Nic's questions

我在 AWS RDS 中有一个 Postgres 数据库，当前运行版本 9.6.11，我正在尝试对版本 10.7 进行重大升级。我已经按照升级指南创建了一个新的版本兼容参数组，并且还创建了一个新的版本兼容选项组以防万一。

当我尝试在 AWS 控制台中启动升级时，我收到此错误消息。

但是，RDS 控制台中没有明显的位置允许我指定新的选项组。我错过了什么？是否需要执行其他操作才能通过控制台进行升级，或者我是否需要使用 CLI 或 REST API 来完成此操作？

AAAA我们的 Windows 服务器正在向我们的 Windows DNS 服务器注册 IPv6记录。但是，我们的网络上没有启用 IPv6 路由，因此这经常会导致停顿行为。

Microsoft RDP 是最严重的违规者。当连接到在 DNS 中有AAAA记录的服务器时，远程桌面客户端将首先尝试 IPv6，并且在连接超时之前不会回退到 IPv4。高级用户可以通过直接连接到 IP 地址来解决此问题。ping -4 hostname.foo使用总是立即解析 IPv4 地址。

我能做些什么来避免这种延迟？

• 在客户端上禁用 IPv6？
  • 不，微软表示IPv6 是 Windows 操作系统的必需部分。
  • 太多的客户无法确保在任何地方都始终如一地设置。
  • 当我们最终实现 IPv6 时，会引起更多的问题。
• 在服务器上禁用 IPv6？
  • 不，微软表示IPv6 是 Windows 操作系统的必需部分。
  • 需要一个不方便的注册表黑客来禁用整个 IPv6 堆栈。
  • 确保在所有服务器上都正确设置是不方便的。
  • 当我们最终实现 IPv6 时，会引起更多的问题。
• 屏蔽用户 facnig DNS 递归器上的 IPv6 记录？
  • 不，我们使用的是 NLNet Unbound，它不支持。
• 阻止在 Microsoft DNS 服务器上注册 IPv6 AAAA 记录？
  • 我认为这甚至是不可能的。

此时，我正在考虑编写一个脚本，从我们的 DNS 区域中清除所有 AAAA 记录。请帮助我找到更好的方法。

更新： DNS 解析不是问题。正如@joeqwerty 在他的回答中指出的那样，DNS 记录会立即返回。A和记录都AAAA立即可用。问题是某些客户端 ( mstsc.exe) 会优先尝试通过 IPv6 进行连接，并且需要一段时间才能回退到 IPv4。

这似乎是一个路由问题。由于目标地址不可路由，该ping命令会生成“一般故障”错误消息。

C:\Windows\system32>ping myhost.mydomain
Pinging myhost.mydomain [2002:1234:1234::1234:1234] with 32 bytes of data:
General failure.
General failure.
General failure.
General failure.
Ping statistics for 2002:1234:1234::1234:1234:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

我无法捕获此行为的数据包。运行此（失败的）ping 命令不会在 Microsoft 网络监视器中生成任何数据包。同样，尝试mstsc.exe与具有AAAA记录的主机建立连接不会产生流量，直到它回退到 IPv4。

更新：我们的主机都使用可公开路由的 IPv4 地址。我认为这个问题可能归结为损坏的 6to4 配置。6to4 在具有公共 IP 地址和 RFC1918 地址的主机上表现不同。

更新：我的网络上的 6to4 肯定有问题。当我在 Windows 客户端上禁用 6to4 时，连接会立即解决。

netsh int ipv6 6to4 set state disabled

但正如@joeqwerty 所说，这只会掩盖问题。我仍在试图找出为什么我们网络上的 IPv6 通信完全不起作用。

如何让 Mailman 重新处理队列目录中的邮件？或者，如何将队列目录中的所有消息传输到相关列表的审核保留队列中？

我的问题是我的in队列目录中充满了以前通过审核但由于我qrunner没有工作而从未送达的消息。我知道我可以启动 qrunner 并且这些消息会被传递，但我希望列表管理员再看一下，因为有些消息相当旧，现在发送它们没有意义。

我读到了一个名为 Mailman 的命令，unshunt但我认为它并不能完全满足我的需要。

我运行了一个中型 Mailman 系统，该系统最近出现了一个问题，即任何通过审核的邮件都会消失，而不是被传递到邮件列表。这影响了我们的每一个邮件列表。

在单独的网络服务器上执行审核失败

Mailman 环境分为前端和后端两台服务器。后端服务器处理 Postfix 和 Mailman qrunners，而前端服务器托管 Apache 和 Mailman CGI 脚本以调节列表。两台服务器在它们之间共享一个 NFS 挂载，其中包括所有共享的 Mailman 数据。

所有正常的邮件流都正常工作，但是当列表版主登录到 Web 前端并批准邮件时，它会消失得无影无踪。

1. Postfix smtpd 通过 SMTP 接收传入的消息，然后
2. Postfix smtpd 将消息传递到/usr/lib/mailman/mail/mailman.
3. Mailman 将消息写入vette日志文件（后端服务器）标记为等待批准。
4. 列表版主使用 CGI Web 界面将消息标记为已批准。
5. Mailman 向日志文件（在前端服务器上）写入一个条目，vette表示已批准保留消息。

此时，与保留的消息相关的 .pck 文件消失了，但没有传递任何内容，也没有创建进一步的日志条目。

审核通过主 Mailman 服务器上的 Web 界面成功

虽然我们通常不会在后端服务器上运行 Mailman Web 界面（以减少攻击面），但我将它运行用于测试目的。当我们在后端服务器上使用 Mailman Web 界面时，消息会正常传递，我们会看到这些日志条目。

1. smtp使用收件人数量和完成时间更新日志文件
2. post使用列表名称、消息 ID 和“成功”更新日志文件。

背景

将 Mailman 环境迁移到新服务器后，问题就开始了。它不是自己出现的，很可能是我们尚未发现的一些配置错误的结果。我们正在使用：

• 两台服务器上的 Scientific Linux 6.3
• 两台服务器上的 Python 2.6.6
• 从两台服务器上的操作系统包安装的 Mailman 2.1.12
• selinux 在后端服务器上处于 Permissive 模式
• selinux 在前端（Web）服务器上处于强制模式，但没有记录任何日志条目type=AVC。此外，使用setenforce 0并不能解决问题。

我在 Mailman users list 上找到了一篇相关的帖子，但没有提供解决方案。

使用 Exchange Server 2007 或更新版本时，禁用邮箱是一个相当常见的操作。但是，Technet 文档没有关于禁用邮箱的副作用的详细信息。这就是它所说的全部。

“此任务从 Active Directory 中的用户对象中删除所有 Exchange 属性。根据已删除项目的保留策略，Exchange 存储将保留用户对象的邮箱数据。”

来源：http ://technet.microsoft.com/en-us/library/bb123730(v=exchg.141).aspx

但这就是全部吗？现实世界中的交换邮箱往往是高度互连的。也许老板已将日历控制委托给秘书。也许一组工作人员都共享对公共文件夹的访问权限。也许高级用户已被授予在多个不同地址接收电子邮件的能力。我想到了两个明确的问题。

• 邮箱断开连接后，邮箱之间的链接会发生什么情况？
• 手术可以Disable-Mailbox轻松撤消吗？

我需要收集和存储我们 Exchange 系统的每个邮箱中每个文件夹的文件夹权限。我已经知道 Cmdlet Get-MailboxFolderPermission，但它有一个严重的问题。

返回的对象Get-MailboxFolderPermission是 (User, AccessRights, FolderName) 的元组。但是，“用户”身份不是一个对象，它只是一个表示用户显示名称的简单字符串。（编辑：这是不正确的。有关详细信息，请参见答案。）。

但是，显示名称在 Exchange 部署中不一定是唯一的。在我们的森林中，有十几个具有相同显示名称的邮箱。因此，结果Get-MailboxFolderPermission是不明确的，不能唯一标识单个用户或邮箱。

如何以明确的方式获得邮箱文件夹的权限？我希望以后能够使用 重新分配它们Add-MailboxFolderPermission，最好是使用 UPN。

我在同一个子网上有两台服务器，一台 CUPS 服务器和一台需要访问 CUPS 服务器上配置的打印机。CUPS 浏览似乎部分工作，但根据客户端上的 lpstat，设备///dev/null而不是ipp设备。

[username@clienthost ~]$ lpstat -t
scheduler is running
no system default destination
device for boardroom: ipp://oldprintserver.my.network:631/printers/boardroom
device for br: ipp://oldprintserver.my.network:631/printers/br
device for its: ///dev/null      <------ THIS IS BAD?

• 打印服务器正在运行带有 CUPS 1.4.2 的 Scientific Linux 6.4
• 打印客户端运行 CentOS 5.8 和 CUPS 1.3.7

服务器配置 - cupsd.conf

Browsing On
BrowseRemoteProtocols
BrowseAddress @LOCAL
BrowseLocalProtocols CUPS dnssd

客户端配置 - cupsd.conf

Browsing On
BrowseOrder allow,deny
BrowseAllow @LOCAL
BrowsePoll therealprintservername.my.network
BrowseInterval 30

使用tcpdump 分析主机之间的数据包，很明显客户端正在通过IPP 轮询服务器。服务器响应 200 OK。此外，客户端似乎只看到打印服务器公布的类，而不是打印机自己排队。

所以这就是我真正想知道的。

• CUPS 浏览器在同一 LAN 上工作所需的最低配置是什么？
• 不同版本的 CUPS 之间是否可以进行打印机浏览？
• 还有哪些其他故障排除工具可用于解决打印机浏览问题？

[编辑：即使 lpstat -t 说设备是 ///dev/null，我仍然可以将打印作业发送到设备。所以它看起来像基本的打印工作，但我仍然想知道为什么它在客户端上显示为 ///dev/null。]

我最近第一次遇到耗尽的熵池，我很失望地得知没有一个通常的系统日志有助于发现问题。

在新的 CentOS 6 虚拟机上安装 CUPS 后，我尝试通过 HTTPS 连接到管理页面。该请求似乎无限期挂起。后来我了解到 CUPS 试图即时生成一个新的自签名 SSL 证书，并且在尝试从 /dev/random 读取时被阻止。在 Internet 上的进一步阅读表明，这是虚拟机的一个常见问题，因为它们缺少通常的熵源。

虽然在我的特定情况下很容易变通，但我现在担心类似的耗尽事件可能会发生在我的 ESXi 集群中的其他虚拟机上。但是由于这个事件没有写入任何常用的日志文件，我真的无法知道这个问题有多普遍。

有什么方法可以轻松监控大型集群中所有虚拟机的熵可用性吗？特别是，我想知道熵耗尽是否是我们在某些机器上看到的一些间歇性性能问题的促成因素。

假设域中至少存在两个域控制器，那么在域控制器崩溃后需要采取哪些步骤来使 Active Directory 正常运行？

我们的分支机构有两台扫描仪，它们通过 FTP 将图像上传到总部。上周，两台扫描仪都开始提供大量损坏的图像。

我怀疑问题可能出在 WAN 链接上，并且 TCP 可能没有检测/纠正所有错误。是否有任何适用于 Windows 的软件允许我通过发送带有嵌入式 CRC 的数据包来测试连接的完整性？

场景：

• DC 运行 Windows Server 2008 R2，提供 DNS + DHCP
• Cisco 1811 路由器作为网关
• LAN 上 30 个 Windows XP DHCP 客户端

问题：

• 一些工作站自发地切换到不正确的 DNS 服务器。具体来说，ipconfig /all表明他们开始使用网关作为 DNS 服务器。
• 不同的计算机每天大约会发生 5-10 次这种情况，有时每天不止一次。

解决方法：

• 在 XP 客户端上修复连接总能解决问题，并获得正确的 DNS 服务器地址。

一周前我们失去了主要的 DNS/DHCP 机器，不得不将这台机器作为备用。从那时起，我们一直有这个问题。旧服务器和新服务器上的 DHCP 租约配置为“有线”（8 天）持续时间。LAN 上肯定没有其他活动的 DHCP 服务器。到目前为止，对于哪些客户端会显示此问题或何时显示此问题尚无明确的模式。

当我跑DCDIAG /test:DNS的时候它回来干净了。手动检查 DNS 区域显示所有记录都按预期显示，其中没有以前机器的痕迹。

2 月 27 日更新：添加了屏幕截图。

这是 2008 R2 服务器上的 DHCP 范围选项的屏幕截图。 http://nicwaller.com/screens/dhcpscope.png

这是ipconfig /all在健康主机上运行的屏幕截图。我目前没有任何生病的主机，但下次它发生时会抓住屏幕截图。 http://nicwaller.com/screens/ipconfigall.png

2 月 28 日更新：更多截图。

这是修复本地连接时来自健康客户端的 DHCP 和 DNS 流量的屏幕截图。肯定只有一台服务器响应，但协商发生两次似乎很奇怪。下周我将尝试从一台生病的机器上获得类似的捕获。 http://nicwaller.com/screens/dhcprenew_screen.png

3 月 1 日更新：捕获了错误的 ipconfig。

ipconfig /all这是来自遇到此问题的客户的屏幕截图。它说租约是今天早上发出的，但它甚至没有我昨天设置的辅助 DNS 的条目。修复连接时，两台 DNS 服务器均已正确发现。 http://nicwaller.com/screens/bad_dns.png

3 月 1 日更新：它甚至获得了系统管理员！

这个问题终于在今天早上影响了我的个人工作站。不幸的是，我刚刚重新启动并且当时没有运行数据包转储。我昨天设置了一个辅助服务器，并记录了所有的 DNS 流量。我的机器在半个多小时内没有联系辅助 DNS，所以这对我来说，它只是自发地恢复到网关，甚至没有先故障转移到辅助 DNS。

今天我在 DHCP 中交换了 DNS 服务器的顺序，所以从属为主，反之亦然。一旦我知道情况如何，我会再次更新。

考虑一个使用双端口 NIC 运行 Windows Server 2008 R2 的域控制器。安装 Hyper-V 角色会不会遇到问题？以下是我的主要担忧：

• 因为 Hyper-V 是一个管理程序，父 OS 也是一个虚拟机，它恰好在一个特殊的分区中。与虚拟机相关的计时问题是否适用于这种情况？
• 一个 GigE 端口专用于 Hyper-V，另一个将用于父分区。我听说过所有关于 DC 上 Hyper-V 的 DHCP 怪异现象。只要经过精心配置，是否可以避免这种情况？

几周后，我们将获得一台新服务器用作 DC，而且只需增加 RAM 的成本，它就可以作为一个不错的虚拟化平台。

（编辑：这不会是域的唯一 DC，但我会将所有 FSMO 角色转移到它上面，使我们现有的 DC 仅作为辅助。）

我们的 Windows Server 2003 打印服务器崩溃了，所以我们设置了一个新的。所有打印机都配置为在目录 (Active Directory) 中列出。但是现在每台打印机都出现了两次，因为旧服务器的陈旧记录仍然存在。如何删除过时的记录？

在具有单个主 DNS 区域和集成 DHCP 的 Active Directory 域中，每个 DHCP 客户端将在其租约续订时向持有主 DNS 区域的服务器注册。

如果有很多客户端，或者如果 WAN 链接很慢，这不会引起问题吗？在不同的位置创建一个新的主 DNS 区域会不会是个好主意？或者，反对创建新 DNS 区域的原因是什么？

当 Active Directory 域控制器成为域中的孤儿时，是否可以将其配置为继续作为健康的 DC 运行，而无需经历强制降级、然后重新加入和提升它的过程？

考虑以下会导致孤立 DC 的场景：

1. 域中存在两个域控制器 DC1 和 DC2。
2. DC2 暂时关闭。
3. 添加了一个新的 DC，DC3。
4. DC1 永久关闭。
5. DC2 重新联机。

在这一点上，DC02 已经失去了进入域的唯一联系点。DNS 区域肯定会过期，没有 DC03 的条目。复制也将失败，因为它只知道来自 DC01 的复制链接不再存在。假设 DC1 持有 FSMO 角色，它也会对当前持有 FSMO 角色的服务器有不正确的引用。

那么，是否可以手动重新构建链接，以便 DC02 无需从头开始即可开始与 DC03 通信？

我的任务是将 SBS 2003 域转换为 Windows Server 2008 R2 Standard。客户计划扩展 SBS 的限制，根本不使用 Exchange Server。这是当前的设置：

城市 A：这是客户最初的第一个位置。这里有一台服务器运行 SBS 2003。它执行域控制器和文件服务器角色，并具有所有 FSMO 角色，因为它是 SBS。

城市 B：客户端在此位置建立了一个分支，其中有一台运行 Windows Server 2008 的服务器。它还充当域控制器和文件服务器。

客户想离开 Small Business Server，因此他们决定将 A 市的服务器升级到 Server 2008 R2 Standard。它将继续提供目前提供的相同服务。他们选择不购买新的服务器硬件，因此必须“就地”升级。

我正在寻求有关以下升级计划的反馈：

1. 使用 ntbackup 从 SBS 服务器备份文件和系统状态
2. 关闭 SBS 服务器并使用 Ghost 或 Acronis 对 RAID5 阵列进行映像
3. 重新启动 SBS 服务器
4. 关闭B市2008服务器
5. 在 A 市临时用 Server 2008 R2 设置桌面并运行 DCPROMO
6. 关闭 SBS 服务器
7. 使用临时服务器抢占 FSMO 角色
8. 在原始 SBS 盒子上重新格式化并安装 Server 2008 R2
9. 在新的 2008 R2 机器上运行 DCPROMO 并将 FSMO 角色转移给它
10. 安装服务并将文件传输到新的 2008 R2 服务器
11. 验证域是否为客户端工作，然后将城市 B 的服务器重新联机

我的退出程序：

1. 关闭A市的服务器
2. 使用 Ghosted 映像恢复 A 市的 SBS 服务器
3. 验证连接，然后在 B 市重新启动服务器

在不久的将来，我的公司将开始为一些商业客户托管终端服务系统。终端服务服务器将是两个大型 VM 主机之一上的 VM。

为了提供安全访问，我们将在我们的网络和客户之间建立一个站点到站点的 VPN。但是，客户端应该只能访问他们的虚拟机，而不是我们局域网上的机器。

到目前为止，我的最佳想法是为每个客户设置一个物理交换机。我们的 VPN 路由器会将每个客户的流量放到不同的端口上，然后该端口将连接到他们的交换机。该交换机将连接到每个 VM 主机上的物理 NIC。每个虚拟机都将与使用该 VM 的客户关联的物理 NIC 进行桥接。

尽管我认为这可行，但它似乎过于复杂且难以扩展。有人可以提出更好的解决方案吗？

我之前问过一个类似（但不同）的问题，可以在这里找到： 是否可以链接离散的 VPN 网络？

我们公司与一家较小的公司合作，该公司希望将部分 IT 基础设施外包给我们。具体来说，他们希望使用与我们相同的文档管理软件，并且希望我们为他们托管。他们将使用终端服务来访问它。

澄清：
目前，每家公司都有一个 Cisco VPN 网络。我们将使用专用服务器来完成任务，而不是共享我们已经拥有的东西。从这个意义上说，它基本上是协同定位。有没有办法让他们访问这些服务器而不造成相互的安全风险？

将他们的服务器包含在我们每晚到磁带的备份中会很好，但我不反对为他们安装一个新的磁带驱动器，如果它使网络配置更容易的话。

对于支持大约 50 个用户的小型 Exchange 服务器部署，您会推荐哪种存储配置？3 年内可能不会超过 75 个用户。大多数将是“中等”用户，少数是“重度”用户和黑莓客户端。

到目前为止，我所阅读的所有内容都建议将 Exchange 数据库和事务日志保存在单独的物理驱动器上，并将两者都放在系统驱动器之外。它还说将事务日志放在快速的东西上，比如 Raid 1+0 阵列。考虑到所有数据都需要保护，看起来这将是一个最佳设置：

系统驱动器 - RAID 1 Exchange 数据库中的 2 个小驱动器 - RAID 1 中的 2 个大驱动器 事务日志 - RAID 1+0 中的 4 个快速驱动器

但是，为小型 Exchange 服务器使用 8 个驱动器似乎是令人难以置信的矫枉过正。在哪里可以安全地削减？

我的运行 Windows Server 2008 的文件服务器有两个逻辑驱动器；C: 盘包含所有系统和应用程序数据，D: 盘包含所有业务数据。D: 驱动器的顶层有几个共享工作正常。然而...

通过远程桌面交互登录到文件服务器时，只有域管理员和本地管理员帐户可以浏览 D: 驱动器。我设置了一个名为“维护”的帐户并将其添加到本地管理员组，但是当使用此用户登录时，我无法浏览 D: 驱动器。D: 驱动器具有以下权限 ACL：

Full Access - SYSTEM
Full Access - MACHINE\Administrators

它甚至不允许我查看 E: 驱动器的 ACL。所以我尝试获取 E: 驱动器的所有权，然后我可以读取 ACL，并且“有效权限”表示我具有完全访问权限。但我仍然收到此错误消息。

Location is not available
D:\ is not accessible.
Access is denied.