Chris Woelkers's questions

我们正在使用 Windows 来托管我们的内部 CA 服务器，用于所有内部 Web 服务器和其他 TLS 安全服务证书。在升级到服务器 2022 之前，如果我没记错的话，从 2016 年开始，我能够通过桌面向 CA 提交证书请求（因为未设置 IIS），并获得颁发的证书。由于这些证书中有许多是用于 Linux 服务的，并且请求是通过 OpenSSL 或 Java 创建的，因此我使用带有以下命令的批处理文件来启动该过程：certreq -attrib "CertificateTemplate:WebServer"。
升级后，我在尝试颁发证书时收到以下错误。Certificate not issued (Denied) Denied by Policy Module The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED)

我确实找到了这个4sysops.com页面，根据我的理解，我需要将发出请求的计算机添加到模板的安全页面，并赋予其读取和注册权限。有问题的计算机是 Linux 计算机，其中许多不在 AD 中，包括我试图为其获取证书的计算机，所以我无法将该系统添加到安全设置中。我确实尝试将 CA 服务器和域计算机组添加到模板安全设置中，但没有发生任何变化。我还验证了域管理员组（我的帐户是其成员）已分配读取和 *注册权限。

现在，问题是。我该如何解决这个问题？我需要将系统添加到 AD 吗？我可以更改某个设置来避免这种情况吗？如果不可能，我是否需要在 Linux 机器上为这些非 AD 系统设置子 CA？

编辑：为模板添加了我的帐户权限信息。

我正在将一台服务器从 CentOS 7“升级”到 Rocky 8。该服务器是一台 1U Supermicro SYS-1029U-TRT，作为 HPC 的一部分工作，并具有两个以太网和一个 Infiniband 网络接口。其中一个以太网接口用于HPC，另一个用于服务器机房网络和互联网接入。在启动 CentOS 服务器的虚拟机副本后，我开始全新安装 Rocky 8。我重复使用了之前的分区表和 mdadm RAID，它们已配置并格式化了每个分区。安装并初始设置网络接口后，服务器在通过“外部”接口处理任何网络流量时速度异常缓慢。这个问题在 CentOS 下从来不明显，并且有多种症状。

• DNS 查询未完成。当在本地网络上的主机上运行 ping 或尝试通过 curl 或 wget 从 Internet 或本地 Web 服务器下载文件时，这种情况尤其明显。
• 仅使用 IP 来往服务器的 ping 操作要么会失败，要么会在一些（通常是大约 4 个）数据包失败后开始工作。
• 与服务器的 SSH 连接大多会失败，并尝试获取密码提示，但登录从未完成。

我已尝试了许多故障排除步骤，但尚未得到明显的修复。

• 我验证了 IP 设置、路由表和 resolv.conf 均正确。
• 我断开了两个 HPC 网络接口。我还尝试了连接但停用、没有配置的接口以及连接和配置的接口。
• 我验证了以太网驱动程序对于硬件来说是正确的。该系统包括两个 10Gbps Intel X540-AT2 接口，该接口使用内核的 ixgbe 驱动程序。我还下载并安装了最新版本的英特尔驱动程序。
• 我确认交换机端口配置正确，包括 VLAN 和 MTU 设置。
• 我通过与服务器之间的 ping 测试测试了其他两个接口，都没有显示任何问题。
• 我断开了接口与常用交换机的连接，并使用新电缆将其连接到同一 VLAN 上的附近交换机。

这些步骤都没有改变任何事情。我没有想法，正在寻找发生这种情况的进一步可能原因。如果需要任何信息，我很乐意根据要求添加。

安装 CentOS 7 时未报告的先前问题是，有时 SSH 连接会“暂停”长达一分钟，然后才能再次使用。这与当前的问题类似，让我认为这是一个硬件问题。

以下是一些 ip 命令输出、ip a 和 ip Route，以显示如何配置。此外，在 nmtui 中配置时，我在 eno2 和 ib0 连接上启用了“从不使用此网络作为默认路由”、“忽略自动获取的路由”和“忽略自动获取的 DNS 参数”设置。eno1 连接上未启用这些设置。

[root@hostname ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ac:1f:6b:c9:b3:6e brd ff:ff:ff:ff:ff:ff
    altname enp24s0f0
    inet 10.0.21.150/22 brd 10.0.23.255 scope global noprefixroute eno1
       valid_lft forever preferred_lft forever
3: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ac:1f:6b:c9:b3:6f brd ff:ff:ff:ff:ff:ff
    altname enp24s0f1
    inet 10.33.0.110/22 brd 10.33.3.255 scope global noprefixroute eno2
       valid_lft forever preferred_lft forever
4: ib0: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 4092 qdisc mq state UP group default qlen 256
    link/infiniband 00:00:01:20:fe:80:00:00:00:00:00:00:0c:42:a1:03:00:c0:af:08 brd 00:ff:ff:ff:ff:12:40:1b:ff:ff:00:00:00:00:00:00:ff:ff:ff:ff
    inet 10.33.4.110/22 brd 10.33.7.255 scope global noprefixroute ib0
       valid_lft forever preferred_lft forever
[root@hostname ~]# ip route
default via 10.0.20.1 dev eno1 proto static metric 100
10.0.20.0/22 dev eno1 proto kernel scope link src 10.0.21.150 metric 100
10.33.0.0/22 dev eno2 proto kernel scope link src 10.33.0.110 metric 101
10.33.4.0/22 dev ib0 proto kernel scope link src 10.33.4.110 metric 150

Edit1：添加了更多信息，CentOS 问题。
Edit2：添加了请求的 ip 命令输出和一些 nmtui 设置。

我有一个带有三个 SAS HBA 卡的 NAS 服务器。两个是 SAS3 并且工作正常，它们连接到三个 48 驱动器 JBOD 机柜。第三个是SAS2，连接一个带5个驱动器的磁带机械手，不工作。

服务器是 Supermicro SYS-2029U-TR4T。有问题的 SAS2 HBA 卡是 LSI 9201-16e。该服务器正在运行具有最新更新的 CentOS 7，截至本文。

我尝试将卡移动到不同的 PCIe 插槽，我能做的最好的就是让它出现在 lspci 中。在某些插槽中，操作系统甚至无法识别它。当在 lspci 中列出时，操作系统会尝试加载 mpt2sas 驱动程序，但该驱动程序失败并显示以下输出：

[ 4401.676636] mpt2sas version 20.103.01.00 loaded
[ 4401.677574] mpt2sas 0000:5e:00.0: can't disable ASPM; OS doesn't have ASPM control
[ 4401.677930] mpt2sas_cm0: 64 BIT PCI BUS DMA ADDRESSING SUPPORTED, total mem (791000116 kB)
[ 4401.732434] mpt2sas_cm0: CurrentHostPageSize is 0: Setting default host page size to 4k
[ 4401.732450] mpt2sas_cm0: MSI-X vectors supported: 1
[ 4401.732454] mpt2sas_cm0:  0 1
[ 4401.732548] mpt2sas 0000:5e:00.0: irq 571 for MSI/MSI-X
[ 4401.732637] mpt2sas_cm0: High IOPs queues : disabled
[ 4401.732639] mpt2sas0-msix0: PCI-MSI-X enabled: IRQ 571
[ 4401.732642] mpt2sas_cm0: iomem(0x00000000c5ec0000), mapped(0xffffc243e3960000), size(16384)
[ 4401.732643] mpt2sas_cm0: ioport(0x0000000000009000), size(256)
[ 4401.787430] mpt2sas_cm0: CurrentHostPageSize is 0: Setting default host page size to 4k
[ 4402.306189] mpt2sas_cm0: reply pool: dma_pool_alloc failed
[ 4413.653575] mpt2sas_cm0: failure at drivers/scsi/mpt3sas/mpt3sas_scsih.c:10651/_scsih_probe()!

尝试列出具有 sas2flash 版本 20.00.00.00 的卡失败并显示“未找到 LSI SAS 适配器！”

有什么想法吗？

我们决定用一个类似的 12TB 驱动器系统替换我们老化的主 NAS，该系统由三个 48 驱动器 SAS 扩展器和 4TB 驱动器组成，同时重复使用大约一年前添加的一些较新的硬件、一个扩展器和 SAS 卡。做出决定是为了使事情尽可能简单和便宜，同时最终不占用任何额外的机架空间。

新硬件到货了，服务器和两个扩展器，并设置了 Debian Buster 和 buster-backports 存储库中可用的 ZFS。ZFS 池是使用两个 U.2 SSD 驱动器的镜像创建的，其中两个 U.2 SSD 驱动器用于缓存，另外两个 U.2 SSD 驱动器用于缓存，4 个 HDD 备用（每个扩展器 2 个）和 12 个 RAID-Z2 RAID，每个 7 个驱动器（每个扩展器 6 次袭击）。一切看起来都不错，我开始使用脚本将数据从旧 NAS 复制到这个，该脚本利用了增量快照、zfs 发送和 zfs 接收。

脚本的第一次运行花了很多天，但最终完成了。两端都没有问题。第二次运行也很有效。然后在第三次之后，ZFS 池出现了许多问题。在 4 次袭击中，大量磁盘的状态变为不可用或失败，所有 4 个备用磁盘都自动投入使用。zpool status 的输出如下。

# zpool status
  pool: bigvol
 state: DEGRADED
status: One or more devices is currently being resilvered.  The pool will
    continue to function, possibly in a degraded state.
action: Wait for the resilver to complete.
  scan: resilver in progress since Thu Jan 28 09:55:20 2021
    160T scanned at 11.5G/s, 151T issued at 10.8G/s, 160T total
    4.99T resilvered, 94.53% done, 0 days 00:13:46 to go
config:

    NAME                                           STATE     READ WRITE CKSUM
    bigvol                                         DEGRADED     0     0     0
      raidz2-0                                     ONLINE       0     0     0
        scsi-35000c500cacd481b                     ONLINE       0     0     0
        scsi-35000c500cacceddb                     ONLINE       0     0     0
        scsi-35000c500cacd5c4b                     ONLINE       0     0     0
        scsi-35000c500cacd19cb                     ONLINE       0     0     0
        scsi-35000c500cacd0f4f                     ONLINE       0     0     0
        scsi-35000c500cacd5efb                     ONLINE       0     0     0
        scsi-35000c500cacd133f                     ONLINE       0     0     0
      raidz2-1                                     ONLINE       0     0     0
        scsi-35000c500cab6617f                     ONLINE       0     0     0
        scsi-35000c500cacd131b                     ONLINE       0     0     0
        scsi-35000c500cacd1637                     ONLINE       0     0     0
        scsi-35000c500cacd0dd3                     ONLINE       0     0     0
        scsi-35000c500cab64247                     ONLINE       0     0     0
        scsi-35000c500cacd5f4b                     ONLINE       0     0     0
        scsi-35000c500cacd206b                     ONLINE       0     0     0
      raidz2-2                                     ONLINE       0     0     0
        scsi-35000c500cacd251f                     ONLINE       0     0     0
        scsi-35000c500cacf60a7                     ONLINE       0     0     0
        scsi-35000c500cacd55cb                     ONLINE       0     0     0
        scsi-35000c500cacd3a5f                     ONLINE       0     0     0
        scsi-35000c500cacd0fa7                     ONLINE       0     0     0
        scsi-35000c500cacd4cb3                     ONLINE       0     0     0
        scsi-35000c500cacd2edf                     ONLINE       0     0     0
      raidz2-3                                     DEGRADED     0     0     0
        scsi-35000c500cacd1627                     ONLINE       0     0     0
        scsi-35000c500cacd049f                     ONLINE       0     0     0
        scsi-35000c500cacdf9d3                     ONLINE       0     0     0
        scsi-35000c500cab51563                     DEGRADED     0     0     1  too many errors  (resilvering)
        scsi-35000c500cacd1c9b                     DEGRADED     0     0     0  too many errors
        scsi-35000c500cacdf757                     FAULTED      0    10    48  too many errors  (resilvering)
        scsi-35000c500cacd291b                     FAULTED      0    11    31  too many errors  (resilvering)
      raidz2-4                                     DEGRADED     0     0     0
        spare-0                                    DEGRADED     0     0    11
          scsi-35000c500cacdb54f                   FAULTED      0    18     0  too many errors  (resilvering)
          scsi-35000c500cacdc907                   DEGRADED     0     0     0  too many errors  (resilvering)
        scsi-35000c500cacd2c77                     DEGRADED     0     0     4  too many errors
        scsi-35000c500cacdbdd3                     DEGRADED     0     0    12  too many errors  (resilvering)
        scsi-35000c500cacd0a47                     DEGRADED     0     0     7  too many errors  (resilvering)
        scsi-35000c500cacdf107                     DEGRADED     0     0     4  too many errors  (resilvering)
        scsi-35000c500cacd59fb                     DEGRADED     0   195    79  too many errors  (resilvering)
        scsi-35000c500cacd5307                     DEGRADED     0   177    30  too many errors  (resilvering)
      raidz2-5                                     DEGRADED     0     0     0
        spare-0                                    DEGRADED     0     0    15
          scsi-35000c500cacd03a3                   FAULTED      0    12     0  too many errors  (resilvering)
          scsi-35000c500cacd340b                   ONLINE       0     0     0
        scsi-35000c500cacd29d7                     FAULTED      0    21    24  too many errors  (resilvering)
        scsi-35000c500cacd23d7                     DEGRADED     0     0    11  too many errors  (resilvering)
        scsi-35000c500cacd1c27                     DEGRADED     0     0    29  too many errors  (resilvering)
        spare-4                                    DEGRADED     0     0    32
          scsi-35000c500cacd26bb                   FAULTED      0    31     0  too many errors  (resilvering)
          scsi-35000c500cacd299f                   DEGRADED     0     0     0  too many errors  (resilvering)
        scsi-35000c500cacd258b                     DEGRADED     0   207    63  too many errors  (resilvering)
        spare-6                                    DEGRADED     0     0    24
          scsi-35000c500cacdf867                   FAULTED      0    15     0  too many errors  (resilvering)
          scsi-35000c500cacd60ef                   ONLINE       0     0     0
      raidz2-6                                     DEGRADED     0     0     0
        scsi-35000c500cacd2e37                     ONLINE       0     0     0
        scsi-35000c500cacd0ecf                     ONLINE       0     0     0
        11839096008852004814                       UNAVAIL      0     0     0  was /dev/disk/by-id/scsi-35000c500cacd1f8f-part1
        scsi-35000c500cacd088b                     ONLINE       0     0     0
        scsi-35000c500cacd28df                     ONLINE       0     0     0
        scsi-35000c500cacd068b                     ONLINE       0     0     0
        scsi-35000c500cacdbd77                     ONLINE       0     0     0
      raidz2-7                                     ONLINE       0     0     0
        scsi-35000c500cacd040b                     ONLINE       0     0     0
        scsi-35000c500cacd16bb                     ONLINE       0     0     0
        scsi-35000c500cacd4d37                     ONLINE       0     0     0
        scsi-35000c500cacd1b57                     ONLINE       0     0     0
        scsi-35000c500cacd0453                     ONLINE       0     0     0
        scsi-35000c500cacd3f6b                     ONLINE       0     0     0
        scsi-35000c500cacd0297                     ONLINE       0     0     0
      raidz2-8                                     ONLINE       0     0     0
        scsi-35000c500cacd4bcb                     ONLINE       0     0     0
        scsi-35000c500cacd36cf                     ONLINE       0     0     0
        scsi-35000c500cacd1983                     ONLINE       0     0     0
        scsi-35000c500cacd3aaf                     ONLINE       0     0     0
        scsi-35000c500cacda90b                     ONLINE       0     0     0
        scsi-35000c500cacd0d53                     ONLINE       0     0     0
        scsi-35000c500cacdaa1f                     ONLINE       0     0     0
      raidz2-9                                     ONLINE       0     0     0
        scsi-35000c500cacd3f13                     ONLINE       0     0     0
        scsi-35000c500cacd3187                     ONLINE       0     0     0
        scsi-35000c500cacd59a3                     ONLINE       0     0     0
        scsi-35000c500cacd0913                     ONLINE       0     0     0
        scsi-35000c500cacdf663                     ONLINE       0     0     0
        scsi-35000c500cacd156b                     ONLINE       0     0     0
        scsi-35000c500cacd203f                     ONLINE       0     0     0
      raidz2-10                                    ONLINE       0     0     0
        scsi-35000c500cacd4c97                     ONLINE       0     0     0
        scsi-35000c500cacd58a3                     ONLINE       0     0     0
        scsi-35000c500cacd2353                     ONLINE       0     0     0
        scsi-35000c500cacd3f67                     ONLINE       0     0     0
        scsi-35000c500cacd235f                     ONLINE       0     0     0
        scsi-35000c500cacdf14f                     ONLINE       0     0     0
        scsi-35000c500cacd2583                     ONLINE       0     0     0
      raidz2-11                                    ONLINE       0     0     0
        scsi-35000c500cacd2f87                     ONLINE       0     0     0
        scsi-35000c500cacdb557                     ONLINE       0     0     0
        scsi-35000c500cacd00f3                     ONLINE       0     0     0
        scsi-35000c500cacd3ea7                     ONLINE       0     0     0
        scsi-35000c500cacd23ff                     ONLINE       0     0     0
        scsi-35000c500cacd09d3                     ONLINE       0     0     0
        scsi-35000c500cacd3adb                     ONLINE       0     0     0
    logs    
      mirror-12                                    ONLINE       0     0     0
        nvme-eui.343842304db011100025384700000001  ONLINE       0     0     0
        nvme-eui.343842304db011060025384700000001  ONLINE       0     0     0
    cache
      nvme-eui.343842304db010920025384700000001    ONLINE       0     0     0
      nvme-eui.343842304db011080025384700000001    ONLINE       0     0     0
    spares
      scsi-35000c500cacdc907                       INUSE     currently in use
      scsi-35000c500cacd299f                       INUSE     currently in use
      scsi-35000c500cacd340b                       INUSE     currently in use
      scsi-35000c500cacd60ef                       INUSE     currently in use

errors: No known data errors

出于显而易见的原因，我已停止传输，并正在等待重新同步结束，然后再更换 FAULTED 和 UNAVAIL 驱动器。但是我想知道是否应该更换 DEGRADED 驱动器？另外，如果有人知道为什么会发生这种情况？（除了一组坏驱动器的可能性之外。）或者我只需要杀死池并更换驱动器。无论哪种方式，我都认为必须再次复制数据。

所以我有一个 Apache 2.4 服务器。它目前通过 SSL 提供页面，带有 Comodo 证书，在 htpasswd 登录后面。

家里有一些电脑不断地访问这个服务器。我想创建一些 SSL 客户端证书并将它们安装在计算机上，这样用户就不必每次都登录。我找到了这个基本的操作方法：http ://www.garex.net/apache/ ，为了创建客户端证书，我对其进行了一些修改。不过，我还没有在 Apache 中实现这些证书。

我需要知道的是我是否可以同时拥有 Comodo 的 SSL 证书以及带有其客户端证书的内部 CA。一个会覆盖或与另一个冲突吗？

首先，快速解释基本问题。我得到了一份系统管理员的新工作，并继承了使用 ZFS 作为共享数据基础的文件服务器。该池包括许多文件系统，但没有卷。最近服务器上的 Samba 共享停止工作，这似乎是一个身份验证问题。我们正在与提供 AD 身份验证集成的 Centrify 合作找出原因。

在我们等待的时候，已经过了一周，所以用户变得非常不安，管理层也开始盯着我们看，我们一直在尝试想出一种以另一种方式共享数据的方法。

我们发现 Centrify Samba 共享在 Debian 8.4 上运行良好。此时，我们想设置另一台服务器来临时分发 Samba 共享。这第二台服务器将需要连接到主文件服务器。NFS 和 iSCSI 都已讨论过，但都存在问题。

根据我的研究，当 NFS 挂载通过 Samba 共享时，NFS 会出现性能、权限甚至数据验证问题。它可以工作，但似乎不是最好的解决方案。另一方面，iSCSI 听起来效果很好，但似乎需要 ZFS 卷而不是文件系统。

所以问题如下。

ZFS 文件系统可以用作 iSCSI 目标吗？

ZFS 文件系统可以转换为 ZFS 卷吗？

还是 NFS 解决方案在这种临时情况下效果最好？

我为我们的网站获得了一些适当的 SSL 证书。我能够安装它们，并且 HTTPS 端的测试效果很好。剩下的唯一一件事就是将所有 HTTP 流量重定向到 HTTPS，然后事情就变得一团糟。

我在我的区域添加了以下行<VirtualHost *:80>：

Redirect permanent / https://www.website.com/

这以两种方式引起了一些有趣的行为。首先是网站内所有指向网站内不同目录的绝对链接都失败了。例如，指向的链接http://www.website.com/directory最终会出现https://www.website.comdirectory强制性的“无法访问此站点”错误。直接输入 URLhttp://www.website.com/directory将产生相同的行为。

用这个替换 Redirect 语句会更好吗？

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/%$1 [R,L]

还是需要其他东西？