Canadian Luke's questions

我正在尝试让组策略为用户 OU 运行登录脚本。该脚本运行，但它创建要运行的 Shell 对象的部分在登录期间不会加载。如果我双击脚本，它会按预期工作 - 问题出在登录期间。

以下是脚本的内容（已清理）：

Dim Response,URL,WshShell,
URL = "https://forms.office.com/Pages/ResponsePage.aspx?id=REDACTED"
Response = MsgBox("Have you completed your Daily Health Check survey today?", vbYesNo + vbQuestion + 4096,"Company Name Here")s
if Response = vbNo Then
    Set WshShell = CreateObject("WScript.shell")
    WshShell.run "CMD /C start """" /MAX /B ""C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"" " & URL, 0, False
End if

我正在尝试使用 Nagios NRPE 插件与我的服务器进行通信。我有一个命令定义/etc/nagios/nrpe_local.cfg来使用它：

command[check_service]=/usr/lib/nagios/plugins/check_service -s $ARG1$

当我在终端中手动运行命令时，它会成功：

# /usr/lib/nagios/plugins/check_service -s bind9
OK: Service bind9 is running!

当我尝试从我的 Nagios 服务器运行它时，它抱怨命令未定义：

# /usr/lib/nagios/plugins/check_nrpe -H 10.32.10.3 -c check_service -a bind9
NRPE: Command 'check_service!bind9' not defined

其他check_nrpe命令有效，所以我认为服务器的 没有问题commands.cfg，但无论如何这里是定义：

define command {
    command_name        check_nrpe
    command_line        /usr/lib/nagios/plugins/check_nrpe -H $HOSTADDRESS$ -t 30 -c $ARG1$
}

检查在服务器上看起来像这样：

define service {
    use                 local-service
    host_name           dc1,dc2
    service_description BIND Service
    check_command       check_nrpe!check_service!bind9
}

在 Web 界面上，它返回CRITICAL：服务未运行！，实际上并非如此。

我怎样才能check_nrpe允许一个额外的论点？我试过 enable dont_blame_nrpe，但这也不允许它去。

编辑- 打开调试并重新运行检查，我在系统日志中得到以下信息：

Dec 19 09:01:56 dc1 nrpe[5586]: CONN_CHECK_PEER: checking if host is allowed: 10.32.10.12 port 33962
Dec 19 09:01:56 dc1 nrpe[5586]: Connection from 10.32.10.12 port 33962
Dec 19 09:01:56 dc1 nrpe[5586]: is_an_allowed_host (AF_INET): is host >10.32.10.12< an allowed host >10.32.10.12<
Dec 19 09:01:56 dc1 nrpe[5586]: is_an_allowed_host (AF_INET): is host >10.32.10.12< an allowed host >10.32.10.12<
Dec 19 09:01:56 dc1 nrpe[5586]: is_an_allowed_host (AF_INET): host is in allowed host list!
Dec 19 09:01:56 dc1 nrpe[5586]: Host address is in allowed_hosts
Dec 19 09:01:56 dc1 nrpe[5586]: Host 10.32.10.12 is asking for command 'check_service' to be run...
Dec 19 09:01:56 dc1 nrpe[5586]: Running command: /usr/lib/nagios/plugins/check_service -s
Dec 19 09:01:56 dc1 nrpe[5587]: WARNING: my_system() seteuid(0): Operation not permitted
Dec 19 09:01:56 dc1 nrpe[5586]: Command completed with return code 2 and output: CRITICAL: Service  is not running!
Dec 19 09:01:56 dc1 nrpe[5586]: Return Code: 2, Output: CRITICAL: Service  is not running!
Dec 19 09:01:56 dc1 nrpe[5586]: Connection from 10.32.10.12 closed.

我已经验证了 Group in/etc/systemd/system/multi-user.target.wants/nagios-nrpe-server.service匹配 in 中的nrpe_group参数/etc/nagios/nrpe.cfg。/etc/group和中存在同一个用户/etc/passwd。

我正在以一种或另一种方式寻找信息。用户是否应该在权限方面完全控制他们的主文件夹？我们的环境是基于 Samba AD 的，带有 Samba 文件服务器。用户主文件夹位于 中\\example\Users\%USERNAME%，目前允许 CREATOR OWNER 拥有完全控制权。

一些技术人员认为这太过分了——这将使用户能够将其文件夹的控制权交给另一个用户。我认为这没有问题，因为这是他们的文件，他们有责任。

当前的提议是将所有权更改为域管理员，并将每个用户添加到他们自己的具有读写权限的文件夹中（显然，使用脚本完成）。

哪种方式更好？Samba、Microsoft 或任何其他权威机构对此事是否有任何规范的建议？

我在 Debian Stretch 上运行 ISC-DCHP-Server 和 BIND9。我正在尝试为我的客户端计算机设置动态 DNS，但我正在努力处理反向区域。

目前，当计算机通过 DHCP 请求地址时，会在正向查找区域中正确创建一个条目。然后，它尝试添加反向区域条目 - 它确实如此，但非常不正确。例如，234.1.168.192.168.192.in-addr.arpa。

在我的 BIND 配置中，我有以下内容：

zone "168.192.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/zones/168.192.in-addr.arpa";
        allow-update { key rndc-key; };
};

在我的区域文件中，我有以下内容：

$ORIGIN .
$TTL 604800     ; 1 week
168.192.in-addr.arpa    IN SOA  ns.example.com. root.example.com. (
                                24         ; serial
                                604800     ; refresh (1 week)
                                86400      ; retry (1 day)
                                2419200    ; expire (4 weeks)
                                604800     ; minimum (1 week)
                                )

它正在创建不正确的区域（$ORIGIN 0.168.192.168.192.in-addr.arpa.例如）。我相信这是问题所在，但找不到在哪里。

在我的 DHCPd 配置中：

ddns-domainname "example.com.";
ddns-rev-domainname "168.192.in-addr.arpa.";
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
use-host-decl-names on;
option domain-name "example.com.";
include "/etc/dhcp/rndc.key";
update-optimization off;
update-conflict-detection off;
key rndc-key {
        algorithm hmac-md5;
        secret "0CZA8H3zL8GxplPmX2MGdQ==";
};
zone example.com. {
        primary 192.168.0.1;
        key rndc-key;
}
zone 168.192.in-addr.arpa. {
        primary 192.168.0.1;
        key rndc-key;
}

子网是 /23。我可以对主机名运行 nslookup；我无法针对 IP 地址运行它。

我最近一直在用我的各种 Debian 服务器测试 Cockpit，到目前为止我很喜欢它。我遇到的一个问题是它创建了默认打开的端口 9090。我不希望该端口向世界开放，但我的堡垒服务器位于动态 IP 上。

我注意到我可以在我的远程服务器上安装 Cockpit，然后运行systemctl stop cockpit.socket它并让它工作......但不能过去与我的主服务器断开连接。

我想知道的是，只允许 Cockpit 连接到没有安装 Cockpit（首选）的远程 Debian 服务器所需的最低配置是什么，或者以某种方式限制 Cockpit 的 Web 界面不能在面向公众的界面上工作。

在 Debian Jessie 上使用isc-dhcp-server时，我想根据主机名的一部分来阻止 DHCP 请求——特别是，如果主机名在“iPhone|android-”某处包含正则表达式字符串。我目前的解决方案是等到他们有租约，然后监控这些设备，然后手动将 MAC 地址添加到黑名单文件中。

这种黑名单方法变得越来越大（几乎 256 个条目），并且越来越难以维护。

我了解如何检查主机名的开头以确定类，但是如何从主机名的任何部分检查以确定分配哪个类？

我有两套戴尔笔记本电脑，我正在尝试安装 Windows 7 x64。我从戴尔的企业网站下载了驱动程序包，并将它们整合到我的install.wim文件中。在一个笔记本上，它工作得很好，我可以进入审核模式。另一方面，我按Ctrl+ Shift+ F3，鼠标光标出现黑屏。什么也没有发生，我无法调出任何工具（即任务管理器、UtilMan 等）。我能做的就是重启。

我试图在重新启动时终止 OOBE，但后来我没有用于登录的帐户。如果我使用 UtilMan-CMD hack，我可以使用管理员配置文件，但sysprep.exe不会加载 - 它声称 Windows 更新是需要重新启动，然后重试。即使重新启动后，也没有任何变化。

如何在第二个模型上进入审核模式？我已经尝试等待一个多小时，看看它是否会自动重启以进入审核模式，但它永远不会。

我的工作场所正在购买新的 HP A5500 系列交换机，其中包括一条控制台电缆 - 一条 DB-9 母头转 RJ-45 公头。我知道我们在大学时谈论过它们，但从未真正见过。我听说它们被用于其他企业级网络设备。

我现在想知道，所有控制台电缆（如上）是否都固定相同？我可以在其他 HP 设备甚至其他制造商的设备上使用此电缆吗？还是会根据型号或制造商而改变？

我有一个运行 Exim 4 的 Debian Jessie 服务器，将 GMail 设置为 Smarthost。如果我尝试使用外部地址（即 [email protected]）发送邮件，它可以正常工作。如果我向rootor canadianluke（本地用户名）发送邮件，我会收到两条消息：我发送的消息，以及 GMail 自动生成的一封电子邮件，说它无法将邮件发送到root@empty. 我们正在使用 Google Apps for Non-Profits。

电子邮件通过了，所以我知道它不完全是 Exim4，但我并不完全相信它完全是 GMail。

我用来在终端上发送电子邮件的命令：mail root -s Test

Delivery to the following recipient failed permanently:

     root@empty

Technical details of permanent failure:
DNS Error: Address resolution of empty. failed: Domain name not found

----- Original message -----

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=MYDOMAIN_COM.20150623.gappssmtp.com; s=20150623;
        h=from:to:subject:message-id:date;
        bh=YJWMysPl36audKpPjWIG/TOl/JVGuKuq1l4/HEAjxb8=;
        b=eIIQpLxw5TFAwnKw4P3gQpKlKbnf9I1PRpzfElBK4m+g+8cu/3z3hBFxMIMdV2Heli
         5CDCvVpaxbiqBJBcyeNnJubwyb8pir2CEnkiKaLJVJjTK3fZkpiI0KlTWkjilMnZeTLy
         SSzJdu437Bo2ONDY960+SX4cZtUE2p2fMcY7zhm8OTPWvXuDJ+DMoLVMuMfBfR+000dL
         ksNXGUD9teGOxYBV5a4c5/SPyeHXY++Pr8AOY+4lU9nt3OIocaozwMGfJOiV0MiiC4MZ
         w1UaXPjygFkzywsgjRbGyh483J0r4pS522fTUvz0qzAtMoIWmNOTCzAIulxxSQXb+hlp
         HG8Q==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20130820;
        h=x-gm-message-state:from:to:subject:message-id:date;
        bh=YJWMysPl36audKpPjWIG/TOl/JVGuKuq1l4/HEAjxb8=;
        b=gBolH/1kEUPQVIVrhMhtsOHaBHc9CIbEfqtAru5aJKSgoCst11qOUFQHC+tPrjVuhH
         s1JvVw7w6f05543JED9ak2SaQ5o5Iz6oWAkS3Z72MBwBaFlM144d/e4N64OYUG0Df4aR
         UDo/ryRdFOZ1WInOrTaoF9BWI/glLCtUPoadpqJ1utk74qEuZE4Ff3as/GjKAE5LXM3O
         Me27QYddAMMCdHi2DPtmkiM/3TosQjdaGv1QbGjk/ZS/q1HqdXCbZhjj65PwIiGDRxdk
         kw49ybPDjyoIFR5IzHM/vI7P3lC6LkXZq4zEgitBGuafwB52Luvl1jCTxUXZbLiODXko
         yDxQ==
X-Gm-Message-State: ALoCoQn4f0bfvp6Tk6pmiVZgxHs/bn8OVKale7+375O8j9UzvWgsYVSltXGIbvQQk5Fxi3DKGh5o
X-Received: by 10.140.94.116 with SMTP id f107mr417247qge.0.1447108430809;
        Mon, 09 Nov 2015 14:33:50 -0800 (PST)
Return-Path: <[email protected]>
Received: from example.com ([93.184.216.34])
        by smtp.gmail.com with ESMTPSA id 83sm102514qhw.27.2015.11.09.14.33.50
        for <root@empty>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 09 Nov 2015 14:33:50 -0800 (PST)
From: root <[email protected]>
X-Google-Original-From: root <root@empty>
Received: from root by example.com with local (Exim 4.84)
        (envelope-from <root@empty>)
        id 1Zvv0W-0006Lj-Tf
        for root@empty; Mon, 09 Nov 2015 17:33:48 -0500
To: root@empty
Subject: Sup
Message-Id: <[email protected]>
Date: Mon, 09 Nov 2015 17:33:48 -0500

更新。我让它再次发送邮件，但它给出了一个新的错误。我将我的用户名添加到/etc/aliases以 root 身份发送邮件的位置，并/etc/email-addresses设置为将发往我的邮件发送到我的常规电子邮件帐户 ([email protected])。

# more exim4/update-exim4.conf.conf
dc_eximconfig_configtype='smarthost'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1'
dc_readhost='ex.com'
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost='smtp.gmail.com::587'
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

现在，电子邮件显示为来自 的错误[email protected]，仍然是相同的 DNS 错误：Address resolution of server.example.com failed: Domain name not found在 Google Apps 中。

下面是 my 的尾部/var/log/exim4/mainlog，显示邮件实际上正在离开服务器：

2015-11-12 07:01:01 1ZwqYn-0001oN-2H <= [email protected] U=root P=local S=2598
2015-11-12 07:01:01 1ZwqYn-0001oN-2H gmail-smtp-msa.l.google.com [2607:f8b0:400c:c06::6d] Network is unreachable
2015-11-12 07:01:02 1ZwqYn-0001oN-2H => [email protected] R=smarthost T=remote_smtp_smarthost H=gmail-smtp-msa.l.google.com [74.125.141.108] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain View,O=Google Inc,CN=smtp.gmail.com" A=plain C="250 2.0.0 OK 1447329663 h144sm1989632vke.26 - gsmtp"
2015-11-12 07:01:02 1ZwqYn-0001oN-2H Completed

我的/etc/aliases文件：

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
root: canadianluke
canadianluke: [email protected]

我曾尝试阅读许多关于在 NAT'd 路由器后面运行 VoIP 系统、连接到 Internet、然后通过 VoIP 服务器的专用连接返回的文档。我的研究一无所获。

我继承了一个设置，其中所有 VoIP 服务器设备都在自己的网络上，并带有专用的 ADSL 连接。互联网上任何地方的电话都可以工作！我的问题是，从我的网络内部。

我已经尝试了通常的故障排除步骤：重新启动路由器，禁用防火墙，更改我插入 IP 电话的端口，但这些都不起作用。

我们使用 Linux 服务器作为我们的路由器和iptables防火墙。默认策略是丢弃不匹配的数据包，但即使我告诉他们接受，问题仍然存在。tcpdump -ni eth1 host 192.168.0.89当手机尝试连接时，运行 a输出以下内容：

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
13:45:24.487637 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:33.285767 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:43.333432 ARP, Request who-has 192.168.0.89 tell 0.0.0.0, length 46
13:45:49.331224 ARP, Reply 192.168.0.89 is-at 00:15:b7:48:04:cd, length 46
13:45:49.337216 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.341575 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.444252 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.612308 ARP, Request who-has 192.168.0.3 tell 192.168.0.89, length 46
13:45:49.612319 ARP, Reply 192.168.0.3 is-at 00:22:b0:70:9a:eb, length 28
13:45:49.613504 IP 192.168.0.89.50138 > xxx.xxx.xxx.xxx.1719: UDP, length 125
13:45:49.631597 IP xxx.xxx.xxx.xxx > 192.168.0.89: ICMP host 216.57.190.87 unreachable - admin prohibited filter, length 36

这xxx.xxx.xxx.xxx是 VoIP 服务器的公共 IP 地址（与我们的主网络不同的 ISP）。如果我跳过我的服务器并将电话直接插入我们的 Internet 连接（我们有一个/24子网），它的连接速度非常快。如果它在我们的任何服务器后面，它将在握手的那一部分停止。我试过不同的网关，效果一样。

从我的网络内部，我可以 RDP 进入管理系统，ping 服务器等。我只是无法让我的手机连接。当我倾倒我iptables的，所以一切都设置为ACCEPT，它仍然没有连接。

我在哪里可以让这些手机正常工作？他们曾经工作，但现在不再工作；回到旧配置是不可能的，因为备份只有 3 个月左右。

我们公司在Windows环境下使用AVG 2013 Business Edition，全部为Windows 7 Pro。在其中一个异地位置，只有一个 Linux 服务器可用，并且它位于自己的网络（站点，而不是服务器）上。

在我的大多数其他站点中，我都有一个始终打开的 Windows 工作站设置，并且我安装了 AVG 管理控制台作为 AVG 的更新和程序代理服务器。在我需要帮助的站点上，我遇到了更新问题。

如果我尝试通过用户计算机上的 AVG 程序进行更新，它总是会失败（无法访问 AVG 站点）。我可以很好地浏览互联网，然后手动下载 105MB 的 .bin 更新。然后我可以在每台计算机上手动安装 .BIN 更新，但它需要我在每个系统上进行干预才能进行更新。

我无法在网络驱动器上选择更新，AVG 似乎需要在本地硬盘驱动器上进行更新。我正在考虑将一份副本保存到服务器，然后使用登录脚本将文件复制到客户端的本地硬盘驱动器，然后我想运行一个命令来安装更新。我的问题是，如何在没有用户干预的情况下通过命令或批处理文件运行更新？

注意：每个站点的服务器是 Debian，而不是 Windows。我的组织不想在另一台技术机器上花钱，因为这个站点只有 3 个客户。不过这离我很远，所以我更喜欢通过 SSH 连接到服务器，将文件下载到共享文件夹，并且知道 Windows 会自动安装更新。

我在 Debian Wheezy 上使用 isc-dhcp-server 运行 DHCP 服务器。因为人们在连接未经授权的机器，我的 DHCP 租约越来越少，最终，授权的机器无法连接到我们的网络。因此，我询问是否阻止某些 MAC 地址甚至通过 DHCP 获取地址，这很有帮助。

我决定在这里整理一下IP地址。我们有 5 台服务器、8 个接入点、12 台托管交换机、20 到 30 台打印机，以及所有授权客户端。我的目标是将服务器保留在它们的 IP 上（介于 .0.1 和 .0.5 之间，包括在内），然后将打印机放在下一个范围内，然后是其他网络设备，为这些静态保留留下一个子网。

然后我想根据他们的名字来区分不同部门的 IP。我有一个用于一个池的子网，作为测试，设置为转到 192.168.6.x，它仍然在原始子网 (192.168.0.0/19) 内。我将以下内容放入我的/etc/dhcp/dhcpd.conf文件中：

class "dlc" {
        match if substring (option host-name,0,3) = "dlc";
}
class "DLC" {
        match if substring (option host-name,0,3) = "DLC";
}

subnet 192.168.0.0 netmask 255.255.224.0 {
pool {
        deny members of "blacklist";
        allow members of "dlc";
        allow members of "DLC";
        range 192.168.6.1 192.168.6.50;
        // Other options not important
    }

该blacklist课程涉及上一个问题，即基于 MAC 的阻塞。该测试组中的机器均以DLC或开头dlc。我有一台机器能够获得这个范围内的地址。我还将 Lease Times 更改为比以前低得多的值：

default-lease-time 7200;
#default-lease-time 28800;
#max-lease-time 36000;
max-lease-time 14400;

我的通用池列在此池之后，它允许所有客户端，组中的客户端除外blacklist。都在 192.168.0.0/19 的同一子网范围内。最终，每个部门都会有自己的小组。

所以，我寻找到期租约的方法。我尝试了停止 DHCP 服务器，吹走租约文件，然后重新启动它的答案，但机器仍在声明相同的地址。我不介意我是否需要去机器上运行脚本，因为我可以很容易地将程序或脚本推送到客户端机器上。所有客户端都是 Windows 7 或 8.1。

我可以做些什么来强制具有有效 IP 地址的机器在我的特定范围内获取一个新的？这更适合我自己的网络组织，并且更容易识别何时连接了恶意设备。

我的组织使用 FOG 对我们公司的计算机进行映像和管理。我正在尝试使用在过去 6 个月中顺利部署到 20 多个系统的新映像来映像系统。

该系统包含所有原始硬件，并且与制作图像的型号相同 - Dell Optiplex 760。

我启动机器，让它网络启动进入 FOG 菜单。我选择做一个Full Host Registration and Image，并输入相关信息。我选择的Multi Partition, Single Drive图像是 Windows 7 的图像。

我的想法告诉我要检查发生了变化的事情。唯一的问题是图像是使用 FOG 0.33 创建的，而我现在使用的是 FOG 1.1.2。我已经将其他以类似方式制作的图像部署到不同的系统，但是我昨天部署的这个和另一个模型只是挂在黑屏上，光标在左下角，闪烁。

当我登录到 FOG 控制台时，它显示两个任务正在启动，但我没有看到任何进展。这些机器整夜成像，没有任何变化。我什至尝试重新启动服务器并再次尝试，但效果相同。

接下来我可以尝试什么，或者如何解决实际错误发生的位置？

在我的工作场所，我们有一个公共 Wifi 网络，以及我们的私人 Wifi 网络。Private 方可以访问查看其他计算机、打印机、服务器和访问 Internet。在公共方面，用户需要使用来自我们服务器的用户名/密码组合通过强制门户进行身份验证（仅适用于我们员工的个人设备）。

早在我来这份工作之前，钥匙就已经泄露了，而且我已经清理了大部分东西。我有脚本（由其他团队成员编写，而不是我自己编写！）通过 Debian Wheezy 上的 DHCP 租约，并吐出制造商、DNS 名称、IP 地址和 DHCP 服务器与之交互的所有设备的 MAC 地址. 使用这些脚本，我可以创建 MAC 地址黑名单，然后 iptables 会为我阻止它们。我更新/etc/blacklist.txt，当 iptables 启动时，它执行iptables -A INPUT $if -m mac --mac-source $i -j DROP（$i从文件中读取）。

这将阻止他们的设备连接到我们的网络资源和互联网。不幸的是，它直到设备从isc-dhcp-server. 所以，我的问题是，我怎样才能阻止他们甚至获得分配给他们的 IP 地址？是的，我知道他们可以为自己分配一个静态 IP 地址并绕过 DHCP 服务器，但我仍然想iptables根据他们的（希望是不变的）MAC 地址来阻止他们。是的，我知道我可以增加我的 DHCP 服务器的范围，但我希望管理层意识到通过连接和绕过我们的强制门户来管理占用我们工作资源的私有设备的斗争。

有人想到的一种解决方案（嗯，部分）是在我的/etc/dhcp/dhcpd.conf文件中创建一个黑洞类，并用我不想连接的设备的 MAC 地址填充它。这可行，但需要在多个地方更新 MAC 地址，这是我不想要的。我希望能够在一个文件中更新 MAC，然后可能运行一个脚本，将更改添加到我的 DHCP 文件和我的iptables规则中。

我的公司已经使用 AVG Remote Administrator 几年了，但在过去的几个月里，我在进行远程安装时发现了一个奇怪的问题。

由于我无法控制的情况（员工罢工），许多系统无法连接到我们的服务器以获取 AVG Antivirus Business Edition 2012/2013 的新密钥。罢工现在结束了，机器进来了，因为它们的保护过期了（正如预期的那样）。

我得到计算机名称，然后将其打入远程管理控制台，然后尝试进行远程安装。我输入域管理员用户名/密码，选择我想要的选项，选择隐藏安装，然后观察进度。我输入的密钥是我们的 AVG Antivirus 商业版密钥，它也适用于其他系统。

安装完成后，即使我选择下载最新的 AVG AV 包的选项，它也正在安装 AVG Internet Security 的试用版。

作为一个实验，我将一个旧映像启动到一台没有安装 AVG 的新机器上。我以相同的设置将安装推送到那台 PC，并安装了 AVG AV，没有问题。我还尝试在“程序和功能”部分卸载所有与 AVG 相关的条目，然后在其他系统上重试之前重新启动。作为最后的手段，我尝试将安装目录复制到 USB 闪存驱动器（按照向导），并avgsetup.bat以管理员身份运行该文件，效果相同：没有 AV，只有 IS。

我究竟做错了什么？我该怎么做才能让 AVG 在这些工作站上远程安装？我还需要做大约 100 件事情，而且我宁愿不必接触每个工作站。

在我的一个工作地点，我们有一组 Linux 服务器，其中一个充当主路由器。在网络内的另一台 Linux 服务器上，我在 VM 中运行 Server 2012。VM 的远程桌面已打开，我可以从我的网络内部进行 RDP。我的目标是从网络外部使用 RDP，通过路由器（Linux 机器），然后转到另一台 Linux 服务器上的 3389 端口。

所有服务器都使用 IPTABLES 作为防火墙，并且都运行 Debian Wheezy x64。

我的 iptables 列表中有以下规则-A PREROUTING -p tcp --dport 9999 -j DNAT --to-destination 192.168.0.15:3389：虚拟机托管在 0.15 地址上，我想通过端口 9999 从外界连接。在我的测试中，远程桌面连接似乎只是无缘无故地断开连接。我还能寻找什么？

在带有tdb后端的运行 Debian Wheezy 和 Samba ver 3 的服务器上，如何限制单个用户更改密码？此帐户是 2 个通用帐户之一，一个用于学生，一个用于随叫随到的教师 (TOC)。用户已创建，但我尚未部署服务器。在浏览 Google 时，我发现设置了密码的最长使用期限，但没有设置密码的最短使用期限（我会很高兴使用 5 年的密码......）

我在使用 Samba 3 服务器作为域控制器以及许多（但不是全部）Windows 7 Pro PC 继承的网络上遇到问题。此处和此处描述的问题并不能解决我的问题。

在启动时，在某些 PC 上，我收到一条错误消息，指出此工作站和域控制器之间的信任关系失败。我的谷歌搜索解释了从域中删除/重新添加机器，这需要手动干预，有时不起作用。我一直在做的，因为这是间歇性的，即使系统当前登录正常，也是从每台 PC 上的提升命令提示符运行以下命令：echo 192.168.0.3 smb > c:\windows\system32\drivers\etc\lmhosts. 然后我重新启动，然后错误就消失了。

奇怪的是，有时它只是假设我的服务器位于不同的 IP 地址。计算机有时认为 SMB 服务器192.168.0.1不是192.168.0.3. 我可以验证这一点，因为当我这样做时net use \\smb，我会得到一个Network name not found，但我可以 ping 它并获得正确的地址。当我执行 anew view \\smb时，它会转到旧服务器（现在是 192.168.0.1，虽然从来没有这个名字）。这样做net view \\192.168.0.3会显示正确的服务器，然后让我只登录一次 Windows，直到重新启动。

我的问题是我需要弄清楚为什么会发生这种情况，所以我不需要接触每台电脑。这是一个快速修复，一旦一切加载，但并不理想。以下是我testparm在主域控制器上的命令的输出：

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[homes]"
Processing section "[Programs]"
Processing section "[Login]"
Processing section "[Windsor]"
Processing section "[Office]"
Processing section "[Admin]"
Processing section "[Student_Share]"
Processing section "[Tech_Tips]"
Processing section "[Tech_Apps]"
Processing section "[DropBox]"
Processing section "[SSS]"
Processing section "[JMC]"
Processing section "[DRC]"
Processing section "[FASD]"
Processing section "[CLA]"
Processing section "[YAPS]"
Processing section "[IMAGES]"
Processing section "[Printer_Drivers]"
Processing section "[Self_Serve]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_PDC

所有股票都正常。每个工作站上的时间都与域控制器匹配（NET TIME \\SMB /SET /Y在启动脚本中），我只能以本地管理员身份登录。我可以在我的 Samba 服务器上寻找什么而不需要这种奇怪的解决方法？

我继承了大约 6 台服务器（全部基于 Debian），明年我的部分项目是将所有内容整合到一台服务器中。有 6 个“域”从 Samba3 安装中运行，一旦我整理好所有内容，我想将它们全部合并到一个新服务器中。我想知道是否有办法加载/etc/passwd文件以仅显示以 a 结尾的用户名$，所以我知道它们是计算机名。一旦我能得到这个，我可以（希望）制作一个脚本来将所有机器添加到新主机，但这是稍后的另一个问题