Chris_K's questions

在 PowerShell 中构建配置脚本以配置 Web 服务器的 SMTP 服务以使用 AWS SES（简单电子邮件服务）进行出站邮件传递。手动操作很容易，但是当我们进入一个负载平衡的世界时，我正在为它编写脚本而苦恼。

我的主要挑战似乎是打开基本身份验证并提供信用。我似乎无法弄清楚那些可能是什么 WMI 字段...我认为 cred 字段是RouteUserNameand RoutePassword，但似乎找不到正确的选项来打开 BasicAuth 来证明这一点。检查 TLS 加密框也在逃避我。

我是否遗漏了一些明显的东西，或者只是没有使用正确的变量？

我正在努力解决的领域：

到目前为止我构建的示例脚本。中继 IP 有效，RouteUserName 和 RoutePassword 字段已确认设置。但其余的是什么？

$smtpuser = Get-SSMParameter -Name SMTP_User
$smtppass = Get-SSMParameter -Name SMTP_Password -WithDecryption $true
$smtpfqdn = "$env:computername.$env:userdnsdomain"

$SmtpConfig = Get-WMIObject -Namespace root/MicrosoftIISv2 -ComputerName localhost -Query "Select * From IisSmtpServerSetting"
$RelayIpList = @( 24, 0, 0, 128, 32, 0, 0, 128, 60, 0, 0, 128, 68, 0, 0, 128, 1, 0, 0, 0, 76, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 4, 0, 0, 0, 0, 0, 0, 0, 76, 0, 0, 128, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 255, 255, 255, 255, 127, 0, 0, 1 )
$SmtpConfig.RelayIPList = $RelayIPList
$SmtpConfig.AllowAnonymous = $false
$SmtpConfig.AuthBasic = $true
$SmtpConfig.RouteUserName = $smtpuser.Value
$SmtpConfig.RoutePassword = $smtppass.Value
$SmtpConfig.AlwaysUseSsl = $true
$SmtpConfig.DefaultDomain = $smtpfqdn
$SmtpConfig.SmartHost = "email-smtp.us-west-2.amazonaws.com"

$SmtpConfig.Put()

Restart-Service "SMTPSVC" -ErrorAction 

上周我在这里有一个关于 suexec / suphp的问题，但我试图完成太多。我将缩小范围再试一次。

我想配置一个 LAMP 服务器来托管多个客户端。我希望它看起来（从客户的角度来看）就像任何其他共享托管环境一样。网站在他们的主目录中，不需要弄乱文件所有权来获得页面服务等。似乎涉及 suexec 和 suphp 的配置是要走的路（？）

我正在专门寻找有关如何完成此任务的当前/现代指南（如果重要，我将使用 CentOS），恐怕我需要的不仅仅是 Apache 文档的链接。那里有什么好的方法吗？我发现的几个已经过时了，但很可能我的搜索很弱。

我有一个简单的小网络，在 2 个站点中有 3 个 AD 服务器。站点 A 有 Win2k3 SP2 和 Win2k SP4 服务器，站点 B 有一个 Win2k3 SP2 服务器。所有这些都已经到位至少 3 年了。

就在上周，我开始在两台 win2k3 服务器上收到 Event 2089“未备份”警告（示例如下）。我了解该消息的含义，无需向我发送指向解释它的technet文章的链接。我会改进我的备份。

我更好奇的是，为什么我现在才开始收到这条消息？为什么我在过去的 3 年里没有得到它？！？

也许这是相关的：我最近停用了一些其他站点和 AD 控制器（过去还有 3 个站点，每个站点都有自己的控制器）。别担心，我做了适当的 DCpromo 练习，确保我们没有丢失任何东西。但是关闭这些可能与我现在收到此错误的原因有关吗？

这不会让我在晚上保持清醒，但我很好奇发生了什么变化......

Event Type: Warning
Event Source:   NTDS Replication
Event Category: Backup 
Event ID:   2089
Date:       3/28/2010
Time:       9:25:27 AM
User:       NT AUTHORITY\ANONYMOUS LOGON
Computer:   RedactedName
Description:
This directory partition has not been backed up since at least the following number of days. 

Directory partition: 
DC=MyDomain,DC=com 

'Backup latency interval' (days): 
30 

It is recommended that you take a backup as often as possible to recover from accidental loss of data. However if you haven't taken a backup since at least the 'backup latency interval' number of days, this message will be logged every day until a backup is taken. You can take a backup of any replica that holds this partition. 

By default the 'Backup latency interval' is set to half the 'Tombstone Lifetime Interval'. If you want to change the default 'Backup latency interval', you could do so by adding the following registry key. 

'Backup latency interval' (days) registry key: 
System\CurrentControlSet\Services\NTDS\Parameters\Backup Latency Threshold (days) 


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

在 Windows Server 2003 Web 上运行 IIS 6。

我们有一些泄漏内存的第 3 方组件，因此我们安排了定期作业来重新启动 IIS。这些工作只是简单地调用iisrestart /reset似乎可以完成工作......但它确实会生成一大堆事件日志事件——包括 3 个错误和一个警告。也许我们做错了？

是否有一种“更清洁”的方式来回收 IIS 进程，而不会让 Windows 对我们感到不满？随着我们监控的改进，prod Web 服务器上的错误事件会导致不必要的干扰。

对于那些好奇的人，这就是事件“周期”的样子（为简洁起见，我对描述文本进行了一些删节）。这些都发生在 1 到 2 秒的时间内：

警告- WinRM - ID 10149 - WinRM 服务未侦听 WS-Management 请求

信息 - IISCTLS - ID 6 - IIS 重置在停止服务时遇到错误

信息 - 服务控制管理器 - ID 7035 - SMTP 服务已成功发送停止控制

信息 - 服务控制管理器 - ID 7035 - Windows 远程管理服务成功发送停止控制

信息 - 服务控制管理器 - ID 7036 - Windows 远程管理进入停止状态

错误- 服务控制管理器 - ID 7034 - 万维网发布服务意外终止。它已经这样做了 x 次

错误- 服务控制管理器 - ID 7034 - IIS 管理服务意外终止

错误- 服务控制管理器 - ID 7034 - SMTP 服务意外终止

信息 - IISCTLS -ID 4 - 从用户收到的 IIS 终止命令。

信息 - IISCTLS - ID 2 - 从用户收到的 IIS 停止命令。

信息 - 服务控制管理器 - ID 7035 - IIS Admin Service 服务已成功发送启动控制

信息 - 服务控制管理器 - ID 7035 - 万维网发布服务服务已成功发送启动控制

信息 - 服务控制管理器 - ID 7035 - SMTP 服务已成功发送启动控制

信息 - 服务控制管理器 - ID 7035 - Windows 远程管理服务已成功发送启动控制

我有一个跨越几个站点的域。没什么花哨的，只有一个域。这些站点都通过 VPN 连接，每个站点都有一个 Windows 2003 R2 域控制器。

由于种种原因，其中一个远程站点正在离开我的小域“家庭”。我将很快断开 VPN 并将它们松开以实现自治。我正在考虑在VPN 消失后保持该站点正常运行并独立运行的最佳方法。（我应该提到，在 VPN 被删除后，我将可以物理访问新断开的站点。）

我看到几个选项。

1）什么都不做。好吧，我会在 VPN 删除后更改他们的域管理员密码，然后就不用管了。现在“孤立”的域控制器会遇到问题吗？它当然不会拥有所有 FSMO 角色……但这可以解决吗？

2）降级当前的DC。将其重新预置到一个新域中。从旧域中删除他们的客户端计算机并将它们重新添加到新域中。有一些 SQl 服务器框作为来自旧域的服务帐户运行，我必须修复它们，否则......？

3）对其他更合乎逻辑的想法持开放态度。

你会如何处理这个问题？我的任何一个选项都可行吗？我认为选项 2 最有意义，但也是最努力的。我必须花多少时间来配置这些，所以这个选项确实让我有点紧张。

图在我卷起袖子之前，我会求助于专家。不禁怀疑有更好的方法。

当任务具有 GUI 时，在 Windows 2003 中运行计划任务是否存在问题？我有一个在 Windows 2000 中运行良好，但在 Windows 2003 中无法运行。

细节：

我有一个 .bat 作业，多年来在一台旧的 Windows 2000 服务器上全天每小时运行一次。上周我终于退役了那台服务器，并将工作（以及相关的程序和文件）移到了 Windows 2003 服务器上。

.bat 文件首先调用几个 cmd 行应用程序，但最后一步是基于 GUI 的 .NET 应用程序（它对图像文件执行一些 OCR，然后自行关闭）。

在新服务器上，以计划任务所有者身份登录，我可以从命令行成功运行 .bat 文件。

在新服务器上，再次以计划任务所有者身份登录，我可以右键单击计划程序中的任务并成功运行它。此任务只是运行相同的 .bat 文件。

如果计划任务所有者登录到 2003 服务器并且从远程服务器（用户启动计划任务并连接到此服务器）启动任务，它也会成功运行。

如果计划任务所有者未登录到此服务器，则计划任务在启动 GUI 应用程序的步骤中失败。我们无法收到任何错误消息。从监视该用户帐户的不同会话/用户帐户运行 ProcMon 也没有出现任何问题。

目前，我可怕的解决方法是让计划任务所有者在屏幕锁定的情况下登录控制台。当然，每次重新启动服务器时，这都会变得很痛苦......

计划任务所有者是我们的“域服务帐户”，正在处理所有其他服务器上的所有其他任务。它没有被锁定或类似的东西。

我什至尝试修改任务计划程序以检查“允许服务与桌面框交互”，但这并没有改变任何东西。（是的，我在更改后重新启动了服务。）

想法？

更新（2010 年 1 月 19 日）

我需要澄清一下：我提到的 .NET 应用程序做了很多工作。直到它需要打开一个窗口，应用程序才会挂起。我们可以通过它留下的日志条目看到应用程序的进度，因此我们可以看到它运行良好，最后一个日志条目是“即将启动 OCR”......这就是她挂起的地方。

我们有一个类似于 CRM 应用程序的 Web 应用程序。人们可以登录并与其他人一起管理他们的业务。作为该管理的一部分，我们的应用程序可能会向被管理的人发送电子邮件。这里的问题是我们的客户喜欢这些电子邮件的“发件人”地址是他们自己的。这样，收件人就会从他们认识的人那里收到电子邮件，而不是来自我们自己域中的“不回复”地址。

对于许多邮件服务器，这不是问题，但是有一些会退回这些电子邮件。出于好奇，我收到了一封测试电子邮件并检查了标题。以下是谷歌应用程序添加的内容：

Received-SPF: softfail (google.com: best guess record for domain of transitioning [email protected] does not designate 99.99.184.164 as permitted sender) client-ip=99.99.184.164;
Authentication-Results: mx.google.com; spf=softfail (google.com: best guess record for domain of transitioning [email protected] does not designate 99.99.184.164 as permitted sender) [email protected]

（我用 [email protected] 替换了真正的“发件人”地址）

因此，当电子邮件发送给我时，我当然可以看到为什么其他服务器可能会拒绝它。我们的应用永远不会解析到 clientdomain.com。

我在这里有什么选择？

1）我可以建议将所有“发件人”地址设置为客户的友好名称，但使用我们自己的“无回复”电子邮件地址。然后我可以得到 spf 和所有的连接。

2）我可以建议客户端配置 spf / reverse dns 以匹配我的服务器的 IP（这似乎是一个可怕的选择......）

还有什么。这种事情的最佳实践是什么？

我有两台 CentOS Linux 服务器。一个是开发，另一个是产品。Dev 仅在内部，prod 暴露在端口 80 上。

两者都是同时构建的，并且两者的配置都非常接近，可能在开发过程中存在一些偏差......

他们总是在一天之内通知我更新。然而，这周发生了变化。

上周末，开发箱通知了我 3 个更新。内核、内核头文件和内核开发。我应用了它们。产品盒还需要这些。

昨天，开发箱通知我有178 个更新。我只是手动运行了一个sudo yum updateon prod。仍然不需要。

我应该担心吗？有什么特别需要我检查的吗？我可以根据要求添加 178 个包的列表...

• Prod uname -a

Linux EFhermes 2.6.18-164.el5 #1 SMP Thu Sep 3 03:33:56 EDT 2009 i686 i686 i386 GNU/Linux

• Dev uname -a

Linux EFhermesDev 2.6.18-164.2.1.el5.plus #1 SMP Fri Oct 9 12:34:43 EDT 2009 i686 i686 i386 GNU/Linux

[更新]

发布此消息 3 小时后（收到 dev 更新通知后 24 小时），我刚刚收到 prod 通知，他有 161 个可用更新......仍然没有内核，但还有许多其他“主要”组件。

我们正在运行最新的 WSUS 服务器 3.0 sp-something-or-other。可以说，将管理模板添加到域组策略以让每个人都进入池中。

现在，由于各种原因，我有两台服务器需要从 WSUS 家族中删除。他们需要返回从 Microsoft 获取更新。

我创建了一个新的 OU（“非 WSUS 服务器”）。我创建了一个新的 GPO 作为默认域策略（“非 WSUS”）的副本，并删除了该 wsus 管理模板。

从 WSUS 中删除了 2 台服务器。然而他们不断被添加回来。显然我在这里错过了一步——有什么想法吗？

在写这篇文章时，我注意到我的“非 WSUS 服务器”OU“组策略继承”列出了我的非 WSUS GPO，然后是它下面的默认域策略。这就是让我绊倒的原因吗？

（你能说我不是 GPO 向导吗？;-)）

使用最新版本的 WSUS（Windows 服务器更新服务）是否可以确定给定计算机最近应用的更新是什么？或者，在查看机器的状态报告时应用一些日期过滤——或排序？

好像我已经看到了这个，但我似乎无法偶然发现如何。

我想获得上个月为几台服务器应用的更新列表。

我不得不在我们的网络服务器和数据库之间设置防火墙。我承认我并不完全相信这是值得的努力......但我终于做到了。

不幸的是，我选择的设备（Linksys RVS4000）是一个完整的狗。哦，当然，它的两边都有 1Gb 接口，但我的吞吐量低于 100Mb。我尝试的下一个设备更像是传统的防火墙，并且似乎不想路由私有地址（WatchGuard x55e）。

那么，对于那些在 web 和 db 服务器之间放置防火墙的人来说，你使用什么？

注意：我们不要争论所述防火墙的有用性，在这种情况下，它是客户要求而不是争论......我只是想让一些东西在没有重大性能影响的情况下工作。

如果好奇，这篇博文有更多细节。

[2009 年 10 月 9 日更新] 一旦我将 WatchGuard 刷新到最新的主要版本升级 (11.0.1)，它就会正确处理所有路由。在本周末进行一些测试后，我将了解更多有关性能的信息。

我有十几台较旧的台式机。（躺着？）我们想把它们借给一些非营利组织用于网络浏览。当然便宜。

我们有 XP 批量许可证。

计划是在他们身上放一个干净的 XP 副本，然后收紧权限，以便本地用户帐户可以运行浏览器和打印，但仅此而已。

但是，我将如何保护该批量许可证密钥？有这么多的小实用程序可以查看机器并拔出所有键，我真的不想要我的卷 lic。钥匙在野外松动！

我想我可以考虑在某种信息亭模式下运行机器以防止运行/下载应用程序，但这有点冒险——例如，用户必须能够下载和阅读 PDF，所以我不能完全阻止下载. 一旦我们不得不在这个小项目上花费金钱或时间，它就会被优先推迟......

想法？

最后一点：我可以考虑运行类似 Xubuntu 的东西。不过遇到了一些障碍。这些机器是旧的 Dimension 2400 的，显卡在 X 上有点不稳定——我没有找到正确的驱动程序。此外，预期的最终用户将难以安装打印机等（没有现场 *nix 人才）。

今天早上我在闲逛事件日志时看到了一些新的东西（对我来说）。

Event Type: Information
Event Source:   DNS
Event Category: None
Event ID:   5504
Date:       9/8/2009
Time:       8:38:09 AM
User:       N/A
Computer:   MYSERVER
Description:
The DNS server encountered an invalid domain name in a packet from 72.233.33.107. The packet will be rejected. The event data contains the DNS packet.

我有一些提到 .107 地址，还有一些提到 .109。所有这些都在大约 5 秒的时间内完成。事件数据并不是那么有用（或者是吗？）：

Data:
0000: 97 5b 80 05 00 00 00 00   [.....
0008: 00 00 00 00               ....    

现在我很好奇......我的内部AD 域服务器如何从那些外部地址获取数据包？

据我所知，我在我的 Apache 生产服务器上禁用了所有 mod_proxy 东西。什么是测试或确认的合理方法？看看我的 httpd.conf，我可以告诉你，任何有“代理”的行都被评论了，因为这是值得的。

我问的原因是我今天早上在我的 logwatch 报告中看到了这些东西：

 Connection attempts using mod_proxy:
   81.88.124.30 -> 64.12.202.116:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.15:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.1:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.22:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.29:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.36:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.43:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.50:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.8:443: 1 Time(s)

 Requests with error response codes
   403 Forbidden
      64.12.202.116:443: 1 Time(s)
      64.12.202.15:443: 1 Time(s)
      64.12.202.1:443: 1 Time(s)
      64.12.202.22:443: 1 Time(s)
      64.12.202.29:443: 1 Time(s)
      64.12.202.36:443: 1 Time(s)
      64.12.202.43:443: 1 Time(s)
      64.12.202.50:443: 1 Time(s)
      64.12.202.8:443: 1 Time(s)

不是我的报告中通常出现的东西。所以看起来他在尝试中得到了 403，我想这很好。但是什么让他觉得值得一试？

我们是一家运行 Google Apps（企业版）以满足我们电子邮件需求的小商店。爱它。在内部，我们使用的是 Windows AD (2003)。那里也没有投诉。

我想获得一些在 AD 和 Google Apps 之间进行 SSO 的方法，这样 AD 是我的人必须管理（并定期更改！）密码的唯一地方。

我过去看过谷歌的“tfm”，但我想我只是不太明白。有人这样做吗？如果是这样，你愿意分享如何？可以在没有大量复杂性和费用的情况下完成吗？

曾几何时，我认为我找到了记录所有服务器上所有计划作业的完美方法。我使用 Google 日历并为每个服务器创建了一个日历，然后将所有作业添加为预定事件。工作真的很顺利！（更多细节，如果好奇）。

今天我了解到在 365 的 GCal max 上重复事件，此时您必须重新创建或复制它们。由于我在过去一年中一直在添加新的重复事件，因此它们将在接下来的 11 个月内“随机”老化。我好伤心。

是时候找到一种更好的方法来记录预定的作业了！

你怎么做呢？我正在寻找一种方法，可以很容易地查看为服务器安排了哪些任务和/或在一天中的某个时间安排了哪些任务。

我有几十台服务器要记录，所以旧的“泳道”风格的 visio 图有点太麻烦了。

[编辑] 到目前为止的好建议，但我希望知道，也许我让工作计划文件太难了，而且那里有很多选择......不是这样吗？

[Edit2] 2010 年 2 月 - 我看到我们现在可以重复事件多达 1000 次。这是一个很好的推动。

尝试 RDP 到服务器我得到这个：

错误代码：2308 错误描述：套接字关闭

重新启动后，我在某些Windows 2003 服务器上看到了这种情况。请注意，并非每次重新启动。通常在 Windows 更新之后，但不是每个Windows 更新。再次重新启动通常会清除它。

虽然我可以远程访问有问题的服务器的事件和服务，但似乎没有任何问题。我认为有一项服务可以重新启动以防止再次重新启动，但还没有偶然发现它。是“终端服务”吗？那将是一个遗憾，因为它不允许我从 Services.msc 停止/重新启动它......

我正在寻找关于以下任何一个的想法：

a) 是什么导致了这种情况 - 或 - b) 哪些服务可以远程重新启动以解决问题而无需再次重新启动？

鉴于以下输出，建议先尝试什么？这是在作为小型开发服务器运行的 CentOS 5.3 机器上（通过 yum 从 5.2 升级）。我通常对 *nix 感到满意，但依赖追逐有时让我有点困惑。所以这次我在发疯之前寻求帮助。

今天“yum update”的输出：

Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package perl-Net-SSLeay.i386 0:1.35-1.el5.rf set to be updated
---> Package perl-IO-Socket-SSL.noarch 0:1.26-1.el5.rf set to be updated
---> Package perl-Net-DNS.i386 0:0.65-1.el5.rf set to be updated
---> Package perl-Package-Constants.noarch 0:0.02-1.el5.rf set to be updated
---> Package perl-IO-Compress.noarch 0:2.020-1.el5.rf set to be updated
--> Processing Dependency: perl(Compress::Raw::Bzip2) >= 2.020 for package: perl-IO-Compress
--> Processing Dependency: perl(Compress::Raw::Zlib) >= 2.020 for package: perl-IO-Compress
--> Running transaction check
---> Package perl-Compress-Raw-Bzip2.i386 0:2.015-1.el5.rf set to be updated
---> Package perl-IO-Compress.noarch 0:2.020-1.el5.rf set to be updated
--> Processing Dependency: perl(Compress::Raw::Zlib) >= 2.020 for package: perl-IO-Compress
--> Finished Dependency Resolution
perl-IO-Compress-2.020-1.el5.rf.noarch from rpmforge has depsolving problems
  --> Missing Dependency: perl(Compress::Raw::Zlib) >= 2.020 is needed by package perl-IO-Compress-2.020-1.el5.rf.noarch (rpmforge)
Error: Missing Dependency: perl(Compress::Raw::Zlib) >= 2.020 is needed by package perl-IO-Compress-2.020-1.el5.rf.noarch (rpmforge)

perl(Compress::Raw::Zlib)是包名？！？如果是这样，我会在更新尝试时得到这个：

Package perl-Compress-Raw-Zlib-2.015-1.el5.rf.i386 already installed and latest version

错误的版本，但说是最新的...

以防万一这有帮助：

$ uname -a
Linux EFhermesDev 2.6.18-128.1.16.el5.centos.plus #1 SMP Wed Jul 1 13:06:47 EDT 2009 i686 i686 i386 GNU/Linux

我有两台 CentOS 服务器：dev 和 prod。位于不同的站点，因此，每个站点上的 yum 都倾向于使用不同的镜像。

今天早上，开发机器提醒我有一些更新。我尽职尽责地运行“sudo yum update”来获取它们，注意到内核升级，重新启动并测试。一切都很好。

在生产服务器上做了同样的事情，但它向我保证它不需要任何糟糕的更新。（尚未）显然选择的最快镜像尚未收到更新。

巧合的是，我将在几个小时后对该产品服务器进行硬件维护。因为我倾向于以几个月为单位来衡量他的正常运行时间，所以我真的很想在我关闭它之前获得内核更新只是为了拥有它——而不必在一天内安排另一次重新启动。

我如何告诉 yum 尝试不同的镜像？这是 yum 的功能还是那个“fastestmirror”插件？

35 分钟后更新： 具有讽刺意味的是，prod 服务器刚刚通知我它现在已准备好更新。任何建议将在“下次”出现这种情况时尝试:-)

我有一个由 10 个步骤组成的 SQL Server 代理作业，每个步骤都定义了许多参数。现在我需要另一份几乎完全相同的工作，但有一些不同。由于“复制/粘贴”不是工作的选项，我正在寻找有关基于第一个创建新工作的最佳方法的建议。

编辑：我刚刚注意到我可以右键单击并“将作业编写为”。我想一种选择就是这样做并为我的更改编辑脚本。我仍然很好奇是否还有其他（更好的？）选项。