MadBoy's questions

我必须使用 Sogo 从 Postfix 迁移 Office 365。我的目标是配置 Office 365 与 Postfix 的小型混合，有点像使用 Exchange On-premises 的方式。

目前，postfix 是一个拥有 1000 个用户的主服务器，它发送和接收domain.xyz的所有电子邮件。我已经配置了 Office 365 并向其添加了相同的域。我在上面创建了 2 个邮箱并配置了将domain.xyz设置为 InternalRelay 域的 Exchange Online。

Exchange Online 到目前为止有 2 个帐户

• [email protected]
• [email protected]

Exchange 配置为，如果 Exchange 上的某人向 domain.xyz 发送电子邮件并且邮箱位于 Exchange 上，则电子邮件应保留在 Exchange 上，但如果 Exchange 找不到 domain.xyz 的邮箱，则应使用我已经使用的传出连接器配置为将电子邮件转发到 postfix。这意味着从 userA 发送到 userB 的任何电子邮件都可以正常工作，但是当 userA 向驻留在 postfix 上的 userC 发送电子邮件时，它会阻止它。

报告错误：554 5.7.1 [email protected]：收件人地址被拒绝：策略拒绝未登录

我的理解是，Postfix 认为它是唯一拥有域 domain.xyz 的服务器，并且它将来自 domain.xyz 的任何电子邮件视为某些用户/服务试图在未经授权的情况下发送电子邮件并拒绝它。这证明了当我们在 Office 365 中创建完全随机的电子邮件时，在 postfix 中没有相应的帐户，并且当我们尝试从 [email protected] 向 [email protected] 发送电子邮件时，我们得到

远程服务器返回“550 5.1.0 [email protected]：发件人地址被拒绝：虚拟邮箱表中的用户未知”

有什么方法可以告诉 postfix (SoGo) 开始信任 Office 365（IP 地址范围）并使其允许接收来自它认为自己拥有的域以及它拥有的帐户的电子邮件。在将 postfix 迁移到 Office 365 的最后一步中，postfix 中的每个帐户将在 O365 中拥有相同的帐户，我们将使用重定向电子邮件 1 个邮箱到 onmicrosoft.com 地址，以确保用户可以使用 O365 而无需担心他们的后缀帐户。但要做到这一点，O365 和 postfix 之间的流量需要正常工作。

我猜这不仅是 Office 365 共存的问题，而且有人会使用的任何服务（例如 SendGrid 或类似服务）都会有相同的问题。

最后 - 我无法访问 postfix/sogo。我只“拥有” o365 方面。我正在尝试向 Linux/Postfix 团队提供意见以解决此问题

我从团队获得的潜在相关配置位，但我自己不知道这是否正确

# HELO restriction
smtpd_helo_required = yes
smtpd_helo_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_non_fqdn_helo_hostname
    reject_invalid_helo_hostname
    check_helo_access pcre:/etc/postfix/helo_access.pcre

# Sender restrictions
smtpd_sender_restrictions =
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unlisted_sender,
    permit_mynetworks,
    permit_sasl_authenticated,
    check_sender_access pcre:/etc/postfix/sender_access.pcre
    #reject_sender_login_mismatch

# Recipient restrictions
smtpd_recipient_restrictions =
    reject_unknown_recipient_domain,
    reject_non_fqdn_recipient,
    reject_unlisted_recipient,
    check_policy_service inet:127.0.0.1:7777,
    permit_mynetworks,
    permit_sasl_authenticated,
    #reject_unauth_destination

# Data restrictions
smtpd_data_restrictions = reject_unauth_pipelining

# O365 addresses
mynetworks = 127.0.0.0/8, 40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 104.47.0.0/17

#
# Lookup virtual mail accounts
#
transport_maps =
    #regexp:/etc/postfix/transport_regexp
    proxy:ldap:/etc/postfix/ldap/transport_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/transport_maps_domain.cf

sender_dependent_relayhost_maps =
    proxy:ldap:/etc/postfix/ldap/sender_dependent_relayhost_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/sender_dependent_relayhost_maps_domain.cf

# Lookup table with the SASL login names that own the sender (MAIL FROM) addresses.
smtpd_sender_login_maps =
    proxy:ldap:/etc/postfix/ldap/sender_login_maps.cf

virtual_mailbox_domains =
    proxy:ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf

relay_domains =
    $mydestination
    proxy:ldap:/etc/postfix/ldap/relay_domains.cf

virtual_mailbox_maps =
    proxy:ldap:/etc/postfix/ldap/virtual_mailbox_maps.cf

virtual_alias_maps =
    #regexp:/etc/postfix/transport_regexp
    proxy:ldap:/etc/postfix/ldap/virtual_alias_maps.cf
    proxy:ldap:/etc/postfix/ldap/virtual_group_maps.cf
    proxy:ldap:/etc/postfix/ldap/virtual_group_members_maps.cf
    proxy:ldap:/etc/postfix/ldap/catchall_maps.cf
    proxy:ldap:/etc/postfix/ldap/sender_login_maps.cf
    
sender_bcc_maps =
    proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_domain.cf

recipient_bcc_maps =
    proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_user.cf
    proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_domain.cf

在 master.cf

smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_client_restrictions=permit_sasl_authenticated,permit_mynetworks
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

任何想法都会受到欢迎。

我正在处理一些日志，似乎 Get-EventLog 无法显示真正的最大大小。它采用通过“旧”gpo 设置设置的最大值。

只是为了好玩，我将事件日志大小设置为 2TB，我可以看到当前大小是 6GB，所以比 Get-EventLog 显示的 4GB 还要多。

有人知道这是什么原因吗？还是我使用了错误的命令？还是误读结果？

使用 WMI 时的相同类型的答案...

有没有一种方法可以gpresult在不以实际用户身份登录计算机的情况下开始工作？

假设UserA正在登录计算机XYZ。您通过TeamViewer登录或在本地以AdminA身份登录，右键单击Run As Administrator，输入您的管理凭据，然后输入著名的 gpresult /R 命令以获取计算机 GPO，但它根本不存在。

gpresult /R
INFO: The user adm.test does not have RSoP data.

您尝试远程执行此操作，但它也失败了...

gpresult /S DDD9D5 /SCOPE COMPUTER /R
INFO: The user does not have RSoP data.

如何强制它，以便您可以在该计算机（但不是用户）和从未实际登录到该计算机的用户上以域管理员或管理员的身份实际获取该数据？

多年来，我一直认为这只是“工作”，但似乎我一直通过 RDP 或其他方式登录到计算机并且它总是有效。现在它没有......我需要一种方法来正确调试它。

我唯一的选择实际上是以标准用户身份登录然后执行命令吗？

我在域 Super.Dom 上有 Windows 2016 DC。我在 DNS 中为域 test.dom 设置了条件转发器。现在这个 test.dom 是一个单独的域，因此它上面设置了多个其他域。包括一些外部域external.com。

出于某种原因，对 external.com 的查询从“本地”子网返回结果，而不是使用外部转发器 (8.8.8.8/8.8.4.4)。

因此，似乎 DNS 正在使用 test.dom 的条件转发器来为 external.com 提供答案，这很奇怪（至少出乎意料）。那是标准吗？如何强制 Windows DNS 仅对 test.dom（可能还​​有 test.dom 的子域）使用条件转发，而不从其他域返回任何其他内容？

我有一个失败的简单脚本，有时会到达这一行

$user = get-aduser -Server <server> -Filter { UserPrincipalName -eq $email } -Properties passwordlastset, passwordneverexpires, Name, DisplayName,UserPrincipalName, extensionattribute15,SamAccountName | Select-Object Name, SamAccountName, DisplayName,UserPrincipalName, extensionattribute15, passwordlastset, passwordneverexpires 

1. 如果我在 AD1 上运行此脚本并将 -Server 设置为 AD1，它将按预期显示 passwordlastset 和 passwordneverexpires。
2. 如果我在 AD1 上运行此脚本并将 -Server 设置为 AD2，它将按预期显示输出。

然后我将相同的脚本复制到 AD2 并运行它

1. 如果我在 AD2 上运行此脚本并将 -server 设置为 AD1，它会正确显示字段。
2. 如果我在 AD2 上运行它并将 -server 设置为 AD2，它不会显示 passwordlastset、passwordneverexpires 和 extensionattribute 的值。所有其他字段均正确显示。

为什么会有区别？

我们为用户、计算机和其他设备提供标准的 /24 子网。我们已经到了拥有更多用户并希望为不同类型的设备使用多个子网的地步。虽然这很容易实现，但在网络上拥有更多设备的其他方法之一是将网络简单地扩展到 /23 或 /22 掩码。

我从多个消息来源获悉，不鼓励使用更大的子网，因为广播和由此产生的其他问题/问题。我已经尝试为这些问题和问题找到合适的来源，但找不到一篇文章（也许我在 google 上那么糟糕）可以让我清楚地了解更大的子网、潜在问题的优缺点。虽然我知道较大的子网（例如 /16 左右）对于某些事情来说真的很糟糕，但我试图了解那些比标准网络（/23 或 /22）大一点的子网会有什么问题。我也知道拥有 VLAN 会带来额外的安全性提升，但是虽然我可以理解拥有 VLAN 的专业人士，但我找不到什么

当前的：

Address:   192.168.0.1           11000000.10101000.00000000 .00000001
Netmask:   255.255.255.0 = 24    11111111.11111111.11111111 .00000000
Wildcard:  0.0.0.255             00000000.00000000.00000000 .11111111
=>
Network:   192.168.0.0/24        11000000.10101000.00000000 .00000000 (Class C)
Broadcast: 192.168.0.255         11000000.10101000.00000000 .11111111
HostMin:   192.168.0.1           11000000.10101000.00000000 .00000001
HostMax:   192.168.0.254         11000000.10101000.00000000 .11111110
Hosts/Net: 254                   (Private Internet)

计划：

Address:   192.168.0.1           11000000.10101000.000000 00.00000001
Netmask:   255.255.252.0 = 22    11111111.11111111.111111 00.00000000
Wildcard:  0.0.3.255             00000000.00000000.000000 11.11111111
=>
Network:   192.168.0.0/22        11000000.10101000.000000 00.00000000 (Class C)
Broadcast: 192.168.3.255         11000000.10101000.000000 11.11111111
HostMin:   192.168.0.1           11000000.10101000.000000 00.00000001
HostMax:   192.168.3.254         11000000.10101000.000000 11.11111110
Hosts/Net: 1022                  (Private Internet)

如果有人花时间并对此进行了很好的概述，我将不胜感激。

我对具有完全相同外观的双 bitlocker 选项卡有一个奇怪的问题。知道如何删除一个吗？

我想用有点扁平的方法创建一个新域。我想创建组并将用户放入组中，而不是根据项目、用户位置拥有多个 OU 和 sub-ou's 和 sub-ou's。

例如，所有用户将被放入DC=DOM,CN=LOC 中的一些 OU=Users 中，然后将创建多个组：

• GRP-LOC-华沙
• GRP-LOC-纽约

但是我最终考虑如何将权限委派给这些组，以便我可以让经理重置密码（或在华沙执行其他操作）。

似乎委派是基于每个 OU 完成的，如果我想进行精细控制（每个项目、位置、子位置等），我仍然坚持 OU？或者有人已经做到了，而我只是错过了一些东西？

我在少数主机上备份 Hyper-V 时遇到了很大的问题。在软件完成备份期间，一些机器变得不可用，主机开始死机等。我们跟踪的不是软件本身，而是文件复制。只需将文件从驱动器 D 复制到大小为 30GB 的 C 将在文件传输期间杀死主机。文件复制前的 ram 使用量是 64GB 中的 48GB。当您开始传输 30GB 文件时，ram 的使用会发生变化，并且在 1 分钟内，64 台服务器中的 64 台开始爬网，甚至 RDP，物理访问停止工作，直到文件复制完成。因此，在备份期间，服务器可能需要数小时才能可用。

这是 DELL Server R515，RAID 控制器处于回写模式。我在其他 Windows 2012 服务器上注意到了这一点。我尝试使用一些旧的解决方案来禁用 2003 年的缓存，但没有一个有效。我已经在 IBM 和 Dell 服务器上对其进行了测试，并且行为非常相似。内存使用率上升。首先它以 700MB/s 的速度复制开始，然后在使用 ram 后它会变得缓慢。所以问题是如何禁用文件缓存或将其限制为正常值。

请不要建议使用 robocopy 或其他“复制”工具，因为虽然它可以解决使用外部软件复制的问题，但我的问题实际上是关于我无法影响的 3rd 方软件进行的备份。我希望“Explorer”能够正常运行:-)

我有一个有 2 个 IP 的服务器。

• 10.10.1.50 (255.255.255.0)
• 10.10.2.50 (255.255.255.0)

我还有一个DC，它的 IP 位于 10.10.1.30，无法到达 10.10.2.50。

当我从DC ping服务器时，它以 10.10.2.50 响应。所以我采用了明显的方法来处理它并禁用了循环，保持启用网络掩码排序

    dwLogLevel               = 00000000
    dwDebugLevel             = 00000000
    dwRpcProtocol            = 00000005
    dwNameCheckFlag          = 00000002
    cAddressAnswerLimit      = 0
    dwRecursionRetry         = 3
    dwRecursionTimeout       = 8
    dwDsPollingInterval      = 180
 Configuration Flags:
    fBootMethod                  = 3
    fAdminConfigured             = 1
    fAllowUpdate                 = 1
    fDsAvailable                 = 1
    fAutoReverseZones            = 1
    fAutoCacheUpdate             = 0
    fSlave                       = 0
    fNoRecursion                 = 0
    fRoundRobin                  = 0
    fStrictFileParsing           = 0
    fLooseWildcarding            = 0
    fBindSecondaries             = 0
    fWriteAuthorityNs            = 0
    fLocalNetPriority            = 1
  Aging Configuration:
    ScavengingInterval           = 0
    DefaultAgingState            = 0
    DefaultRefreshInterval       = 168
    DefaultNoRefreshInterval     = 168

但是即使在禁用循环并且网络掩码排序似乎正确之后，也会返回错误的结果。

LocalNetPriorityNetMask设置为0x000000ff (255)，因此似乎为C 类正确设置。那么为什么它不能正常工作呢？我错过了什么？服务器的两条记录在 DNS 中具有相同的日期/时间。我知道我可以通过禁用网络掩码排序并稍微更改时间来修复它，但这会破坏通过 10.10.2.50 IP 地址访问服务器的服务器。

服务器多次重启。通常在重新启动后，服务器会正​​确响应 10.10.1.50。一段时间后 10.10.2.50 开始发挥作用，因此DC无法连接到服务器。

在 Active Directory 中，您可以设置和强制执行规则，其中用户必须使用强密码，不能使用他们已经拥有的最后 5 个以上的密码，强制密码复杂性。有没有办法强制执行此类设置，以便如果服务帐户（密码重置 Web 服务）尝试为用户设置新密码，它会根据策略进行检查并被接受或拒绝？

似乎由于服务帐户强制更改密码，用户可以通过 Web 界面输入相同的密码，并一遍又一遍地继续使用相同的密码。由于它是为他更改密码的服务帐户，因此不会检查最后一个已知密码，因此不强制执行密码规则

虽然程序员可以编写复杂性检查最后使用的密码检查不能在 Web 界面上检查，因为 Web 服务不知道最后的密码。

是否可以强制它，以便服务帐户对密码的更改也像普通用户密码更改一样受到限制？

我有一个用户将他的电子邮件转发到 gmail.com。最近我通过 ECP 禁用了该选项，它没有转发等设置。但后来他的电子邮件永远不会进入他的邮箱。

HARED... SMTP     [email protected]                   {account@reprezenta... T34
RECEIVE  SMTP     [email protected]                   {account@reprezenta... T34
RESOLVE  ROUTING  [email protected]                   {[email protected]}             T34
REDIRECT AGENT    [email protected]                   {[email protected]}             T34
EXPAND   AGENT    [email protected]                   {[email protected]}           T34
AGENT... AGENT    [email protected]                   {[email protected], account... T34
RESUBMIT AGENT    [email protected]                   {[email protected], account... T34
DROP     ROUTING  [email protected]                   {[email protected]}           T34
AGENT... AGENT    [email protected]                   {[email protected]}           T34

这是禁用转发。然而，如果我再次去 ECP 并看到这条消息：

如果在我设置字段时字段为空，为什么要显示此消息？

我现在可以确认：

[PS] C:\Windows\system32>Get-Mailbox | Where {$_.ForwardingAddress -ne $null}

Name                      Alias                ServerName       ProhibitSendQuota
----                      -----                ----------       -----------------
Account           account           exchange      Unlimited

但我什至运行了以下命令：

[PS] C:\Windows\system32>Get-Mailbox | Where {$_.ForwardingAddress -ne $null} | Set-Mailbox -ForwardingAddress $null -De
liverToMailboxAndForward $false
[PS] C:\Windows\system32>Get-Mailbox | Where {$_.ForwardingAddress -ne $null}

没有结果。我进入 GUI 清除转发地址。

我再次设置它只是为了测试并再次发送关于转发电子邮件的消息。

那么有什么问题呢？它是 Exchange 2013 -> 版本 15.0（内部版本 775.38）。所以CU3。

我在我们的 AD 中看到多个服务器/工作站gpresult /R显示站点名称：N/A 即使它们subnet是在Active Directory Sites and Services. 这可能是什么原因？在哪里寻找可能的故障。因此，一些类似检测 Exchange 服务器的东西subnet不起作用。复制似乎工作正常。

C:\Users\admin>nltest /dsgetsite
Katowice-Kolokacja
The command completed successfully

C:\Users\admin>nltest /dsgetdc:domain.com /Account:KOLCENTRAL$
           DC: \\AD7.domain.com
      Address: \\172.16.50.7
     Dom Guid: 2d9bd8bc-3124-44ca-b2cb-960159dd75e2
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: Katowice-Kolokacja
Our Site Name: Katowice-Kolokacja
        Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLO
SE_SITE FULL_SECRET WS 0x4000
The command completed successfully


C:\Users\admin>gpresult /R

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 3/18/2013 at 10:00:00 PM


RSOP data for DOMAIN\admin on KOLCENTRAL : Logging Mode
------------------------------------------------------------------

OS Configuration:            Member Server
OS Version:                  6.1.7601
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\admin
Connected over a slow link?: No

IP地址

 IPv4 Address. . . . . . . . . . . : 172.16.50.200(Preferred)
 Subnet Mask . . . . . . . . . . . : 255.255.255.0
 Default Gateway . . . . . . . . . : 172.16.50.254

 DNS Servers . . . . . . . . . . . : 172.16.50.7
                                     172.16.50.8

网站和服务：

我们已经Exchange 2010并且正在使用ExchangeandAD来存储phone numbers等contact information。这也与 同步SharePoint。当人员离开公司时，保留该联系信息的最佳方法是什么。理论上，他们的帐户会在他们离开后 5 分钟被禁用，因此禁用的帐户会从 GAL、地址列表等中删除。这种情况下的最佳方法是什么？出于其他目的可能需要联系此人。也许只是简单地将密码更改为困难的东西？

我是新手，Fibre Channel所以请考虑到这一点。我们有 3 台服务器。2 台服务器正在运行 Hyper-V，购买了第 3 台服务器作为这 2 台服务器的文件/备份服务器。所有服务器都在运行Windows 2012 STD。

我完成的步骤：

• 我已将服务器 A 和服务器 B 连接到服务器 C 上的一张 2 端口卡。
• 我已经在所有服务器上安装了名为 Windows Standards-Based Storage Management 的功能，但我没有看到任何变化
• 我在服务器 C 上创建了一个StoragePool和Virtual storage drives，我想将它共享到服务器 A 和服务器 B，但无论我做什么，我都无法在这些服务器上看到它们。

是否有类似 iSCSI Initiator 但用于光纤通道的东西？

我ADLDS是按照这篇博文配置的。我走得更远，并遵循了这篇关于允许内部用户访问的Microsoft 文章ADLDS，ADSI Edit但无论我做什么，我都被拒绝访问（只是不断询问我的登录名和密码）。我缺少一些神奇的东西吗？我可以从系统使用管理帐户登录。只是我按照描述设置的内部登录名和密码无法登录。

我忘记使用任何魔法了吗？:-)

我们有以下设置：

a) 物理服务器 Hyper-V

• 交换 2010 CAS 1
• 交换 2010 MBX 1

b) 物理服务器 Hyper-V

• 交换 2010 CAS 2
• 交换 2010 MBX 2

我们做备份。但为了绝对安全，我们想转移 Hyper-V 机器进行异地备份。由于我们的带宽有限，发送大量数据并不是最好的主意，所以我们考虑只发送一半的服务器 CAS 1 和 MBX1（或者甚至只发送 MBX 1），假设重新设置所有内容都需要一段时间.

所以问题是 MBX 1 或 MBX1/CAS 1 是否足以在真正的灾难发生时进行恢复？

有没有办法找出用户何时以及由谁添加到通讯组？可能通过 AD 或 Exchange 管理控制台？或者这些信息没有存储在任何地方？

KB2506143安装在Exchange 2010 SP2机器上Windows 2008 R2。由于无法安装，因为它们在启动某些WMF 3.0脚本时失败。正常情况假定卸载该补丁程序有效，并且您可以毫无问题地安装。但是就我而言，它没有用。我去了程序和功能并卸载了那个补丁，卸载后被要求重新启动。从重新启动返回后，它会再次重新启动，登录后 WMF 3.0 又回到那里。经过多次重试卸载后，我找到了解决方案，我将其作为答案发布以节省其他人的时间。Rollup UpdatesPowerShellRollup Updates for Exchange

我必须决定我的反向 DNS 是否应该匹配 SMTP 标语，但反向 DNS 到 DNS 和反之亦然保持不同，反之亦然。选择哪一个？

我有一个 2x Exchange 2010 服务器和一个带有 TMG 2010 的 SMTP 发件人。TMG 连接了 2 个链接，因此我们有 2 个独立的互联网提供商。问题是我无法控制 TMG 的行为，因为它随机选择了哪个链接用于发送电子邮件。

我有 2 条 MX 记录： - mail.test.com 解析为 IP，IP 解析为 mail.test.com - mail2.test.com 解析为 IP2，IP2 解析为 mail.test.com

这样做是为了防止 smtp 横幅问题，但如果另一端的服务器非常渴望进行比较，它会为反向 DNS 带来问题。但我已经与谷歌核实过，他们也没有处于完美状态。