shodanshok's questions

要启用 LDAPS，我需要两个域控制器上的证书。我无法使用证书服务，因为我没有多余的 Windows 机器，而且在 DC 上安装该角色是大忌，所以我宁愿使用自签名证书，其中 SAN 覆盖两个 DC（FQDN 和短机器名称）。

我应该注意什么？例如：

• 证书是否应具有最长有效期（即 1 年、5 年、10 年、100 年）？
• 这会破坏/影响与客户端机器的连接吗（不太可能，因为 DC 目前没有证书）；
• EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么？

我最近将基于 Win2008R2 的旧域更新为基于 Win2019 的新域（具有常见的提升/降级/退役舞蹈）。这是一个非常小的办公室（3 人），所以这是一个单 DC 设置，旧的和新的 DC 都兼作文件服务器。

出于这个原因，我创建了一个 DNS 别名来将旧名称（即：）指向新名称（即olddc.example.com：）newdc.example.com。到目前为止，一切都很好：所有客户端都可以使用旧名称和新名称访问新的 DC/文件服务器。但是，我忘记将旧 DC 的名称（作为别名）正式添加到新 DC。换句话说，我没有发出类似的东西：

netdom computername newdc.example.com /add:olddc.example.com

今天我在新的 DC 上，由于肌肉记忆力不足，我试图通过旧名称（打开 Explorer 并写入\\olddc.example.com）来获得它自己的份额。Explorer 立即抱怨“错误的凭证”，而且确实显示了 Wireshark 转储STATUS_LOGON_FAILURE。我发出了netdom上面的命令（添加olddc.example.com为别名），问题就消失了：服务器现在可以通过旧名称查看自己的共享。

netdom我知道并理解为什么应该通过（或通过单独的setspn命令）添加备用/别名。然而，令我惊讶的是，即使没有提供这样的备用名称，所有 Win10 客户端都没有显示任何抱怨。

那么，为什么 Win10 客户端完全没有问题，而服务器立即从使用“未知”DNS 别名访问自己的共享中返回？是否由于服务器和客户端操作系统之间的一些不同设置？还是与访问环回共享有关？

我有一个 LDAP 应用程序，它需要通过 LDAPS（LDAP over SSL）与 Active Directory 通信。我在测试域控制器上安装了 Active Directory 证书服务（我知道这不是最佳实践，但我的客户没有独立 CA 服务器的备用 Windows Server 许可证）。

从这里我阅读并遵循了这些说明：

如果您在域控制器上安装 AD CS 角色并将设置类型指定为 Enterprise，则林中的所有域控制器将自动配置为接受 LDAP over SSL

颁发的证书确实已加载到 DC 证书存储中，并且支持 LDAPS 的应用程序正在运行。

我的问题是： 证书会自动更新/重新注册，还是我需要手动处理？我需要检查以确保自动续订能够正常工作？

为了将其放入更多生产盒中，我正在测试 Windows 2016 更新行为。我已经运行sconfig以在“Windows 更新设置”中选择“仅下载”，并将“活动时间”配置为从 07:00 到 19:00。

据我了解，此设置应按以下方式工作：

• 自动下载更新；
• 更新不会自动安装；相反，系统管理员必须手动确认更新安装；
• 如果必须重新启动服务器，则应自动配置在活动时间之外的计划重新启动；
• 在非工作时间（即：19:00 - 07:00 之后）服务器应该重新启动。

主要问题：上述理解正确吗？

我问是因为在 Windows 2016 域控制器上进行测试并手动安装更新时，即使通知显示“您的设备计划在活动时间之外重新启动（活动时间为 07:00 至 19:00）”，重启也不会发生。

我注意到在任务管理器\库\Windows\Windows 更新中，musnotification.exe RebootDialog创建了一个重新启动任务启动以在 19:20 运行，它每 30/60 分钟运行一次。

第二个问题：默认情况下，当有远程桌面用户登录时，Windows 2016 的行为如何？它通知吗？它会重新启动吗？如果会话处于断开状态怎么办？

注意：我知道政策No auto-restart with logged on users for scheduled automatic updates installations，但是：

1. 它未激活/未配置；
2. 由于我不是自动安装更新，它应该没有效果：

仅当配置自动更新策略配置为执行计划的更新安装时，此策略才适用。

当然，我完全理解服务器应该只在适当的时间进行修补和重新启动。但是，我真的很想了解当前（Win2016）更新行为背后的逻辑。我强烈觉得我遗漏了一些东西，因为这应该是一项基本的维护任务。

我已经阅读了这些信息，但我真的很想听听一些第一手的 Windows 系统管理员经验。

我有一个双控制器 AD 域，所有加入域的 PC 都将其地址作为主 DNS 服务器和辅助 DNS 服务器。

我想知道是否应该配置第三公共 DNS。原因是许多 PC 位于较小的远程网络中，它们通过中央 VPN 隧道到达两个域控制器。如果 VPN 隧道出现故障，两个DC 将不可用，远程 PC 将无法解析任何地址，从而阻止它们上网/检查电子邮件/等。

在每个网络中添加一个 DC 是没有问题的（它们是 5/10 的 PC），同样可以说创建从远程网络到辅助 DC 站点的直接 VPN 隧道（由于硬件容量）。

三级公共 DNS 服务器会阻止这种情况，但我想知道它是否会导致问题（即：如果出于某种原因将其选为首选 DNS，则 PC 将与域“断开连接”）。

那么：在加入域的 PC 上使用三级公共 DNS 是可以的，否则会导致问题？有什么要注意的吗？

我继承了一个旧的基于 Windows 2003 的 Active Directory 安装，我的任务是将它升级到现代标准。我已经使用下面的计划在我的实验室中进行了各种（成功的）测试，但我真的想要来自该领域其他专家的现实检查/最佳实践建议。

当前状态：在 Windows 2003 安装上运行的单标签、Windows-2000 混合模式 Active Directory 域。DNS 组件正在运行不安全的动态更新。

目标状态：在 Windows 2016 安装上迁移到 Windows 2012R2 级别的域（注意：Windows 2012R2 的目标级别，而不是 2016，是由于我的客户拥有其他 Windows 2012R2 服务器）。迁移应以破坏性最小的方式进行；无论如何，由于我将在周末工作，因此可以接受短暂的服务中断。

警告：虽然单标签域已被弃用，但我确实需要保持原样运行。我评估了域重命名和/或域迁移到新名称，但它们似乎对我的客户要求太多。

我的计划：

• 安装新的 Windows 2016 服务器并将其作为简单成员添加到当前域
• 将当前的林/域功能级别提升到 Windows 2003
• 将新的 Windows 2016 服务器提升为域控制器（具有全局目录）角色
• 降级旧服务器（通过dcpromo）
• 在新的 Windows 2016 服务器上，使用“Active Directory 站点和服务”从降级操作中删除任何最终剩余
• 在新的 Windows 2016 上，使用“DNS 管理器”将 DNS 动态更新类型更改为“仅安全”
• 将林/域功能级别提升到 Windows 2012R2
• 更改旧服务器的原始 IP 地址（例如：从 192.168.1.1 更改为 192.168.1.2）
• 更改新服务器的 IP 地址以匹配旧域控制器（例如：从 192.168.1.10 到 192.168.1.1）。注意：由于当前的 DHCP 设置和网关防火墙/VPN 规则，我打算这样做
• 从 FSR 迁移到 DFSR（参见此处和此处）
• 在分支机构上安装另一台 Windows 2016 服务器，将其添加为新的域控制器（带有全局目录）。

问题：

• 我错过了一些重要的东西？
• 我交换旧/新服务器的 IP 地址以最小化防火墙/VPN/DHCP 更改的想法是一个好主意，还是应该避免这种情况？
• 我应该注意什么？

更新：经过多次讨论和测试，我说服了我的客户进行域名重命名。根据微软的建议，我已经通过该rendom实用程序完成了它，并且一切都很顺利（幸运的是，它没有任何内部部署的 Exchange 服务器）。

我的一个客户最近将其邮件基础架构迁移到 Office365 和 Web 上的 Outlook。一切正常，但我们在自动发送日志/警报电子邮件时遇到问题。

基本上，我们有许多服务器/打印机/防火墙/交换机配置为使用[email protected]作为发件人发送警报日志（例如，[email protected]。并非所有这些发件人都支持 SMTP 身份验证和/或 SSL（有些非常旧）。

到目前为止，使用内部邮件服务器，我们只需将内部主机 IP 列入白名单即可启用未授权邮件中继。但是，Outlook 现在将这些电子邮件标记为垃圾邮件/垃圾邮件。

由于每封电子邮件都包含一个可预测的主题，以及定义明确的单词（我们用它来精细过滤我们的日志），我想使用传入邮件过滤规则来标记为“干净”或“非垃圾邮件”。但是，我找不到这样的选项（相反，我发现了“标记为垃圾邮件”操作）。

我的问题是：

• 是否可以通过使用 Office365 和 Outlook 网页版将电子邮件标记为“非垃圾邮件”？如果是这样，我该怎么做？

• 如果不可能，还有其他方法（除了手动将每个发件人设置为受信任的发件人）来完成类似于我需要的事情吗？

• 任何其他想法？

谢谢。

首先，简要说明：

使用 Zabbix 进行系统监控，我试图了解它是否/如何用于运行我需要报告 OK/PROBLEM 值的重要计划任务（即：通过电子邮件）。

我已经使用由 调用的自定义编写的脚本cron来报告程序执行的错误。但是，这种方法很容易被快速重复但失败的计划任务“淹没”。我真正想要的是在“边缘变化”时收到通知 - 即：从正常（OK）到失败（PROBLEM）执行，反之亦然。

从这里开始，我有了尝试 Monit 的想法——而且效果很好。但是，已经部署了 Zabbix，如果我可以使用现有设置合理地完成我的目标，我想避免使用其他工具。

好的，回到主要问题：

根据我的研究/测试，基本方法是将要执行的任务视为重复检查/数据查询。存在两种可能性：

• 配置SSH 检查以执行命令；
• 使用要执行的特定命令扩展 Zabbix 代理。

第一种方法需要为每个命令执行登录，这往往会用不必要的条目“污染”日志，所以我倾向于第二种方法。也就是说，这两种方法都有一个重大问题：它们只捕获命令的输出，而不捕获命令的退出值

所以，我的问题是：

• 任何人都知道如何捕获命令退出值？注意：我想避免包装脚本。
• 有人使用类似的方法吗？如果是这样，您有什么反馈吗？
• 我应该简单地“辞职”使用Monit吗？

我注意到一些同时提供 DNS 和电子邮件服务的托管公司将后者与前者不可撤销地联系在一起 - 将外部 DNS 指定为权威 DNS 不仅意味着暂停邮件/网络邮件服务，还意味着删除所有电子邮件。

虽然我了解暂停服务背后的实际动机，但电子邮件删除条款确实让我感到惊讶。此外，这在域和/或电子邮件迁移过程中可能会很麻烦。

所以：

• 为什么这么急于暂停和删除服务？有一些必要的技术原因吗？

• 您如何管理这种情况（从托管服务提供商到另一个托管服务提供商的域和电子邮件迁移）？

谢谢。

我的任务是管理旧的 VMWare 4.0.1 安装，该安装将在不久的将来更换，但目前必须保持运行。

我立即注意到一些虚拟机的快照非常旧，有些甚至是几年前拍摄的。我不喜欢使用这么旧的快照运行，因为它们会降低性能并使用大量空间（超过 100 GB）。另一方面，我有点担心整合这些非常旧的快照会导致一些问题（即：整合失败使 vm 映像处于不一致状态）。

您认为摆脱这些旧快照的最佳方法是什么？

我想了解通过 10 GbE 链路连接的两个 Linux 上的 ZFS (ZoL) 盒子之间实时复制的最佳解决方案是什么。目标是将它们用于虚拟机；一次只能运行一个盒子来运行虚拟机和 ZFS 文件系统本身。需要在第一个（活动）框上进行快照。我打算使用企业/近线级SATA磁盘，所以双端口SAS磁盘是不可能的。

我想到了以下几种可能性：

• 使用 iSCSI 导出远程磁盘，并在本地 box 的 ZFS 磁盘和远程 iSCSI 磁盘之间建立镜像。该解决方案的更大吸引力在于其简单性，因为它使用 ZFS 自己的镜像。另一方面，ZFS 不会将本地磁盘优先于远程磁盘，这可能会导致一些性能下降（我想在 10 GbE 网络上几乎不相关）。此外，更令人担忧的是，如果两个盒子之间的网络链路丢失，ZFS 将如何表现。它会在远程机器可用时重新同步阵列，还是需要手动干预？
• 使用 DRBD 同步两个 ZVOLS 并将 ZFS 放置在 DRBD 设备之上。换句话说，我说的是堆叠式 ZVOL + DRBD + ZFS 解决方案。这似乎是我的首选方法，因为 DRBD 8.4 非常稳定且经过验证。但是，许多 I/O 层在这里发挥作用，性能可能会受到影响。
• 在顶部使用普通的 ZFS + GlusterFS。从 ZFS 的角度来看，这是更简单/更好的解决方案，因为所有复制流量都委托给 GlusterFS。你觉得 GlusterFS 足够稳定吗？

你觉得更好的方法是什么？谢谢。

我的任务是安装一个新的 SFTP 服务器。就其本身而言，这是一个非常简单的操作：只需使用internal-sftp无处不在的 SSH 服务（带有 chrooting）的角色就足以拥有可靠的 SFTP 服务器。

然而，我的天性是总是为同一个问题尝试至少两种不同的方法，我意识到我可以使用ProFTPDsftp 插件来做同样的事情，并具有更精细的文件传输相关选项的额外好处（例如：带宽限制）。另一方面，这个插件默认情况下没有编译（和捆绑），我想避免（也许）“较少测试”的解决方案。

目前，唯一需要的服务是 SFTP；但是，我提前玩了，我想实现一个不仅可以与 SFTP 一起使用，还可以与 FTP/S 一起使用的解决方案。

考虑到我要在他们家中对用户进行 chroot，您认为更好的解决方案是什么？

1. 为 FTP/S 服务使用 SSHinternal-sftp和独立的 FTP 服务器（vsftpd或）proftpd
2. 仅使用带有相关插件的 ProFTPD 服务

我想了解是否可以以及如何在 Red Hat 6 / CentOS 6（grub legacy bootloader）上配置默认内核引导参数。

我非常了解如何手动配置所需的参数：我只需要编辑 /etc/grub.conf 并编辑特定的节。然而，类似的配置不会持续内核更新：新节将配置默认内核引导参数。

较新的系统（例如：RHEL7）使用 grub2 和 /etc/default/grub 文件和 GRUB_CMDLINE_LINUX 变量来解决该特定问题。

所以我的问题是：是否可以指定系统范围的默认内核启动参数，并让这些参数成为新内核的默认设置（通过 YUM/RPM 更新）？

谢谢。