Yo! 服务器

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

如果一个Windows商店将“一切”移到云端,它是否仍然需要Active Directory?

从这个问题分离出来: 我真的需要MS Active Directory吗? 在2014年新的方向。 考虑到基本的Windows基础结构: 域控制器 Exchange 2007/2010/2013 的SharePoint SQL 文件服务器/打印服务器 AD集成DNS ADauthentication的第三方设备(比如802.1X用于networking连接,也可能是一些内容过滤等) AD / LDAP在IT应用程序/硬件等上validation了“pipe理”function。 也许一些KMS的东西 如果你愿意,可以投入CA. 家庭应用程序 第三方内部应用程序 现在,让我们把所有的东西全部搞定,并决定我们要去云端。 我们已经签约将Exchange / Sharepoint /文件服务迁移到Office 365中。现在,SQL也将托pipe在Azure之类的东西上。 我们已经不再需要AD-DNS,只需通过一个简单的Windows DNS服务器就可以运行所有的事情。 我们仍然需要802.1X,如果可能的话,也希望SSO能够用于我们的各种云应用。 本土和第三方内部应用程序可能会停留,但有能力使用内部用户数据库,而不是ADauthentication 问题是…我们真的需要Active Directory吗? 或者更重要的是,AD内部部署,甚至通过Azure或类似的(ADFS)托pipe,或通过Azure或类似的方式在托pipe的虚拟机上运行ADDS。 我们是否可以/我们应该看看像第三方SSO选项,如http://www.onelogin.com/partners/app-partners/office-365/或类似的,可以提供SSOfunction,即使它是一样简单LastPass或类似的每个用户? 如果云中的其他东西都能满足AD的合理需求, 如果一个以MS为中心的基础设施能够将以前依赖于AD的所有东西移动到不依赖于AD身份validation的SaaS产品中,那么它们是否可以摆脱?

第3层LACP目标地址散列工作到底有多精确?

基于一年前的一个更早的问题( 多路复用的1 Gbps以太网? ),我去了一个新的机架,并在全新的地方安装了一个带有LACP链路的ISP。 我们需要这一点,因为我们有单独的服务器(一个应用程序,一个IP),在整个互联网上提供数以千计的客户端计算机,累计超过1Gbps。 这个LACP的想法是要让我们打破1Gbps的障碍,而不用花10GoE交换机和NIC的财富。 不幸的是,我遇到了与出站stream量分配有关的一些问题。 (尽pipeKevin Kuphal在上面的链接问题中提出了警告)。 ISP的路由器是某种思科。 (我从MAC地址推断出来的)。我的交换机是HP ProCurve 2510G-24。 而服务器是运行Debian Lenny的HP DL 380 G5。 一台服务器是热备份。 我们的应用程序不能被聚集。 这是一个简化的networking图,其中包括所有与IP,MAC和接口相关的相关networking节点。 虽然它具有所有的细节,但是要处理和描述我的问题有点困难。 所以,为了简单起见,下面是一个简化为节点和物理链路的networking图。 于是我离开,在新的机架上安装了我的套件,并将ISP的电缆从他们的路由器上连接起来。 两台服务器都有一个到我的交换机的LACP链路,交换机有一个到ISP路由器的LACP链路。 从一开始我就意识到我的LACPconfiguration是不正确的:testing显示,每台服务器的所有stream量都是通过服务器到交换机和交换机到路由器之间的一条物理GoE链路。 随着一些谷歌search和大量RTMF时间有关的Linux网卡绑定,我发现我可以通过修改/etc/modules来控制NIC绑定 # /etc/modules: kernel modules to load at boot time. # mode=4 is for lacp # xmit_hash_policy=1 means to use layer3+4(TCP/IP src/dst) & not default layer2 bonding mode=4 miimon=100 […]

如何logging服务器更改?

所以我们都可能有这样的情况:你debugging一些问题,只是意识到这是由你六个月前的configuration改变引起的,你不记得你为什么这样做。 所以你撤消它并解决问题,现在还有其他一些问题。 噢,现在我记得! 然后你正确地修复它。 这是因为你没有记下适当的音符,你是个笨蛋! 但是,这样做的好方法是什么? 在工程中,我们有大量的软件可以帮助我们检测和跟踪变化。 源代码pipe理,代码评论等等。 每一个变化都被追踪,每一个变化都需要一个评论。 典型的工程部门需要很好的评论,以便在六个月内弄清楚为什么这样打破它时,可以使用历史上的“责备”特征或二分查找构build来查明问题。 这些工具是非常有效的沟通工具和历史logging。 但是在服务器端,我们有500个不同的服务,都有不同的configuration方式。 他们并不总是有一个文本格式(考虑设置一个文件夹的权限或更改页面文件的位置),虽然他们可能有文字表示。 在我们的环境中,我们检查哪些configuration文件可以join到Perforce中,但是其中很less。 不能完全检查活动目录数据库..虽然也许是一个转储可能diff'd … 在过去,我尝试过在维基上保留一个手动更改日志,但要维持这个纪律是非常困难的(我知道这不是一个好的借口,但确实很难)。 我的问题:你用什么策略和工具来解决跟踪服务器configuration变化的这个问题? – 更新 – 注意:我不是在寻找共享笔记logging工具(我熟悉OneNote等),而是专门用于帮助跟踪服务器更改的自动化工具。 有没有全面的工具来跟踪服务器configuration的变化,但也许有一些特定的应用程序,如GPO的。 另外,我对您发现有用的特定策略非常感兴趣。 “我们在Sharepoint中共享笔记”非常含糊。 你如何保持纪律? 你用什么格式来跟踪你的改变? 你如何组织你的变更数据? 我真的很喜欢例子和想法。

Linux:设置远程系统pipe理员

我偶尔会收到奇怪的请求,在Linux系统上提供远程支持,故障排除和/或性能优化。 较大的公司通常已经build立了完善的程序来向供应商/供应商提供远程访问,我只需要遵守这些程序。 (无论好坏。) 另一方面,小公司和个人总是要求我指导他们做什么来build立我。 通常他们的服务器直接连接到互联网,现有的安全措施包括Linux发行版的默认设置。 几乎总是我需要根级别的访问权限,谁将设置访问我不是一个专家系统pipe理员。 我不希望他们的root密码,我也很确定我的行为不会是恶意的,但是我应该给出什么合理简单的指示: build立一个帐户并安全地交换凭证 设置root(sudo)访问权限 限制访问我的帐户 提供审计跟踪 (是的,我意识到并总是警告那些客户,一旦我有pipe理员访问隐藏任何恶意行为是微不足道的,但让我们假设我没有什么可以隐藏和积极参与创build审计跟踪。) 在下面的步骤可以改进什么? 我目前的指令集: build立一个帐户并安全地交换凭证 我提供了一个密码哈希,并要求我的帐户是使用该encryption的密码设置的,所以我们不需要传输明文密码,我是唯一一个知道密码的人,而且我们不会以一个可预见的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH(每个客户端的特定密钥对),并要求他们使用该密钥设置我的帐户: sudo su – hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***…***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root(sudo)访问权限 我要求客户使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo,并追加到/etc/sudoers : hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常情况下,客户端仍允许使用基于密码的login,并要求他们将以下两行添加到/etc/ssh/sshd_config ,以至less将我的帐户限制为仅使用SSH密钥: Match user hbruijn […]