Michael Cornn's questions

我在实验室中测试水平分割（又称脑裂）DNS 策略。在 DC/DNS 服务器上设置的策略不会复制到其他 DC/DNS 服务器。

有可能让它们复制吗？

实验室有子网 192.168.72.0 和 192.168.73.0，以及两台运行 DNS 的 DC。两台 DC 的 IP 地址分别为 192.168.72.100 和 192.168.73.100。

我在 host1 的 DNS 中创建了一条 A 记录（10.0.0.2）

我按照本教程从 Microsoft DC（IP 为 192.168.72.100）进行操作。具体命令粘贴如下：

Add-DnsServerZoneScope -ZoneName "deez.datz" -Name Scope73"
Add-DnsServerResourceRecord -ZoneName "deez.datz" -A -Name "host1" -IPv4Address "10.0.0.100" -ZoneScope "Scope73"
Add-DNsServerQueryResolutionPolicy -Name "Policy73" -Action ALLOW -ClientSubnet "eq,TGH-North" -ZoneScope "Scope73,1" -ZoneName "deez.datz"

从 192.168.73.0 子网中的系统执行 Nslookup：

nslookup host1 192.168.72.100
Name: host1.deez.datz
Address: 10.0.0.100
nslookup host1 192.168.73.100
Name: host1.deez.datz
Address: 10.0.0.2

DNS 策略在运行命令的第一个 DC 上正常运行。该策略在第二个 DC 上未生效。该策略未复制。

我知道这是 Microsoft DNS 策略的默认行为。

是否可以强制 DNS 策略复制（并避免在每个 DC 上运行命令）？

我们正在构建一个新的服务器堆栈。我们的第一个 Windows 2019 虚拟机同步到它所在的 ESX 7 主机，而不是我们路由器上的 NTP 服务。

“w32tm /query /configuration”的结果如下。请注意设置“​​NtpClient”已启用“1”。并且“VMICTimeProvider”已启用“0”。

尽管如此，命令“w32tm /query /source”返回“本地 CMOS 时钟”

我已经运行“w32tm /config /manualpeerlist:”10.233.0.1”/syncfromflags:manual /reliable:yes /update”，然后重新启动 Windows 时间服务。但它没有任何效果。

为了测试这一点，我手动将 ESX 主机上的时间设置为比 NTP 服务器晚 20 分钟（并关闭 ESX 主机上的 NTP 服务）。然后我手动将 VM 时间设置为午夜。

命令“w32tm /resync”失败。但是在重新启动 VM 后，时间从午夜更改为 ESX 主机的时间。它没有重置为 NTP 服务器上的时间。

我们可以ping通NTP服务器。其他主机正在同步到 NTP 服务器。我不知道为什么这个虚拟机拒绝与它同步。根据下面的配置，你能给我一些想法吗？

[配置]

EventLogFlags: 2 (Local) AnnounceFlags: 5 (Local) TimeJumpAuditOffset: 28800 (Local) MinPollInterval: 6 (Local) MaxPollInterval: 10 (Local) MaxNegPhaseCorrection: 172800 (Local) MaxPosPhaseCorrection: 172800 (Local) MaxAllowedPhaseOffset: 300 (Local)

FrequencyCorrectRate: 4 (Local) PollAdjustFactor: 5 (Local) LargePhaseOffset: 50000000 (Local) SpikeWatchPeriod: 900 (Local) LocalClockDispersion: 10 (Local) HoldPeriod: 5 (Local) PhaseCorrectRate: 7 (Local) UpdateInterval: 100 (Local)

[时间提供者]

NtpClient (Local) DllName: C:\windows\SYSTEM32\w32time.DLL (Local) 启用: 1 (Local) InputProvider: 1 (Local) AllowNonstandardModeCombinations: 1 (Local) ResolvePeerBackoffMinutes: 15 (Policy) ResolvePeerBackoffMaxTimes: 7 (Policy) CompatibilityFlags ：2147483648（本地）EventLogFlags：0（策略）LargeSampleSkew：3（本地）SpecialPollInterval：1024（策略）类型：NTP（策略）NtpServer：10.233.0.1（策略）

NtpServer (Local) DllName: C:\windows\SYSTEM32\w32time.DLL (Local) 启用: 1 (Local) InputProvider: 0 (Local) AllowNonstandardModeCombinations: 1 (Local)

VMICTimeProvider (Local) DllName: C:\windows\System32\vmictimeprovider.dll (Local) Enabled: 0 (Local) InputProvider: 1 (Local)

我们使用 vCenter 6 运行 VMWare 数据中心。我们最近在测试环境中的 3 主机集群上启用了高可用性。

如果一个集群出现故障，另外两个集群就没有资源来处理所有故障转移的虚拟机。其中一些将保持关闭状态。是否可以优先考虑哪些虚拟机首先进行故障转移？

例如，假设主机拥有一个 Windows 域控制器、一个 Git 存储库和一个 Windows 部署服务器。如果该主机出现故障，我们肯定希望 DC 和 Git 立即联机。如果部署服务器处于离线状态，我们并不担心。

在那种情况下，我们如何确保 DC 和 repo 获得比部署服务器更高的优先级？

我们混合使用 Windows 7 物理桌面和虚拟机（托管在 ESX 上）。我们对两者使用相同的图像和 AD 域。

在虚拟机上，当我们创建一个新卷时，无论是在现有磁盘还是新磁盘上，它都显示为只读。只读标志未在 diskpart 中设置，清除这些标志也不会使磁盘可读。这个问题不会影响我们的物理桌面。

以下是您可以在 Win7 系统上复制的步骤：

1. 应用 Windows 7 映像。不要加入域。以本地管理员身份登录。
2. 打开计算机管理并浏览到磁盘管理。
3. 如果磁盘 0 已满，请右键单击 C 卷并将其缩小以获取一些可用空间。或者只是在 vCenter 中添加一个硬盘驱动器。
4. 右键单击未分配的空间并创建一个新的简单卷。在向导中，给它一个驱动器号并将其格式化为 NTFS。
5. 打开磁盘部分。在 Diskpart 中，输入“选择磁盘 0”和“选择卷 y”，其中 y 是新卷的卷号。
6. 输入命令“attr disk clear readonly”和“attr volume clear readonly”
7. 输入“详细磁盘”和“详细卷”以验证只读标志是否设置为否。
8. 关闭 DiskPart 并打开 Windows 资源管理器。右键单击新驱动器并显示属性。
9. 验证权限是否已设置，以便管理员组具有完全控制权。
10. 右键单击 Windows 资源管理器中的空白区域，注意“新建”不在上下文菜单中。
11. 将文件拖到驱动器并收到媒体被写保护的错误消息。
12. 返回属性并尝试更改权限。再次出现“媒体被写保护”错误。
13. 重复步骤 5 - 10，直到你发疯。

如果我们将相同的 Win7 映像应用到物理桌面，则新卷可以正常读写。如果我们在同一数据中心/集群/数据存储上的 Server 2012 虚拟机上执行这些步骤，则新卷将正常读写。如果我们将此 Win7 映像应用到 VM，尽管 diskpart 将它们列为可读写，但这些卷是只读的。

在 VMWare View 6 中，是否可以在管理控制台之外配置管理员和/或身份验证？

在我的站点，我们有常规用户帐户和管理用户帐户。两个帐户都可以通过用户名/密码或智能卡登录。

我设置了一个测试 View Connection Server 并将我的管理员帐户设置为管理员。

我以我的用户帐户登录时在浏览器中访问了管理控制台。然后我输入了我的管理员帐户的用户名/密码。一切进展顺利。

我将管理员身份验证更改为需要智能卡访问权限并注销。愚蠢的是，我忘记了我们的安全团队阻止管理员帐户访问网络浏览器。

现在基于 Web 的控制台需要我的管理员智能卡才能登录，但我的管理员智能卡无法访问 Web 浏览器。我的安全团队不会临时例外让我进入。

我可以使用我的管理员帐户登录服务器。但似乎管理员和身份验证方法只能在基于 Web 的管理控制台中设置。如果我可以将我的常规用户帐户添加为管理员，或者更改智能卡身份验证要求，我可以进入并解决问题。

有谁知道如何在基于 Web 的管理控制台之外做到这一点？

我过去曾管理过戴尔的 EMC 和 Equallogic SAN。我最近负责惠普 P2000 SAN。HP 和 EMC 使用的术语略有不同。我想确认我了解 HP 的术语。你能验证/更正下面的一些定义吗？

虚拟磁盘。一组物理磁盘组成一个 RAID 阵列。EMC 将这些称为“存储池”。虚拟磁盘和存储池与“RAID 组”并不完全相同，但它们的用途相同。

体积。虚拟磁盘的逻辑分区，作为单个卷呈现给主机。EMC 将这些称为“LUN”，而 LUN 是恰当的术语。

存储组。与“存储池”不同的是，EMC SAN 可以定义“存储组”，它可以将多个 LUN 组合成一个提供给主机的卷。我在 HP SAN 上找不到与此等效的东西。

全球备件。未分配给任何虚拟磁盘的物理硬盘驱动器。如果虚拟磁盘中的硬盘驱动器发生故障，SAN 会自动使用可用的备用驱​​动器来更换驱动器并使虚拟磁盘具有容错能力。EMC 将这些称为“热备件”。对于这两家供应商，无需将备件分配给特定的 RAID 组或虚拟磁盘。SAN 会将它们用于任何故障硬盘。

关于 Equallogic SAN：Equallogic 阵列从阵列中的所有可用磁盘创建一个 RAID 组和一个 LUN。管理员只能选择：RAID 组中的 RAID 类型，以及提供给主机的存储组的数量和大小。

我认为我的这些条款是正确的，但我想与使用过这两家供应商的 SAN 的人核实一下。我特别担心我找不到惠普的存储组。当然，HP 有一种方法可以将多个 LUN 组合到一个逻辑卷中。我在某个地方错过了那个设置吗？

我们有一个连接到 ESX 服务器集群的 iSCSI SAN 单元。服务器全部由 vCenter 实例管理。vCenter 实例管理十几个 Windows Server 虚拟机。

大多数虚拟机都有不止一个卷。这些卷出现在 vCenter 的 VM 设置中。Windows 中的驱动器 C 在 vCenter 中显示为硬盘 1。驱动器 D 显示为硬盘 2，依此类推。换句话说，SAN 与服务器混淆了。

但是，一台服务器的配置不同。它的 C 驱动器由 vCenter 处理，但它的第二个卷通过 Windows iSCSI Initiator 直接连接到 SAN。当我问服务器管理员他为什么这样配置它时，他问，“你为什么要一个中间人来处理你的卷？” 我试图解释 vCenter 的 HA 和 Snapshot 功能不会涵盖第二卷，但他仍然不相信。

我仍然不相信。尽管似乎所有 VM 的卷都应该由 vCenter 处理，但我可能是错的。您是否以类似的方式配置了您的虚拟机？引导磁盘由 vCenter 提供给 VM，但所有其他卷都直接连接到 SAN？