サーバー管理者

私が管理するActive Directory DNSサーバーのいずれかの条件付きフォワーダーのアイコンには、標準の警告アイコン（感嘆符付きの黄色の三角形）オーバーレイがあります（無実を保護するためにすべての名前が変更されています）。 付属の.chmドキュメントを精巧に調べ、指先が痛くなるまでグーグルとグーグルで細かい歯の櫛でTechnetドキュメントをふるいにかけましたが、これが何を意味するのか説明がどこにも見つかりませんでした。プロパティの詳細ペインを見ると、手がかりが得られません。 DHCPコンソールには、便利なアイコンリファレンスがありますが、DNSマネージャーに似たものは見つかりません。 ここにいくつかのコンテキストがありますが、このアイコンの意味とDNSマネージャーのアイコン参照があるかどうかに特に焦点を当てたいと思います。 数日前、他の2つのフォレストにあるいくつかのDNSサーバー上の特定のドメインのコンディショナルフォワーダーリストにIPアドレスを追加しました（これをdifferentdomain.comと呼びます）。（条件付きフォワーダーは、Active Directoryを介した複製ではなく、DNSサーバーごとに構成されます）。 すべてが正常に機能していましたが、今日、変更を行ったDNSサーバーの1つがdifferentdomain.comのホスト名を解決していません。そのドメイン内のホスト名の場合、nslookupはエラーをスローします *** dc-with-adi-zone.companydomain.comは、hostname.differentdomain.comが見つかりません：存在しないドメイン 私が同じ変更を行った他のDNSサーバーはどれもこの問題を抱えておらず、それらはすべて異なる domain.comに対してまったく同じ条件付きフォワーダー構成を持っています。問題が発生しているサーバーには、他のいくつかの条件付きフォワーダーが構成されており、それらのいずれにも問題はありません。

15 windows  domain-name-system  windows-server-2003  windows-dns 

私はこれを理解しようとして数日間頭を壁にぶつけていました：私のifconfigは： eth0 Link encap:Ethernet HWaddr 00:50:56:BB:XX:XX inet addr:192.168.36.132 Bcast:192.168.37.255 Mask:255.255.254.0 eth1 Link encap:Ethernet HWaddr 00:50:56:BB:XX:XX inet addr:116.xx.xx.xx Bcast:116.xx.xx.xx Mask:255.255.255.192 eth0から出るために静的ルートを追加しようとすると、次のエラーが表示されます。 servername-test:/ # route add -net 10.248.12.0 netmask 255.255.255.240 gw 192.168.36.254 dev eth0 SIOCADDRT: Network is unreachable 私のデフォルトゲートウェイは次のとおりです。 servername-test:~ # netstat -anr Kernel IP routing table Destination Gateway Genmask Flags MSS …

15 networking  linux-networking  route 

Windows Server 2012 R2およびWindows Server 2008 R2を使用します。 というフォルダC:\temp\testがSYSTEMあり、ユーザーとすべてのファイルとサブディレクトリへのアクセスを許可し、他のすべてを削除します。私はこのコマンドを試しましたが、既存のアクセス許可はすべて残ります。 既存の権限は次のとおりです。 Access : NT AUTHORITY\SYSTEM Allow FullControl BUILTIN\Administrators Allow FullControl BUILTIN\Users Allow ReadAndExecute, Synchronize BUILTIN\Users Allow AppendData BUILTIN\Users Allow CreateFiles CREATOR OWNER Allow 268435456 を除くすべてのACLを削除しSYSTEM、追加したい<DOMAIN>\<USER> 私はこのコマンドを試しました： icacls c:\temp\test /grant:r <DOMAIN>\<USER>:(OI)(CI)F /t processed file: c:\temp\test Successfully processed 1 files; Failed processing 0 files …

15 windows-server-2008-r2  windows  windows-server-2012-r2  icacls 

Novel eDirectory 8.8サーバーへのldaps接続を行おうとするTLS_REQCERT neverと、クライアントサーバーのldap.confファイルを入れなければならないことがあります。明らかに、これは悪い考えです。 私が実行するコマンドは、実際に機能する資格情報を持つこのようなものです... ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" Ubuntu 13.10では正常に動作します。 SLESでは正常に動作します。 CentOS 6.5では以下を返します。 ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 今、私がインポートした証明書はDigiCertから購入したワイルドカード証明書です。私の同僚は、一部のシステムにワイルドカードに関する問題があることを示すレポートを見つけました。 だから、ワイルドカード証明書は非難するのですか？その場合、どうすれば修正できますか？ ワイルドカード証明書でない場合、それは何ですか？ Andrew Schulmanの提案に従って-d1、ldapsearchコマンドに追加しました。ここに私が終わったものがあります： ldap_url_parse_ext(ldaps://ldap.example.org) ldap_create ldap_url_parse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepare_socket: …

15 ssl-certificate  ldap  edirectory 

私はコンピューターのセキュリティの最強の背景を持っていませんが、昨日、会社のサーバーの1つがホストによってシャットダウンされました。 WebサイトやAPIを含むいくつかのWebサービスアプリケーションをホストするパブリックIPが割り当てられたサーバーです。私のサーバーは「サービス拒否攻撃を外部エンティティに中継するために使用されているオープンDNSリゾルバを実行している」と言われました。 これは何を意味するのでしょうか？この攻撃はどのように機能しますか？そして、このようにシステムが悪用されないようにするにはどうすればよいですか？ 私の場合、問題のサーバーはWindows Server 2012上にあり、Active DirectoryドメインのDNSを提供しています。

15 domain-name-system  active-directory  windows-server-2012  ddos  security 

（非常に）大きなプロセスがクラッシュしてコアをダンプしており、他の情報（おそらくアサートメッセージ、または何か他のもの）から原因がわかっているとします。 この場合は無駄であるため、コアダンプが完全に生成されるのを停止する方法はありますか？ たとえば、コアダンププロセスの-9を強制終了すると、コアファイルの生成が中断されますか？ 明らかに、コアダンプが不要であることを事前に知っている場合は、ulimitを適切に設定するか、OSのさまざまなコアファイル制御ユーティリティを使用できます。 しかし、この質問は「すでに進行中のコアダンプ」段階に関するものです... （たとえば、私が/programming/18368242/how-to-bypass-a-2tb-core-dump-file-system-limitのリクエスターで あり、5を無駄にしたくないと想像して ください -6 TBのディスク容量:)）

15 linux  unix  dump 

ホスト上に複数のLXCコンテナをセットアップしようとしています。各コンテナには独自のパブリック静的IPがあります。 私のホストは最新のUbuntuを実行しています。eth0という名前の単一のネットワークインターフェイスがあります。静的IPはインターネットからping可能で、名前はeth0：210、eth0：211 ...です。コロンの後の数字はアドレスの最下位バイトです。これらのインターフェイスに加えて、ホストのパブリックIPにbr0セットアップがあります。lo、veth2LPP9A、およびlxcbr0インターフェイスもあります。lxcbr0にはプライベートIPのアドレスがあります。 ホスト/ etc / network / interfacesは次のようになります。 auto br0 iface br0 inet static bridge_ports eth0 bridge_fd 0 [...] これまで、さまざまなオンラインソースを使用してeth0をホストするLXCコンテナーのブリッジングを行い、パブリックIPを使用してセットアップを支援できるようにしました。 コンテナの設定ファイルには次のものがあります。 lxc.network.type = veth lxc.network.link = br0 問題が発生したため、このファイルから静的lxc.network.ipv4構成を削除しました。この構成でlxc-ls --fancyを実行すると、出力に同じパブリックIPが2回表示されます。さらに、コンテナの/ etc / network / interfacesのサブネット構成を台無しにします。 コンテナのinterfacesファイルといえば、次のようなものです。 auto eth0 iface eth0 inet static address [...] netmask 255.255.255.255 #gateway [...] dns-nameservers 8.8.8.8 …

15 networking  bridge  static-ip  lxc 

CNAMEワイルドカードサポートがあるため、Amazon CloudFrontを介して動的なウェブサイトをホストできます。ただし、私のサイトの一部のページはHTTPSを使用しています。Amazonには、SSL証明書をCloudFrontディストリビューションに関連付ける方法に関するドキュメントがいくつかありますが、価格は月額600ドルであることが示されています。 私の質問は... HTTPリクエストがCloudFrontから提供されるようにCloudFrontを構成することは可能ですが、HTTPSリクエストはCloudFrontによって無視され、オリジンに直接渡されます（私の場合、追加費用なしでSSLを復号化できるElastic Load Balancer） ？

15 ssl  https  amazon-elb  amazon-cloudfront 

*解決済み-この投稿の下部を参照* ここでの問題は、私が数日間ドメインキーを設定しようとしていることです。私は過去に成功しましたが、今回はそれを機能させることができません。 現在私が取り組んでいる問題は、DNSレコードでドメインキーを検索しようとしても、何も表示されないことです。たとえば、protodaveに移動して、ドメインでセレクター（デフォルト）を検索すると、次のようになります。 DNS QUERY: default._domainkey.palabama.com QUERY STATUS: No DNS TXT Record found TXT RECORD: レコードを掘ろうとすると、回答セクションが表示されません。 DKIMcoreにアクセスすると、次のものが得られます。 This is not a good DKIM key record. You should fix the errors shown in red. DNS query failed for 'default._domainkey.palabama.com':NOERROR A public-key (p=) is required つまり、割り当てられたDNS（namecheap）である私の登録者のDNSにDKを設定しました。 いくつかの異なる試行の後、ここにnamecheapの私のセットアップがあります default._domainkey.mail.palabama.com. TXT v=DKIM1; g=*; k=rsa; …

15 domain-name-system  dkim 

背景調査 私は正直、このような質問を信じています：Active DirectoryドメインでGPOを使用して、ワークステーションのWindowsファイアウォールを強制的に無効にします-方法は？一般的にWindows管理者が次のことを教えられたために存在していました。 「ドメインコンピュータを扱う場合に最も簡単なことは、ドメインにGPOを配置してWindowsファイアウォールを無効にすることです。これにより、最終的には心痛がはるかに少なくなります。」-過去のランダムなITインストラクター/メンター また、MOST企業でこれについて副次的な作業を行った場合、GPOがドメインプロファイルのWindowsファイアウォールを少なくとも無効にし、最悪の場合パブリックプロファイルでも無効にしたということがあります。 さらに、サーバー自体に対して無効にするユーザーもいます。WindowsServer 2008 R2上のすべてのネットワークプロファイルのファイアウォールをGPO経由で無効にします Windowsファイアウォールに関するMicrosoft Technetの記事では、Windowsファイアウォールを無効にしないことを推奨しています。 セキュリティが強化されたWindowsファイアウォールは、コンピューターをセキュリティの脅威から保護する上で重要な役割を果たすため、同等のレベルの保護を提供する信頼できるベンダーの別のファイアウォールをインストールしない限り、コンピューターを無効にしないことをお勧めします。 このServerFaultの質問は本当の質問です。グループポリシーを使用してLAN内のファイアウォールをオフにしても大丈夫ですか？-そして、ここの専門家は彼らの見解でさえ混同しています。 また、サービスの無効化/有効化について言及していないことを理解してください。Windowsファイアウォールサービスを無効にしないように推奨事項をバックアップするにはどうすればよいですか？-これは、ファイアウォールサービスがファイアウォールを有効にするか無効にするかに関することであることを明確にするためです。 手元の質問 だから私はこの質問のタイトルに戻ります... ドメインのWindowsファイアウォールを適切に再度有効にするために何ができますか？ 特にクライアントワークステーションとそのドメインプロファイル用。 GPOを単に無効から有効に切り替える前に、スイッチを切り替えても重要なクライアント/サーバーアプリケーション、許容トラフィックなどが突然失敗しないようにするために、どのような計画手順を実行する必要がありますか？ ほとんどの場所では、ここで「変更してヘルプデスクに電話をかける」という考え方を容認しません。 このような状況を処理するために、Microsoftから利用可能なチェックリスト/ユーティリティ/手順はありますか？あなたは自分でこの状況にあり、どのように対処しましたか？

15 group-policy  windows-firewall 

現在、私はresolv.conf次のような単純なバニラLinux構成を使用しています： nameserver 123.123.123.123 nameserver 8.8.8.8 123.123.123.123がダウンすると、DNSクエリが遅くなり不可能になるため、Linuxは毎回最初のクエリを再試行すると想定しています。これについてLinuxを賢くする方法はありますか？ヘルスチェックか何か？または、どのように機能するかを誤解していますresolv.confか？

15 linux  domain-name-system  resolv.conf 

私の答えを結論付けるのに苦労しています。 私はオーストラリアの潜在的に大規模なサイトの開発を担当しています。ここでのタスクはサーバーの選択です。すべての機能を備えたシステムを構築するには、強力なサーバーが必要です。 個人的には、オーストラリア以外のホストでより良い経験をしました。また、オーストラリアのサービスのコストは、世界の他の地域よりもかなり高くなっています。 したがって、私の質問は、サーバーからクライアントマシンまでの距離がウェブサイトを提供するときに本当に重要ですか？私が読んだことから、それは大きな影響を与えません。 どこでもホストできる24時間のサポートが必要になることを考慮してください。また、オーストラリアから外部に調達することにより、より多くのお金を得ることができます。したがって、サーバーの電力を増やす余裕があります。 サイトは.com.auで実行されるため、そのドメインを指す必要があります。オーストラリアでホストする必要がありますか？

15 geolocation 

このコマンドは、DNS.EXEによって開いているすべてのUDPポートをクリアします net stop dns DNSサービスを再起動すると、DNS.EXEは5000以上のポートを割り当てます。 net start dns 大量のメモリやCPUを消費しません。しかし、タイムアウトのためにサーバーへの多くのhttp / smtp / pop3接続の問題に気づいた/警告しました。DNS.EXEで多数の開いているポートを調べてみました。Currportsは、50000から56000までのUDPローカルポートを表示します。ローカルアドレスは::で、リモートアドレスは空です。netstatの最後の行-コマンドは次のとおりです。 UDP [::]:55976 *:* UDP [::]:55977 *:* UDP [::]:55978 *:* UDP [::]:55979 *:* UDP [::]:55980 *:* UDP [::]:55981 *:* UDP [::]:55982 *:* 私はこれらのポートに以前気がつかなかったので、大丈夫かどうかはわかりません。どう思いますか？サーバーを再起動しましたが、監視/警告メールは継続していません。

15 windows-server-2008  domain-name-system 

私のユーザーが今日、私が困惑している質問で私に来ました：なぜ.musecore私たちのウェブサーバー上のファイルはフォルダアイコンの代わりに爆弾アイコン（）を表示するのですか？ より一般的には、Apacheはどのアイコンを表示するかをどのように決定し、その構成をどこで検査および/または変更できますか？

15 apache-2.2 

継続的なoom＆panicの状況は未解決です。システムがすべてのRAM（36GB）を使い果たすかどうかわかりません。このシステムがなぜこのような状況を引き起こしたのですか？32ビットLinuxシステムのlowmemゾーンに関連していると思われます。カーネルパニックとoom-killerからのログを分析するにはどうすればよいですか？ 宜しくお願いします、 カーネル3.10.24 Dec 27 09:19:05 2013 kernel: : [277622.359064] squid invoked oom-killer: gfp_mask=0x42d0, order=3, oom_score_adj=0 Dec 27 09:19:05 2013 kernel: : [277622.359069] squid cpuset=/ mems_allowed=0 Dec 27 09:19:05 2013 kernel: : [277622.359074] CPU: 9 PID: 15533 Comm: squid Not tainted 3.10.24-1.lsg #1 Dec 27 09:19:05 2013 kernel: : [277622.359076] …

15 linux  kernel-panic  oom  oom-killer