サーバー管理者

3

私は開発者であり、SQLバッキングストアを備えた広く使用されているスケジューリングライブラリであるQuartz.Netを使用して、ジョブサーバーのクラスター（ESXIクラスター上のVM）を実行しています。 Quartz.Net では、ジョブサーバーインスタンス間で時刻を同期する必要があるため、NTPを使用することをお勧めします。クロックは互いに1秒以内でなければなりません。 Windows NTPを使用して時間をドメインコントローラーと同期するシステム管理者。VMとESXIホストの同期はオフです。彼らは、「秒以内」は正しい要件ではなく、ハードウェアGPS同期デバイスなしでは満たされないと主張し続けています。SLAと監視レベルは「3分以内」です。同期していない時間と一致する定期的な（2〜3か月に1回）Quartzインスタンスの非同期動作が発生しています。「秒以内」を要求するのは正しいですか、それともクォーツを完全に捨てる必要がありますか？はいの場合、セットアップにはどのような変更が推奨されますか？

12 windows vmware-esxi ntp time-synchronization

1

新しい「S3リクエストリクエストパフォーマンスの向上」の発表はどういう意味ですか

2018年7月17日に、最大のパフォーマンスを達成するためにすべてのS3オブジェクトキーの最初の文字をランダム化する必要がないことを説明するAWSの公式発表がありました：https : //aws.amazon.com/about-aws/whats-new / 2018/07 / amazon-s3-announces-increased-request-rate-performance / Amazon S3がリクエストレートパフォーマンスの向上を発表投稿日：2018年7月17日 Amazon S3はパフォーマンスを向上させ、データを追加するために少なくとも毎秒3,500リクエスト、データを取得するために毎秒5,500リクエストをサポートし、追加料金なしで処理時間を大幅に節約できます。各S3プレフィックスはこれらのリクエストレートをサポートできるため、パフォーマンスを大幅に向上させることが簡単になります。現在Amazon S3で実行されているアプリケーションは、変更なしでこのパフォーマンスの向上を享受します。S3で新しいアプリケーションを構築するお客様は、このパフォーマンスを達成するためにアプリケーションをカスタマイズする必要はありません。Amazon S3の並列リクエストのサポートにより、アプリケーションをカスタマイズせずに、コンピューティングクラスターの要因によってS3パフォーマンスを拡張できます。パフォーマンスはプレフィックスごとにスケーリングされるため、必要なスループットを達成するために必要な数のプレフィックスを同時に使用できます。プレフィックスの数に制限はありません。このS3要求レートのパフォーマンスの向上により、オブジェクトプレフィックスをランダム化してパフォーマンスを高速化するための以前のガイダンスが削除されます。つまり、パフォーマンスに影響を与えることなく、S3オブジェクトの命名で論理的またはシーケンシャルな命名パターンを使用できるようになりました。この改善は、すべてのAWSリージョンで利用可能になりました。詳細については、Amazon S3開発者ガイドをご覧ください。それは素晴らしいことですが、混乱を招くことにもなります。それは言う各S3の接頭辞は、それが簡単なパフォーマンスを大幅に向上させるために作り、これらの要求レートをサポートすることができますただし、GET Bucket (List Objects)バケットのコンテンツをリストするとき、プレフィックスとデリミタはAPIの単なる引数であるため、「プレフィックスごと」にオブジェクトの取得パフォーマンスについて話すのはどうしたら理にかなっています。への呼び出しはすべて、GET Bucket (List Objects)必要なプレフィックスとデリミタを選択できるため、プレフィックスは事前定義されたエンティティではありません。たとえば、バケットに次のオブジェクトがある場合： a1/b-2 a1/c-3 次に、バケットのコンテンツをリストするたびに区切り文字として「/」または「-」を使用することを選択できます。そのため、プレフィックスを a1/ または a1/b- a1/c- ただし、GET ObjectAPIはキー全体を使用するため、特定のプレフィックスまたは区切り文字の概念はオブジェクトの取得には存在しません。それで、5,500 req / sec on a1/、あるいは5,500 req / sec on a1/b-および5,500 on を期待できa1/c-ますか？だから誰かが「各s3プレフィックス」のパフォーマンスの特定のレベル（たとえば、データを取得するために毎秒+5,500リクエスト）を提案するとき、アナウンスの意味を説明できますか？

12 amazon-web-services performance amazon-s3

3

Amazon EKSでのHorizontalPodAutoscaling

Amazon EKSでHorizontalPodAutoscalerをセットアップしようとすると、TARGETS列が常に表示され<unknown>/50%、HPAを説明すると、警告FailedGetResourceMetric 17s（x50 over 1h）horizontal-pod-autoscalerはリソースCPUのメトリックを取得できません：リソースメトリックAPIからメトリックを取得できません：サーバーは要求されたリソースを見つけることができませんでした（get pods.metrics.k8s.io）他のサイトで、使用について言及している同様の問題に関する複数の投稿を見つけました --horizontal-pod-autoscaler-use-rest-clients kube-controller-managerでが、EKSクラスターのkube-controller-managerの設定を変更する方法は見つかりません。管理用のマスターノードへのSSHおよびkube-controller-managerは、システムのどこにもリソースとしてリストされていません。 https://github.com/kubernetes-incubator/metrics-serverの指示に従ってmetrics-serverを手動で設定しようとしましたが、その場合、EKSはAPIの認証に必要な構成マップを提供しないことが示されています拡張機能Could not create the API server: configmaps "extension-apiserver-authentication" not found

12 amazon-web-services kubernetes

5

多くのサーバーのSSHアクセスゲートウェイ

現在、Ansibleを介して3つのdevopを使用して、90を超える複数のサーバーを管理しています。すべてが順調に機能していますが、現在大きなセキュリティ問題があります。各devopは独自のローカルsshキーを使用して、サーバーに直接アクセスします。各devopはラップトップを使用しているため、各ラップトップが危険にさらされる可能性があるため、prodサーバーのネットワーク全体が攻撃にさらされる可能性があります。アクセスを集中管理し、特定のキーのアクセスをブロックするソリューションを探しています。キーをbitbucketまたはgithubに追加する方法とは異なります。私の頭の上から、ソリューションは1台のマシン、ゲートウェイから目的のprodサーバーへのトンネルになると仮定します...サーバ。その結果、ゲートウェイへのアクセスを拒否するだけで、数秒でdevopのアクセスを迅速かつ効率的に強制終了できます。これは良いロジックですか？誰かがこの問題を阻止するための解決策をすでに見ていますか？

12 ssh ansible ssh-tunnel ssh-keys

2

サーバー上のスパマーを検出する

私は最近Undelivered Mail Returned to Sender、1500人の顧客の1人にニュースレターを送信中に1つを受け取りました。私のウェブサイトはダブルオプトイン手順を使用して、ユーザーがニュースレターを明示的に受け取りたいことを確認しています。エラーメッセージ： smtp; 554 ... Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please refer to xyz.com if you feel this is in error. （受信メールサーバーのメールプロバイダーから）スパムメールの例を受け取りました： Received: from mail.com ([94.130.34.42]) by smtp-27.iol.local with SMTP id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100 From: …

12 postfix smtp monitoring spam reverse-dns

2

Meltdown＆Spectre-パッチを適用していないハイパーバイザーのゲストカーネルにパッチを適用すると、仮想マシン間のメモリリークが防止されますか？

脆弱性の大規模なリリースの24時間後、RackspaceはSpectreとMeltdownについて沈黙しています。Xenハイパーバイザーのすべてにパッチを適用する計画はありません。新しいプラットフォームサーバーはすべてHVMサーバーであり、脆弱性があります。古いPVサーバーは脆弱ではありません。 HVMゲストのLinuxカーネルを更新しましたが、Rackspaceはハイパーバイザーを更新していません。パッチを適用していないハイパーバイザーでゲストカーネルを更新すると、「悪意のある」VMがパッチを適用したホストからリークしたメモリにアクセスできなくなりますか？

12 linux xen cloud-computing rackspace vulnerabilities

1

ドメインコントローラー（DC）は何のために証明書を使用しますか？

誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか？私の理解では、少なくとも以下のために必要だということです。スマートカード認証 LDAPS ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか？私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

12 active-directory domain-controller certificate ad-certificate-services

1

TLS 1.2を無効にするとRSTパケットが停止します

環境、 Webサーバー-Server 2012 R2、IIS 8、ASP.NETアプリケーションファイアウォールCisco 5515 管理対象外のHPスイッチ、vlaningなしクライアントは外部からCurlを使用してアプリケーションにアクセスしています。他の人はサーバーを使用しないでください。 wiresharkを使用すると、TLS 1.2を有効にしている場合、最後にサーバーにヒットするたびにRSTが表示されます TLS 1.2を無効にすると、パケットRSTはなくなり、すべて正常に見えます。これは何が原因ですか？もう情報が必要な場合はお知らせください。

12 windows-server-2012-r2 asp.net wireshark iis-8

1

NTPサービスの自動検出

NTPの自動検出を提供するために使用できる方法はありますか？最近Active Directoryの提供を開始した親会社を持つ新しい仕事に移りました。私はSSSDを実装しており、ADに対して認証を行い、NTPをセットアップしています。ただし、Active Directoryサーバーが多数あり（サーバーを直接ポイントする必要があります）、変更される場合があります。 ActiveMQや他のアプリケーションのようなLDAPディスカバリーやマルチキャストなどの方法をセットアップできますか？親会社にサーバーのより良いリストとそれらが機能するドメインを維持してもらうこと以外に提案がない場合は？ありがとう！

12 active-directory ntp sssd ntpd autodiscovery

2

base64でエンコードされたスパムメールを拒否するにはどうすればよいですか？

base64でエンコードされた同様の内容のメールをいくつか受信しました。今、私はボディチェックを使用してこの種の電子メールを拒否または破棄したいです。 body_checksで次のようなことをする前に： /Quanzhoucooway/ DISCARD ただし、メッセージはエンコードされているため、そのキーワードは検出されません。 base64でエンコードされたメッセージを次に示します。 DQpIaSBGcmllbmRzLA0KDQpHb29kIGRheSENCg0KVGhpcyBpcyBWaWN0b3JpYSBmcm9tIFF1YW56 aG91Y29vd2F5IHNob2VzIHRyYWRpbmcgY28uLGx0ZCwgYSBwcm9mZXNzaW9uYWxtYW51ZmFjdHVy ZXIgYW5kIGV4cG9ydGVyIG9mIGFsbCBraW5kcyBvZiBzaG9lcywgbWFpbmx5IGluIGNhc3VhbCBz aG9lcyBhbmQgc3BvcnRzIHNob2VzICwgd2hpY2ggaGFzIGJlZW4gc3VwcGxpZWQgdG8gdGhlIGZh bW91cyBmYXNoaW9uIGJyYW5kIHN0b3JlcyBmcm9tIDIwMTAuDQoNCk5vdGljaW5ndGhhdCB5b3Ug YXJlIGxvb2tpbmcgZm9yIGhpZ2ggcXVhbGl0eSBmYXNoaW9uIHNob2VzLCBzbyBJIGhvcGUgd2Ug Y2FuIHdvcmsgdG9nZXRoZXIgaW4gdGhlIGZ1dHVyZS4gSWYgeW91IGFyZSBpbnRlcmVzdGVkLCBJ IHdpbGwgc2VuZCB5b3Ugb3VyIGl0ZW1zIGFjY29yZGluZ2x5Lg0KDQpGWUksIHdlIGNhbiBtYWtl IGN1c3RvbWl6ZWQgc2FtcGxlcyBmb3IgeW91IGFjY29yZGluZ2x5Lg0KDQpMb29raW5nIGZvciB5 b3VyIHNvb25lc3QgcmVzcG9uc2UuDQoNCkJSIQ0KDQpWaWN0b3JpYSANCg== これらの種類のメールをブロックするためのベストプラクティスは何ですか？

12 postfix spam

1

バインディングを除く2つのIIS 8.5サーバー構成の同期

2つのIIS 8.5 Webサーバー、Server 2012 R2がありますサーバー1 Server2 Server1で行われた変更のみをServer2に同期するpowershellコマンドを見つけようとしていますただし、バインディングも同期する共有構成を試してみましたが、負荷分散されるため、これは望ましくありません。また、サーバーに不要なバインディングを追加して機能させないようにしています。いくつかのwebdeploy powershellコマンドを見つけましたが、ファイルも同期したいようです。DFSを使用してファイルを同期します。私ができることは、Server1 applicationhost.configまたはweb.configからServer2に変更を同期することだけです。

12 powershell iis-8.5

1

powershellを使用してHyper-v Cluserを管理する方法

Server 2016 Datacenterの両方で2つのホストがあります各ホストには、共有ストレージを使用する現在2つのVMがありますライブ移行、ストレージの移動、私は、クラスター内のすべてのvmを同時に保存できるスクリプトをGoogle全体で探していました。これを実行する場合： $clusterNodes = Get-ClusterNode; $Name = ForEach($item in $clusterNodes){Get-VM -ComputerName $item.Name; } {save-VM -ComputerName $item.Name; } vmを保存しますが、VMの名前を各ホストに1回ずつ2回要求されます。私の全般的な目標は、クラスター内のすべてのVMを1台のPCから再構成できるようにすることです。また、VMが頻繁に移動するため、常に同じホスト上にあるとは限りません。例：すべてのvmを保存します共有ストレージのオフ移動： Set-VM pv02 -SnapshotFileLocation C:\ClusterStorage\Volume1\pv02 Set-VM pv02 -SmartPagingFilePath C:\ClusterStorage\Volume1\pv02 Set-VMHardDiskDrive -VMName pv02 -ControllerType SCSI -Path C:\ClusterStorage\Volume1\pv02\pv02.vhdx VMを起動します各ホストに個別にログインすると、コマンドは正常に実行されますが、実稼働環境では、約100のVMを持つ7つのホストがあります。

12 powershell hyper-v

1

クラスター機能レベルのダウングレード

現在のクラスターにServer 2012 Hyper-Vサーバーを追加しようとしています。現在、2台のサーバー2016 Hyper-Vサーバーがクラスター化されています。クラスター上でいくつかの再構成を行う必要があるため、3番目を追加する必要がありますそれらを戻します。 Server 2012サーバーを追加しようとすると、エラーが発生します。 Node Server.domain.com エラー *サーバー 'Server.domain.com'をクラスターに追加できませんでした。ノード「Server.domain.com」をクラスター「ClusterName」に追加中にエラーが発生しました。参加ノードとクラスター内の他のノードのオペレーティングシステムのバージョンに互換性がないため、ノードはクラスターに参加できませんでした。クラスターのオペレーティングシステムのバージョンに関する詳細を取得するには、構成の検証ウィザードまたはTest-Cluster Windows PowerShellコマンドレットを実行します。 Cluster Fucntional Levelが9であり、8を取得できると思うので、このエラーをグーグルで追加することができます。ただし、現在の実行レベルは9です。クラスターの機能レベルを9から8にダウングレードするにはどうすればよいですか？

12 hyper-v cluster

1

コマンドラインからMySQLパスワードを使用するのは安全ではありませんか？

このmysql -e "{command}"機能を使用するBASHツールがいくつかあります。これらのツールを使用するたびにパスワードを入力するのは手間がかかるため、パスワードがコードとともにプレーンテキストファイルに書き込まれないように、メモリに（を使用してread -s）保存し、コマンドを実行するたびにBASHに読み取らせます。 Mysqlは、パスワードがコマンドライン経由で送信されていると判断し（言い方をすれば）、「コマンドラインインターフェイスでのパスワードの使用は安全ではない可能性があります」というエラーを表示します。私の目的のために、このメッセージを抑制する必要はありません。私が知る必要があるのは、それが安全でない可能性があることです。パスワードは物理的に表示されることはないため、ショルダーサーフィンではできません。また、SSHパスワードを推測した人でも、スクリプト自体ではなくメモリに保存されているため、パスワードを実行できません。中間者攻撃などが可能ですか？

12 linux mysql

1

PHPホスト名が正しくありません

現在、問題なく約2年間実行されているアプリケーションがあります。今朝、サイトにアクセスしたときにエラーが発生していました。 Session: connection failed データベース接続を確認し、ユーザーを確認し、ユーザーの許可を確認しましたが、すべて正常に見えました。 .inc.xmlファイルの接続情報を使用してテストページを作成しました mysql接続エラーが発生しました。これは元のファイルです。 <TYPE>mysql</TYPE> <HOST>dbl</HOST> <USER>dbuser</USER> <PASSWORD key="PUT A KEY HERE TO DECRYPT THE PASSWORD">password</PASSWORD> サーバーのホスト名がdblではありません 2行目をこれに変更しました。 <TYPE>mysql</TYPE> <HOST>localhost</HOST> <USER>dbuser</USER> <PASSWORD key="PUT A KEY HERE TO DECRYPT THE PASSWORD">password</PASSWORD> うまく接続しました。元の.inc.xmlファイルに同じ変更を加えたところ、アプリケーションは正常にバックアップおよび実行されました。私の質問：監査ログ、接続、クエリを確認しましたが、システムは約3週間アクセスできませんでした。 .inc.xmlは1年以上前に最後に変更されました。アプリケーションがdblをホストとして突然停止するのはなぜですか？そのdblホスト名はどこから来たのですか？システムレイアウト： [root@acpr-web-x ~]# cat /proc/version Linux version 2.6.32-358.2.1.el6.x86_64 …

12 php redhat httpd