Philip's questions

我已经阅读了一些关于 SF 的答案，但我离解决方案还差得远。我的问题似乎有点具体......

客户在端口 81 上访问网络服务器。随着 HTTPS 的总体趋势，该服务被升级并安装在标准端口 443 上。对我的故事至关重要的是，HSTS 在新的 HTTPS 网站上启用。

在端口 81 上，我们放置了一个简单的 Apache 重定向：

ServerName example.com
RewriteEngine on
RewriteCond %{SERVER_NAME} =example.com
RewriteRule ^ https://example.com/ [END,NE,R=permanent]

有效。访问http://example.com:81会自动重定向到https://example.com/

然而，多亏了 HSTS，它只工作一次。我想许多用户正在通过链接、书签、缓存的 Google 搜索进行访问……并自动被定向到http://example.com:81。甚至我的浏览器的自动完成功能仍然喜欢建议 :81 链接，所以我猜我不是唯一一个。

他们的浏览器具有有效的 HSTS 策略会对不安全的请求执行内部升级，从而导致浏览器向https://example.com:81发送请求。由于 SSL 错误而无法加载 - 端口未配置用于 SSL 流量。

因此，我需要一种将http://example.com:81和https://example.com:81重定向到https://example.com的方法

我见过 Webmin，当通过http://example.com:10000访问时，会给出一条自定义错误消息，说明该站点在 HTTPS 上处于活动状态，这是由 Webmin 而不是浏览器生成的。即使我可以让这样的页面加载并实现<meta>对新 URL 的刷新，当旧 URL 自行播放并从链接、缓存等中删除时，这仍然会取悦我们的用户。

我正在使用新发布的 Google Apps School Directory Sync 将学生和教职员工帐户从我们的学校管理系统同步到我们的 Google Apps for Education 域。

SDS 工具也是创建必要的类组。此过程运行良好，并且用户和组在 Google Apps 中正确形成。

有许多用户不在学校管理系统中。这些我已放置在一个文件夹中并创建了一个“子字符串”排除规则。根据需要从同步中忽略这些用户。

我在 Google Apps 上创建了一些在我们学校管理系统中不存在的组 - 特别是教职员工组和委员会组。我现在需要一种方法来将这些组排除在删除之外。

所有 GASDS 创建的组都以school-. 本质上，我想排除所有不以school-.

我的第一次尝试是为组电子邮件地址输入 RegEx 排除项：^school-.*@schooldomain.edu. 我也尝试过没有域：^school-.*.

使用“模拟同步”选项，SDS 工具指示我手动创建的组将被删除。

如何输入这些排除规则以确保我的手动组（以及任何将来手动创建的组）的安全？

我管理着一个相当小的网络（150 台机器左右）。我们为网络上的所有机器设置了一个 DHCP 服务器，并在整个范围内设置了一个禁区，这样只有已知的机器才能获得 IP 地址，从而获得网络访问权限。

但是，这种做法是希望通过默默无闻来获得安全性。

有可能通过插入具有自己配置的 IP 地址的外部设备，其他机器可以进入网络。

有什么办法可以防止这种情况发生吗？有没有办法让网络上的机器忽略来自未被 DHCP 分配地址的计算机的流量？

我是南非一所高中的网络管理员，在 Microsoft 网络上运行。我们在校园内大约有 150 台 PC，其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。

目前，我们的 Wi-Fi 访问仅限于这些员工所在的几个地点。我们正在使用带有长密钥的 WPA，学生无法使用该密钥。据我所知，这把钥匙是安全的。

然而，使用 RADIUS 身份验证会更有意义，但我对它在实践中的工作方式有一些疑问。

1. 添加到域的机器是否会自动通过 Wi-Fi 网络进行身份验证？还是基于用户？可以两者兼得吗？
2. 如果使用 RADIUS 身份验证，PSP / iPod touch / Blackberry / 等设备是否能够连接到 WiFi 网络？我希望这发生。

我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。

考虑到移动设备的要求，使用强制门户会更好吗？我从机场的经验中知道这是可以做到的（如果设备有浏览器）。

这让我想到了关于强制门户的问题：

1. 我可以将强制门户限制为仅连接 Wi-Fi 的设备吗？我并不特别想为所有现有的网络机器设置 MAC 地址例外（在我的理解中，它只会增加 MAC 地址欺骗的机会）。
2. 这是怎么做到的？我是否有单独的 WiFi 访问设备地址范围，然后强制门户会在两个网络之间路由？重要的是要强调 WAP 与其他不被强制门户的机器共享一个物理网络。

您的经验和见解将不胜感激！

菲利普

编辑：为了更清楚地了解强制门户是否可行，我问了这个问题。

我不是 Exchange 爱好者：基于规则的自动转发在我们的组织内部工作，但自动转发到外部地址却不行。

我在一所小型学校（400 名学生，150 台机器）工作，从外部访问我们的网络有限。学生都有内部电子邮件地址，教职员工经常使用这些地址。然而，从校外检查他们的邮件通常很困难，而且只是添加了一个额外的地址。一个号码设置了自动转发规则，但没有一个有效。也没有生成错误报告（我可以看到）。

任何从哪里开始寻找的想法将不胜感激。

编辑：正如标题中所建议的，内部自动转发确实有效。

我们的网络目前在一个 192.168.0.x 子网上工作，除了少数具有硬配置 IP 地址设置的主服务器外，所有这些都通过 DHCP 控制。

如果我将 DHCP 发布的子网掩码从 255.255.255.0 更改为 255.255.0.0，我会杀死什么？

这样做的原因不是因为我们突然涌入大量机器，而是因为我想开始将特定设备划分为特定的 IP 范围（为了整洁）。对于它的价值，我不打算更改分配的 DHCP 地址范围，而是想将一些保留和排除的 DHCP 地址移出地址池。

例如打印机将是 192.168.2.x

我显然需要在手动配置的设备上手动更改子网掩码。