个红鲱鱼。

编辑以从 Get-ADFSProperties 添加证书翻转详细信息：

AutoCertificateRollover                    : True
CertificateCriticalThreshold               : 2
CertificateDuration                        : 365
CertificateGenerationThreshold             : 20
CertificatePromotionThreshold              : 5
CertificateRolloverInterval                : 720

Get-AdfsCertificate 显示：

Certificate     : [Subject]
                    CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US

                  [Issuer]
                    CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    6/9/2019 5:00:00 PM

                  [Not After]
                    9/8/2020 5:00:00 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Service-Communications
IsPrimary       : True
StoreLocation   : LocalMachine
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:25 AM

                  [Not After]
                    2/3/2021 2:13:25 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:27 AM

                  [Not After]
                    2/3/2021 2:13:27 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:39 PM

                  [Not After]
                    2/23/2020 8:52:39 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:40 PM

                  [Not After]
                    2/23/2020 8:52:40 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

你会带着这个去哪里？我很乐意根据需要挖掘任何细节或发布输出/日志。

谢谢！

我正在尝试做一些我认为不应该太复杂的修复。我的最终目标：一个 AD OU 中的某些用户需要在 Office 365 中使用某个许可证，而不同 OU 中的不同用户需要获得不同的许可证。

我想运行的命令是：

Get-ADUser -Filter * -SearchBase "ou=test,dc=our,dc=domain,dc=edu" | Set-MsolUserLicense -AddLicenses ourorg:STANDARDWOFFPACK_IW_STUDENT

但这失败了，响应如下：

Set-MsolUserLicense : The input object cannot be bound because it did not contain the information required to bind all mandatory parameters: ObjectId At line:1 char:111 + Get-ADUser -Filter * -SearchBase "ou=Test students,ou=Students,dc=campus,dc=org,dc=edu" | Set-MsolUserLicense <<<< -AddLicenses nwcu:STANDARDWOFFPACK_IW_STUDENT

单独地，这两个命令都有效。我可以选择 OU 中的所有用户，也可以手动使用带有 -UserPrincipalName 的 Set-MsolUserLicense 命令来许可单个用户。

这是因为 Get-ADUser 没有像 Set-MsolUserLicense 那样返回 ObjectID 吗？Get-ADUser 确实返回 ObjectGUID。如果我在正确的轨道上，有没有办法将这些映射在一起以用于管道输入？

编辑：我知道这样做的流行方法包括为此上传一个 CSV 文件，我知道我可以 CSV 导出这些用户，但我已经让他们在 OU 中如此整洁，所以我很乐意这样做如果可能的话，现在导入/导出。

提前致谢！

我最近在新服务器上为我们的一部分用户设置了一个新的文件共享文件夹重定向。我 robocopy 了文件，上周应用了策略，替换了旧策略，并与几个用户进行了测试，一切看起来都很好。

本周，我听说有些用户收到一个错误，他们无法连接到 \oldserver\users$\jsmith\desktop，文件夹重定向应该将他们指向 \newserver\users$\jsmith\desktop

我试图清除每台机器上的 C:\ProgramData\Application Data\Microsoft\Group Policy\History，但我们是一所大学，用户和计算机的数量相当大。不幸的是，即使这样做了，我听说这个问题仍然存在于一个计算机实验室。

今天早上我什至有人重新启动了所有机器，认为重新启动会强制刷新策略。

gpupdate /force 似乎解决了这个问题，所以它似乎是一个过时的缓存 GPO。

所以 - 我的问题是：

• 默认情况下，组策略缓存多长时间？这个设置在哪里？
• 如何在不告诉我的用户运行 gpupdate /force 的情况下解决此问题？当他们登录时它需要工作，而不需要他们采取步骤然后注销/重新登录（当然最好！）
• gpupdate /force 似乎只更新登录用户的策略（https://technet.microsoft.com/en-us/library/jj134201.aspx）。即使我运行它，这是否意味着我需要在行为中发现它失败？

（离线文件被禁用。不幸的是，这是这里提到的唯一缓存类型：https ://technet.microsoft.com/en-us/library/cc739647(v=ws.10).aspx ）

这是一个有点奇怪的问题——通常的故障排除步骤似乎并不适用。

在 XenServer 6.2 主机（带有 SP1）上，我有一个运行 Windows Server 2012 R2 的来宾 VM，用作文件/打印服务器。虚拟机大约有一年的历史。它有一个 45GB 的系统驱动器和一个可容纳数百个共享文件的数据驱动器。

今天早上，系统驱动器慢慢开始走向满载。不慢，但也不快。无论如何，它已满，打印作业停止工作。诡异的。我运行了 windirstat 并清理了一些旧的日志文件。一切都很好，但它也填补了那个空间。

所以，在那一点上，我没有东西可以清理 C 盘。我再次运行 Windirstat，发现总磁盘使用量实际上只有 16GB。嗯？Windows 资源管理器仍报告此时磁盘已满。

我重新启动。

Windows 资源管理器现在显示正确的可用空间量。惊人的！直到我刷新......并注意到可用空间较少。并再次刷新......和更少的可用空间。

这不是快速泄漏，但仍会在大约 2.5 小时内“填满”剩余空间。我说“填充”是因为在 C: 上重新运行 Windirstat 表明只存在 16 个演出的数据。

有趣的东西：

• 这不会发生在数据磁盘上。
• vssadmin list writers不列出任何快照
• 我卸载了我们的备份软件客户端（Unitrends 8）
• 我们没有使用文件卷影副本/以前的版本
• fsutil volume diskfree C:同意 Windows 资源管理器
• 我们有一个不同的虚拟机也在这个主机上运行 S2012R2，它没有遇到同样的问题。
• 我们是最新的 Windows 更新

感谢您提供的任何帮助或指示！我很乐意尝试报告任何事情。我打电话给 Citrix 支持，他们有一个小补丁希望我应用，但他们也承认它不能解决问题。他们现在正在指责和 Windows 本身。

将所有这些总结为一个问题 - 还有什么可能导致 Windows 资源管理器认为磁盘正在增长，但不会出现在 WinDirStat 中？

更新： 磁盘空间不匹配已修复。Aparently WinDirStat（以管理员身份运行）仍然看不到 C:\Windows\System32\Spool 文件夹。很奇怪，对吧？无论如何，那里卡住了一个 16GB 的文件。现在没了。明天我会更新我们是否看到磁盘大小像以前一样爬行（现在有更多可用磁盘空间让它爬行）

我们在 Windows Server 2012 上使用 IIS 托管一个网站。通常，可以从任何浏览器访问该网站。使用 Google Chrome 时，我们看到该网站在校园内间歇性访问。chrome 错误是：err_connection_aborted。收到此错误的用户可以立即打开 Firefox 或 IE 并访问该站点。这个问题似乎只影响我目前看到的 Windows Chrome。

这是我尝试过的：

• 禁用 AV（TrendMicro 防毒墙网络版，而不是像http://community.spiceworks.com/topic/330365-103-net-err_connection_aborted-unknown-error中的卡巴斯基）
• 检查证书链 - 在正常工作的 Chrome 上，证书链报告中间证书和根证书正常，站点显示绿色锁并报告一切正常
• 检查我们使用相同 Digicert 通配符证书的其他站点：这些站点上没有报告问题
• Windows 更新历史 - 五天前安装，但问题直到今天才开始
• 故障机器上的 NSLOOKUP 报告正确的服务器地址（与好机器的地址相同）
• 卸载并重新安装 Chrome 无法修复
• 重新启动 IIS。这看起来今天早上有所帮助，但另一组计算机提出了这个问题。
• 此服务器上托管的其他子域会导致相同的 Chrome 错误 - 这让我认为 IIS 可能是罪魁祸首。
• 清除 Chrome 中的缓存并重新启动计算机 - 不走运
• Chrome 是最新的

我不完全确定下一步该去哪里。我感谢任何和所有的建议和澄清要求。我怀疑这是一个 IIS 问题，因为它似乎突然出现而客户端配置没有更改，但我不知道 IIS 如何/为什么会进行区分。

更新 - 在 chrome 上使用隐身模式总是会导致错误

查看数据包捕获 - 当 Chrome 使用 TLS 1.2 时，它似乎失败了。当 Chrome 使用 TLS 1.1 时 - 它可以工作。

来自不工作的数据包：

• 633 10.497010000 192.168.2.38 192.168.0.35 TLSv1.2 288 服务器问候，证书，证书状态，服务器密钥交换，服务器问候完成
• 634 10.497044000 192.168.0.35 192.168.2.38 TCP 54 51200→443 [ACK] Seq=215 Ack=3473 Win=65536 Len=0
• 635 10.497070000 192.168.0.35 192.168.2.38 TCP 54 51200→443 [ACK] Seq=215 Ack=4615 Win=64512 Len=0
• 636 10.498957000 192.168.0.35 192.168.2.38 TLSv1.2 244 客户端密钥交换、更改密码规范、Hello 请求、Hello 请求
• 637 10.498979000 192.168.2.38 192.168.0.35 TCP 60 443→51199 [RST, ACK] Seq=4615 Ack=405 Win=0 Len=0

环境：*CentOS 6.5 *Fail2Ban 0.8.14-1 *date 输出正确的日期

行为：Fail2ban 成功启动，但在错误的 SSH 登录尝试后不会创建 iptables 块。我现在只关心 SSH。我尝试使用本指南重新安装：https ://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6

Fail2Ban 过去可以工作 - 但通过系统更新，它似乎已经停止工作。如果我跑

sudo service fail2ban restart

我收到一封电子邮件说监狱已经停止，另一封电子邮件说监狱已经开始，所以fail2ban 似乎正在运行并且正常运行。

我的 /etc/fail2ban/jail.local 文件包含以下条目：

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
       sendmail-whois[name=SSH, dest=chalstead@mydomain.edu, sender=fail2ban@campus.mydomain.edu, sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

我的 IP 地址未列在 ignoreip 声明中。我正在使用 600 的标准 bantime、600 的 findtime 和 3 的 maxretry。

当我查看 /var/log/secure 时，我看到很多失败的尝试：

Sep 30 00:17:02 nebo unix_chkpwd[3796]: password check failed for user (root)
Sep 30 00:17:02 nebo sshd[3794]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.173.26.189  user=root

iptables -L 似乎报告 fail2ban 确实有一个链：

Chain fail2ban-SSH (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

我目前最好的客人是 actions.d/sshd.conf 中的 sshd 操作正在使用正则表达式来查看日志文件，但它与 CentOS 日志的当前语法不匹配，从而被禁止尝试。

时间不同步：为什么 fail2ban 不阻止失败？

运行 fail2ban-regex 来测试我的理论，看起来我可能走在正确的轨道上：

[isdept@nebo action.d]$ sudo fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf 

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/sshd.conf
Use         log file : /var/log/secure


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [22655] MONTH Day Hour:Minute:Second
`-

Lines: 22655 lines, 0 ignored, 0 matched, 22655 missed
Missed line(s): too many to print.  Use --print-all-missed to print all 22655 lines

我不完全确定如何修改正则表达式来解决这个问题（如果这是问题的话），但我惊讶地发现我没有找到一个简单的解决方法，因为 CentOS 很常见。我很乐意提供任何其他信息。感谢您提供的任何提示或指示！

为了安全起见 - 我目前正在禁用对此主机的公共访问。

我在一个池中有三台 XenServer 6.1 服务器。通常使用 HA，但目前已为此操作关闭。

最近，我不得不通过以下说明破坏域来强制关闭 VM：http: //support.citrix.com/article/CTX131421

除了我的命令行似乎没有 destroy_domain 命令之外。另一篇文章向我指出了 /opt/xensource/debug/xenops destroy_domain -domid x 的完整路径（http://gimpland.org/now/2013/01/citrix-xenserver-how-to-force-shutdown-virtual -机器/）

它起作用了，我能够毫无问题地启动虚拟机。尽管我发现尝试将 VM 迁移到池中的任何其他服务器。尝试通过 XenCenter 将 VM 迁移到池中的另一台主机会在大约 30-40 秒后产生以下错误：

    Migrating VM 'Cleanup 7' from XenBlade5 to XenBlade 6: 
    Error: Internal error: file "xapi_xenops.ml", line 1740, characters 3-9: Assertion Failed.

虚拟机现在已暂停。尝试恢复它（仍然在原始服务器上，因为它无法移动）在服务器事件日志中产生以下错误：没有可用的服务器来完成指定的操作。

此外，XenCenter 会弹出一个对话框，提示“启动 VM 时出错”，池中的每个服务器都会出现错误，提示“对象已被删除。VDI:OpaqueRef:NULL。服务器将不会恢复。

如果我强制关闭虚拟机，我可能会重新启动它。不幸的是，VM 仍然无法迁移并产生上述相同的错误。

我在我们的一台生产 VM 服务器上发现了这个问题，但这些测试是在一次性的 Windows 7 Enterprise VM 上执行的。生产虚拟机是 CentOS，所以我认为我没有遇到任何特定于操作系统的问题。我上面发出的 destroy_domain 命令看起来像一个问题。

未使用 destroy_domain 关闭的其他 VM 可以自由地进出此服务器。

我不是 XenServer 的老手，因此非常感谢任何帮助、更正或澄清请求。非常感谢您的帮助！

我已经复制了两到三遍，所以我猜我正在做的事情有问题。

这是我的步骤：

1. 通过 EC2 管理控制台启动新实例，使用：Ubuntu Server 13.10 - ami-ace67f9c（64 位）
2. 使用默认值启动（使用我现有的密钥对）
3. 实例启动。我可以使用 Putty 或 Mac 终端通过 SSH 连接到它。成功！
4. 我重新启动实例

5. 10 分钟后，当实例应该重新启动并运行时，我的终端连接显示：

   stead:~ stead$ ssh -v -i Dropbox/SteadCloud3.pem ubuntu@54.201.200.208
   OpenSSH_5.6p1, Op`enSSL 0.9.8y 5 Feb 2013
   debug1: Reading configuration data /etc/ssh_config
   debug1: Applying options for *
   debug1: Connecting to 54.201.200.208 [54.201.200.208] port 22.
   debug1: connect to address 54.201.200.208 port 22: Connection refused
   ssh: connect to host 54.201.200.208 port 22: Connection refused
   stead:~ stead$
   

好的，我知道公共 IP 地址可以更改，因此检查 EC2 管理控制台，我确认它是相同的。诡异的。只是为了好玩，我尝试连接公共 DNS 主机名：ec2-54-201-200-208.us-west-2.compute.amazonaws.com。没有骰子，同样的结果。

即使使用 EC2 控制台中内置的通过 Java SSH 客户端连接，我也会收到连接被拒绝。

我检查了安全组。此实例位于组 launch-wizard-4 中。查看该组的入站配置，允许从 0.0.0.0/0 进入端口 22，因此应该在任何地方。我知道我正在访问我的实例，这是正确的安全组，因为我无法 ping 实例。如果我为此安全组启用 ICMP，我的 ping 会突然通过。

我在互联网上发现了一些其他带有类似错误消息的帖子，但大多数似乎都可以通过调整防火墙设置轻松解决。我已经尝试了其中的一些，但没有运气。

我猜我缺少一个简单的 EC2 步骤。感谢您提供的任何帮助，我很乐意提供更多信息或进一步测试！

更新 - 这是我来自 Amazon EC2 控制台的系统日志：http: //pastebin.com/4M5pwGRt

我们在池中的三个刀片上使用 XenServer 6.1 Advanced。我正在使用 Storage XenMotion 将存储从旧 SAN 移动到新 SAN。到目前为止，一切都很好！

但我发现，在没有可用空间的 LUN 上，Storage Xenmotion 无法创建快照，因此传输失败。

令我感到奇怪的是，新的 SAN 报告空间，就好像 VD 实际已被移动一样。

以下是新 SAN 上现有虚拟磁盘的截图：

但是，这是新 SAN 上存储库的“常规”选项卡中的截图：

此 XenServer 池是访问此存储库的唯一对象。最多，我认为应该使用 ~150 GB。也许多一点，但肯定不会加倍。我目前的假设是它与失败的存储 XenMotion 有关。

问：是否有 XenServer 工具（命令行或 XenCenter 中）可以帮助我了解额外存储的去向和回收？

与往常一样，我非常愿意提供更多信息来帮助缩小问题范围！提前致谢！

我在运行 Open Monitoring Distribution 1.0 的 Ubuntu 服务器上使用带有 WATO 的 check_mk。到目前为止，一切都很好！

我正在尝试为 check_mk 配置 snmp 社区，以从我们的一些 HP 交换机中提取信息。在我们将社区设置为公共的交换机上，它可以拉得很好（我想改变社区，因此提出了问题）。

http://mathias-kettner.de/checkmk_wato_using.html描述了确保您正确设置了您的社区，但没有提供有关如何执行此操作的信息。

http://mathias-kettner.de/checkmk_snmp.html描述了在使用 main.mk 文件定义主机时如何设置社区，但是由于我使用 WATO 添加了所有主机，所以我的 main.mk 文件几乎是空白的。

WATO中的snmp社区是否有地方可以更改check_mk？其他方法？

谢谢！

我对 check_mk/nagios/monitoring 世界有点陌生。我正在尝试使用 omd 1.0 作为一种简单的方法来设置它并在 Ubuntu 主机上工作。到目前为止，一切都很好！

尽管我对系统进行了所有工作，但我认为备份是个好主意。传统上，主机和检查配置似乎保存在 main.mk 文件中，用于 check.mk，但我的显示：

# Put your host names here
# all_hosts = [ 'localhost' ]
all_hosts = [ ]

嗯……这没什么意思！我在 check_mk 多站点中添加并显示了大约 40 个服务器/交换机。

我正在使用 WATO for check_mk 添加主机，我猜这就是为什么没有将内容写入该文件的原因。为简单起见，我想继续使用 WATO 进行管理。

那么 - 主机和检查信息写在哪里？

提前致谢！

这个问题在某些方面是这个问题的扩展： Exchange 2007 server send out spam

我们正在运行 Exchange 2007。我们有一个最终用户收到了 Exchange 退回邮件（生成服务器是我们的），说她发送给了太多的收件人（我们的策略默认情况下只允许帐户发送给 30 个左右的收件人）。回扣消息显示：

richard72212@gmail.com<mailto:richard72212@gmail.com> This message has too many recipients. Microsoft Exchange will not try to redeliver this message for you. Please try resending with fewer recipients, or provide the following diagnostic text to your system administrator.

Lenholden007@hotmail.com<mailto:Lenholden007@hotmail.com> This message has too many recipients. Microsoft Exchange will not try to redeliver this message for you. Please try resending with fewer recipients, or provide the following diagnostic text to your system administrator. ETC...

好的！我很高兴收件人过滤器阻止了它！我们的 Exchange 服务器不是开放中继，我在 Exchange 管理控制台消息跟踪工具中看到了该消息。我在机器上的 Outlook 2010 中打开了用户的邮箱，垃圾邮件在她的“已发送”框中。

在这一点上我的猜测（对上面另一个 SF 问题的提示）是我们有一台受感染的客户端计算机。我看到邮件跟踪中有一个“客户端 IP”字段，但它大部分都是我们邮件服务器的 IP。我的问题是 - 我可以使用交换消息跟踪日志来查找消息发起点的 IP 或主机名吗？

感谢您的任何帮助或指点！我很乐意更新任何要求的信息。

更新 - 在第一次报告此事件后（本周早些时候），我让用户更改了她的密码。自从密码更改后又发生了。

我熟悉 vlan 和标记，我们通常使用命令行界面来处理我们的 HP 第 3 层交换机。我做了很多：

vlan 10 untagged 21

我一直想知道从港口的角度来看这是否可能。例如，如果我有一个需要全新配置的端口，那么能够执行以下操作会很棒：

interface 21 untagged 2 tagged 3 tagged 5

并根据需要一举配置端口。上面的命令不起作用（即使缩短为interface 21 untagged 2）。是否可以从端口的角度而不是从vlan的角度进行端口标记？即使只是清除一个端口也会很方便，并且?从命令行中点击，界面中似乎没有 vlan 选项。

提前致谢！

我有我的魔法三角工作中真正重要的部分——我绑定到 AD 和 OD 的 Mac OS X 客户端可以使用域凭据登录。不起作用的是从 mac 服务器共享文件夹到客户端。当客户端使用 Go -> Connect to server 并指定 smb://mac-server/sharedfolder 或 afp://mac-server/sharedfolder 时，会提示用户输入凭据，并且域凭据不起作用（抖动窗口拒绝）。我试过在用户名前面加上域，但没有运气。

DNS 工作正常，客户端可以同时解析 mac-server 和我们的 AD 域控制器

mac服务器的DSCONFIGAD如下：

mac-server:~ macadmin$ dsconfigad -show
Active Directory Forest          = campus.zzz.edu
Active Directory Domain          = campus.zzz.edu
Computer Account                 = mac-server$

Advanced Options - User Experience
  Create mobile account at login = Disabled
     Require confirmation        = Enabled
  Force home to startup disk     = Enabled
     Mount home as sharepoint    = Enabled
  Use Windows UNC path for home  = Enabled
     Network protocol to be used = smb
  Default user Shell             = /bin/bash

Advanced Options - Mappings
  Mapping UID to attribute       = not set
  Mapping user GID to attribute  = not set
  Mapping group GID to attribute = not set
  Generate Kerberos authority    = Enabled

Advanced Options - Administrative
  Preferred Domain controller    = not set
  Allowed admin groups           = not set
  Authentication from any domain = Enabled
  Packet signing                 = allow
  Packet encryption              = allow
  Password change interval       = 14
  Restrict Dynamic DNS updates   = not set
  Namespace mode                 = domain
mac-server:~ macadmin$ 

我的共享文件夹配置如下：

有趣的是，客户端可以： * 使用 Active Directory 凭据登录 * 访问他们有权访问的其他网络资源（例如我们的常规文件服务器），而不会被提示输入凭据

客户端不能： * 连接到 mac-server 文件共享。

从客户端添加的 AD 和 OD：

我猜只有 AD 集成在我的魔三角中起作用，但 OD 集成不是。不幸的是，OpenDirectory 在 Server.app 中似乎没有任何/很多选项可以摆弄。

在 server.app 内置的日志查看器中，我确实在 AFP 日志中看到了一个奇怪的错误：

Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL   membership failure for user chalstead" 0 0 0

我很乐意提供更多细节。我很好奇这次 SACL 会员资格失败，但不确定这是否是一棵树现在可以吠叫。我怀疑我错过了一些更基本的东西。

一位用户向我报告说他们无法访问rotation.org。这是一个相当大的国际网站，所以看起来有点奇怪。我在我的机器上用不同的浏览器复制了这个问题。Rotary.org 导致找不到页面错误。

我们的环境是为校园运行 DNS 的两个 Windows Server 2008 R2 DC。它们都被配置为使用根提示，没有使用 DNS 转发器。这些系统是可靠的，对于互联网的其他部分，它们似乎可以像冠军一样解决 DNS 查询。所有校园计算机都设置为使用这些 DC 作为 DNS 服务器，并且除了 DC，工作站不能发出外部 DNS 请求（被防火墙阻止）。

这个问题来来去去。过去，我已经刷新了两台服务器上的 DNS 缓存作为临时修复。当问题发生时，执行 nslookup 会产生如下结果（模拟，因为问题现在不存在）： nslookup 默认服务器：dc1.zzz.edu 地址：192.168.2.4

> rotary.org
Server:  dc1.zzz.edu
Address:  192.168.2.4

*** dc1.zzz.edu can't find rotary.org: Server failed

当它起作用时：

nslookup
Default Server:  dc1.zzz.edu
Address:  192.168.2.4

> rotary.org
Server:  dc1.zzz.edu
Address:  192.168.2.4

Non-authoritative answer:
Name:    rotary.org
Address:  209.107.78.20

刷新服务器上的 DNS 缓存通常会立即解决此问题。intoDNS DNS 报告显示，他们这边的大多数事情都是正常的：http ://www.intodns.com/rotary.org 除了他们没有在他们的名称服务器之间提供任何粘合剂。

这个问题似乎只针对rotate.org - 没有其他用户报告过问题。出现问题时我可以清除缓存，但我也想了解可能导致此问题的原因。这个问题会不会是我们的问题，或者rotate.org是否通过了一些时髦的DNS？

我们有一个在 vlan 之间进行 IP 路由的 HP 第 3 层交换机。一般设置是交换机在每个 VLAN 上都有一个 IP 地址，并且启用了 IP 路由。在我们的服务器 VLAN 上，我们有一个与外部世界连接的防火墙。

要在 HP 路由器上设置 IP 路由，我们使用 IOS 命令

ip route 0.0.0.0 0.0.0.0 192.168.2.1

我们防火墙的地址在哪里192.168.2.1，零基本上意味着路由交换机不知道如何将防火墙用作网关的所有流量。

我们正处于 ISP 和防火墙更改的中间。我设置了新的防火墙并运行了 IOS 命令

ip route 0.0.0.0 0.0.0.0 192.168.2.254

（新防火墙的地址）。事情开始运作良好。但是，当我查看交换机的配置时，我注意到它并没有替换之前的 ip route 命令，而是添加了另一个路由。

现在，我知道如何删除旧的防火墙路由（no ip route 0.0.0.0 0.0.0.0 192.168.2.1），但是拥有这两条0.0.0.0路由有什么作用呢？是开关内爆吗？服务器是否会通过接收请求的路由做出响应？

我在其他地方读到过，根据定义，拥有两个默认网关是不可能的，但我对我们的交换机允许的这种情况感到好奇。

谢谢！