TrueDuality's questions

我有一个 Web 应用程序可以处理需要更公开地公开的潜在敏感信息。不幸的是，它有自己的内置不支持 SSL 的专有网络服务器。由于软件审批过程，我不得不使用 Apache 作为反向代理。

我几乎完全可以正常工作，直接通过 SSL 访问任何页面都可以正常工作，但是网络服务器发送的重定向不会被重写。例如，当您未登录时尝试访问根 URL https://frontend.example.tld:4000/应该将您重定向到https://frontend.example.tld:4000/login但它会重定向到http: //frontend.example.tld:4000/login导致 BadRequest。

我在这方面所做的所有谷歌搜索都揭示了 apache2 中似乎不再可用的过时设置，建议更改代理后面的应用程序来处理它（不幸的是，这不是一个选项）。

这是我的 apache 配置的相关部分：

<IfModule mod_ssl.c>
  Listen 4000

  <VirtualHost *:4000>
    ServerAdmin webmaster@localhost
    ServerName frontend.example.tld

    CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
    CustomLog ${APACHE_LOG_DIR}/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
    ErrorLog ${APACHE_LOG_DIR}/error.log
    LogLevel info

    SSLProtocol -ALL +SSLv3 +TLSv1
    SSLCipherSuite ALL:!ADH:!EXPORT56:!EXP:!eNULL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2

    SSLEngine on
    SSLCertificateFile    /etc/ssl/certs/frontend.crt
    SSLCertificateKeyFile /etc/ssl/private/frontend.key
    SSLCertificateChainFile  /etc/ssl/certs/gd_bundle.crt

    BrowserMatch "MSIE [2-6]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
    BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

    ProxyRequests Off
    ProxyPreserveHost On

    ProxyPass / http://127.0.0.1:3000/
    ProxyPassReverse / http://127.0.0.1:3000/
  </VirtualHost>
</IfModule> 

在其他地方我加载了 proxy 和 proxy_http 模块。

更新：

以下是尝试重定向后收到的错误消息的内容：

错误的请求

您的浏览器发送了该服务器无法理解的请求。原因：您正在向启用 SSL 的服务器端口发送纯 HTTP。请改为使用 HTTPS 方案访问此 URL。提示： https://frontend.example.tld/

我刚刚完成了 Fedora 12 的全新基础安装，并进行了 yum install 389-ds。我浏览了包含的设置脚本（setup-ds-admin.pl），一切都开始正常并且工作正常。我可以使用设置期间创建的目录管理员帐户访问目录服务器并登录。

重新启动后，我尝试使用以下命令启动 dirsrv 服务：

[root@test-ds ~]# /etc/init.d/dirsrv-admin start
Starting dirsrv-admin:                                  [  OK  ]
[root@test-ds ~]# /etc/init.d/dirsrv start
Starting dirsrv: 
test-ds...
[26/Feb/2010:14:59:11 -0500] dse - The entry cn=config in file
/etc/dirsrv/slapd-test-ds/dse.ldif is invalid, error code 53
(DSA is unwilling to perform) - nsslapd-errorlog-mode: Failed to chmod
error log file to 600: errno 1 (Operation not permitted)

[26/Feb/2010:14:59:11 -0500] dse - Could not load config file [dse.ldif]
[26/Feb/2010:14:59:11 -0500] dse - Please edit the file to correct the
reported problems and then restart the server.
                                                           [FAILED]
  *** Warning: 1 instance(s) failed to start

如果我用“setenforce 0”关闭 SELinux，它可以毫无问题地启动。/var/log/audit/audit.log 中没有生成条目，就像我通常看到的 SELinux 错误一样，但是使用 setenforce 打开和关闭 SELinux 可以无限重复。

不久前出现了一个关键的安全更新，我一直无法安装。我花了今天大部分时间试图弄清楚这一点，但我很难过。我尝试使用自动更新，以及从 Microsoft 网站手动下载更新。

我的系统运行的是 Windows Server 2008 Enterprise x64。相同的更新在三个独立且隔离的服务器（我可以访问的唯一 Windows Server 2008 服务器）上失败。

每当系统尝试更新时，我都会收到以下错误：

安装程序遇到错误：0x8007000d 数据无效。

它会创建一个伴随事件日志，如下所示：

- System 

  - Provider 

   [ Name]  Microsoft-Windows-WUSA 
   [ Guid]  {09608c12-c1da-4104-a6fe-b959cf57560a} 

   EventID 3 

   Version 0 

   Level 2 

   Task 0 

   Opcode 0 

   Keywords 0x8000000000000000 

  - TimeCreated 

   [ SystemTime]  2009-10-26T18:00:08.659Z 

   EventRecordID 11 

   Correlation 

  - Execution 

   [ ProcessID]  6732 
   [ ThreadID]  6592 

   Channel Setup 

   Computer server.example.com 

  - Security 

   [ UserID]  S-1-5-21-1868723478-1673120740-2095933981-27156 


- EventData 

  UpdateTitle  
  ErrorCode 2147942413 
  ErrorString The data is invalid. 
  CommandLine "C:\Windows\system32\wusa.exe" "C:\Users\admin\Desktop\Windows6.0-KB967723-x64.msu"

有没有人有任何想法？

今天发生了一些变化。我似乎无法追查到什么，但我们的 3750 中的一个决定将它从幽灵服务器看到的所有多播流量转发到它拥有的每个 VLAN。

我尝试编写一个简单的访问组，其中包含以下内容：

access-list 100 deny ip any 224.0.0.10 0.0.0.255
access-list 100 permit ip any any

我显然错误地认为，一旦应用到一个接口，它就会阻止该接口上的所有多播流量，而不管 VLAN 是什么。

我不希望任何多播流量通过此特定交换机流向任何 VLAN，甚至不希望留在此交换机之外的同一 VLAN 上。有没有人有任何想法？

我们目前正处于从 Exchange 2003 迁移到 Exchange 2007 的初期阶段。我们已经到了两个系统之间的内部邮件与我们所有的测试帐户完美运行的地步，现在的问题是 Exchange 2007 无法向外部域发送电子邮件。

似乎是一个很简单的问题，我用谷歌搜索了很多文章，都说了同样的话。创建一个地址空间为“*”且成本为“1”的 Internet 发送连接器，使用域名系统“(MX)”记录自动路由邮件。

在包括 technet 在内的许多不同网站上阅读之后，我终于继续这样做了。我从其中一个测试帐户向外部地址发送了一封电子邮件，但没有成功。我去检查了集线器服务器上的邮件队列，无法访问的队列中还有数百条其他消息！从 Exchange 2003 端发往 Internet 的所有电子邮件都开始尝试通过仍然无法发送到 Internet 的发送连接器发出。

我禁用了 Windows 防火墙和防病毒，以防其中一个阻止邮件发送，并且无法访问队列不断增长。我删除了发送连接器，几分钟后邮件开始正常路由到 Internet。

我认为只有另外两件事可能出错了。我使用 nslookup 检查该域是否可由服务器解析，并使用 telnet 从服务器手动连接到远程 SMTP 服务器，以验证连接是否可以打开，两者都有效。

Exchange 2007 中内置的诊断工具仅告诉我“找不到匹配的连接器”，即使使用 * 连接器也是如此。我很难过有人可以帮助我吗？

在我们旧的 Exchange 2003 设置中，我们有两个 Exchange 服务器。两者都不是前端服务器，因此 server1 上的人员需要访问https://server1.example.com/Exchange而 server2 上的人员需要访问https://server2.example.com/Exchange进行检查他们的邮件（我们有更友好的重定向设置）。我们在 webmail 的两个实例上都需要 SSL。

我们现在开始过渡到 Exchange 2007 和更简洁、更用户友好的设置。我们目前已经设置了 CAS 服务器，到目前为止，除了一个小细节外，一切看起来都在工作。当旧用户尝试登录 CAS 服务器时，CAS 服务器应该自动将他们切换到相应的邮箱服务器。这在一定程度上有效......

当旧用户登录到 CAS 服务器时（例如，用户的邮箱在 server1 上），CAS 服务器在成功登录后将他们重定向到http://server1.example.com/Exchange（注意缺少 https）。然后，他们会收到一个不太友好的错误，告诉他们使用 https 连接。

我似乎在这方面的任何地方都找不到文档。有没有人有任何想法？

编辑：作为澄清，我希望 CAS 服务器正确重定向到 https 页面。这可能是 2003 服务器上的设置吗？

我刚刚开始从 Exchange 2003 迁移到 Exchange 2007。几乎立即我就偶然发现了这个问题。我已经执行了 ForestPrep 和 DomainPrep 并开始安装集线器传输角色。

在先决条件检查期间，它给了我以下警告：

警告：安装程序无法检测到地址空间为“*”的 SMTP 或发送连接器。流向 Internet 的邮件可能无法正常工作。

毋庸置疑，我希望我的邮件流到互联网能够正常工作......

这个想法发生在我身上，虽然不是我很想知道的实际问题。当虚拟机将其时钟与硬件时钟同步时，是否会同步主机的硬件时钟？更改主机的软件时钟？主机和软件之间的时间差是否存储在 VM 的文件中？什么都没有发生吗？

我知道这是一个随机且看似毫无意义的问题，但我想了解在我所有系统的底层发生了什么。对我来说，直接用例是 linux Xen VM 中的 NTPD SYNC_HWCLOCK，但我对其他虚拟化平台也很好奇，因为它们的操作方式都不同。

在使用 mysql 扩展安装和配置 MySQL 和 rsyslog 后，我在 /var/log/messages 中收到以下错误：

rsyslogd:db 错误 (2002): 无法通过套接字 '/var/lib/mysql/mysql.sock' 连接到本地 MySQL 服务器 (13)

我可以通过指定'--socket=/var/lib/mysql/mysql.sock'使用mysql客户端通过套接字连接。

我已将问题缩小到 selinux 权限。/var/log/audit/audit.log 文件有这样的说法：

type=AVC msg=audit(1244654592.150:320):avc: denied { search } for pid=6382 comm="rsyslogd" name="mysql" dev=xvda3 ino=1369538 scontext=user_u:system_r:syslogd_t:s0 tcontext=system_u :object_r:mysqld_db_t:s0 tclass=dir

将 selinux 设置为 permissive 模式确实可以解决问题。这将是生产服务器，并且不允许 selinux 处于许可模式。

在 /var/lib/mysql/mysql.sock 上运行 restorecon 也不能解决问题。有人可以帮我吗？

编辑：

所以我的追求还在继续，这里有一个更新。我最终创建了一个 semodule 来明确允许这种行为。为此，我执行了以下操作（以 root 身份）：

# cd /var/log/audit/
# grep mysql audit.log | audit2allow

它输出了这个：

#============= syslogd_t ==============
allow syslogd_t mysqld_db_t:dir search;
allow syslogd_t mysqld_var_run_t:sock_file write;
allow syslogd_t mysqld_t:unix_stream_socket connectto;

这些确实是我想授予 rsyslog 的权限......所以我根据RedHat 的说明将它编译成一个模块并使用 semodule 命令安装它。

尝试重新启动 rsyslog 服务后，错误继续存在，并且审核日志中没有新的“拒绝”消息。有人有什么想法吗？

在过去使用 Windows Server 2003 时，我能够使用 evtsys ( https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys ) 将事件日志发送到中央网络系统日志服务器。它没有提到对 Server 2008 的支持，但确实提到了发送 Windows Vista 日志的问题。

是否有任何好的服务/实用程序甚至 PowerShell 脚本（最好是其他脚本之一，因为这不会是连续的）可以将事件日志发送到中央系统日志服务器？