小编Chr*_*s_K的帖子

我们是一家运行 Google Apps (Enterprise) 的小商店，可满足我们的电子邮件需求。爱它。在内部，我们使用的是 Windows AD (2003)。那里也没有抱怨。

我想在 AD 和 Google Apps 之间使用某种 SSO 方法，以便 AD 是我的人必须管理（并定期更改！）密码的唯一地方。

我过去看过谷歌的“tfm”，但我想我不太明白。有没有人这样做？如果是这样，你愿意分享如何吗？可以在没有大量复杂性和费用的情况下完成吗？

虽然我作为 Linux用户很自在，但我的 Linux Admin-fu 有点弱。因此，我在这里寻找有关我将要构建的 CentOS 服务器的指导。

我需要为我们的一些客户端设置一个 Apache2 Web 服务器。我希望每个客户端的 Web 内容都USERDIR位于静态 HTML 站点的主目录下（在 apache.conf 中，对吗？）。我希望 Apache 作为客户端运行 ( suexec?)。他们的一些东西将是 PHP 应用程序，我的印象是我也想看看suphp。

所以基本上我想看起来像一个共享网络托管公司的小版本。考虑到这些有多常见，我想我很容易找到一个很好的当前操作指南来设置这一切，但到目前为止我运气很少。我怀疑我的搜索词已关闭。

所以问题（随意回答任何或所有）：

1. 任何人都有一些指向当前/现代指南的可靠链接，可以帮助我设置这一切？不，apache 文档站点不是指南 ;-)
2. 由于我混合了静态站点和 PHP 应用程序，我是否想要/需要同时安装 suexec 和 suphp？如果是这样，这是否会带来任何我应该注意的挑战？
3. 我应该查看其他选项而不是 suexec 和 suphp 吗？

我计划让最终用户通过 SSH、SFTP 或 SCP 访问他们的东西（如果这会影响任何事情）。

在此先感谢您的帮助。

[编辑] 我应该早先提到这一点：我寻求模拟与文件权限和所有权相关的共享托管服务提供商的一个关键目标。我真的很想避免教用户需要更改这些东西只是为了查看他们的添加/更改。

运行远程桌面服务的 Windows 2008 R2 服务器（我们过去常常称之为终端服务）。该服务器是托管应用程序的入口点——我想您可以将其称为软件即服务。我们有 3rd 方客户端连接使用它。

使用 RemoteApp 管理器构建 RemoteApp .rdp 快捷方式以分发到客户端工作站。这些工作站与 RDS 服务器不在同一个域中。域之间没有信任关系（也不会有）。在工作站和 RDS 服务器之间有一个严格控制的站点到站点 VPN，我们非常有信心我们可以访问锁定的服务器。

正在运行的 remoteApp 是一个具有自己的身份验证方案的 ERP 应用程序。

问题？我试图避免在连接到 RemoteApp 服务器时为每个最终用户创建 AD 登录名。事实上，由于我们正在做一个 remoteApp 并且他们必须对该应用程序进行身份验证，我宁愿根本不提示他们提供 AD 凭据。我当然不希望他们陷入管理仅用于获取 ERP 登录名的帐户的 AD 密码（和定期到期）中。

但是，我不知道如何在 RemoteApp .rdp 文件中嵌入 AD 凭据。我真的不想在该级别关闭 RDS 服务器上的所有身份验证。

有什么好的选择吗？我的目标是使最终用户尽可能无缝。

欢迎澄清问题。

问题：我正在寻找一种好方法来审核/搜索目录结构 (Windows 2003) 并找到任何未从其父级继承权限的文件夹 - 或者 - 添加了其他用户/组。

背后的故事

我们正在将旧的 Windows 2003 文件服务器迁移到 2008 R2 机器。这台旧服务器是从 NT4 迁移而来的。大多数当前文件夹使用旧的（已弃用？）Domain\Administrators 和 Domain\Users 组。这些组虽然仍在 AD 中，但我无法用于 2008 R2 权限中的权限。

因此，在我将所有共享数据从旧服务器复制到新服务器之前，我首先需要“现代化”旧共享的权限。但是，我知道在过去的几十年中，一些 [未记录的] 文件夹的权限被修改为不从父级继承或添加其他用户。因此，我寻求一种找到它们的方法！

尝试 RDP 到服务器我得到这个：

错误代码：2308 错误描述：套接字已关闭

重新启动后，我在某些Windows 2003 服务器上看到了这一点。请注意，并非每次重新启动。通常在 Windows 更新之后，但不是每个Windows 更新之后。再次重新启动通常会清除它。

虽然我可以远程访问出现问题的服务器的事件和服务，但似乎没有任何问题。我认为有一个服务可以重新启动以防止再次重新启动，但还没有被它绊倒。是“终端服务”吗？那将是一个无赖，因为那个不允许我从 Services.msc 停止/重新启动它......

我正在寻找关于以下任一方面的想法：

a) 导致这种情况的原因 - 或 - b) 哪些服务可以远程重新启动以解决问题而无需再次重新启动？

当任务具有 GUI 时，在 Windows 2003 中运行计划任务是否存在问题？我有一个在 Windows 2000 中运行良好，但不能在 Windows 2003 上运行。

细节：

我有一个 .bat 作业，多年来在旧的 Windows 2000 服务器上全天每小时运行一次。我终于在上周退役了那台服务器，并将工作（以及相关的程序和文件）移到了 Windows 2003 服务器上。

.bat 文件首先调用几个 cmd 行应用程序，但最后一步是基于 GUI 的 .NET 应用程序（它对图像文件执行一些 OCR，然后自行关闭）。

在新服务器上，以计划任务所有者身份登录，我可以从命令行成功运行 .bat 文件。

在新服务器上，再次以计划任务所有者的身份登录，我可以在计划程序中右键单击该任务并成功运行它。此任务只是运行相同的 .bat 文件。

如果计划任务所有者登录到 2003 服务器并且任务是从远程服务器（用户启动计划任务并连接到此服务器的位置）启动的，它也会成功运行。

如果计划任务所有者不能登录到该服务器，则计划任务在GUI应用程序启动步骤失败。我们无法收到任何错误消息。从不同的会话/用户帐户运行 ProcMon 监控该用户帐户也没有出现任何问题。

目前，我可怕的解决方法是让计划任务所有者在屏幕锁定的情况下登录控制台。当然，每次重新启动服务器时，这都会变得很痛苦......

计划任务所有者是我们的“域服务帐户”，并且正在处理所有其他服务器上的所有其他任务。它没有被锁定或类似的东西。

我什至尝试修改任务计划程序以检查“允许服务与桌面框交互”，但这并没有改变任何东西。（是的，我在更改后重新启动了服务。）

想法？

更新(1/19/2010)

我需要澄清一下：我提到的 .NET 应用程序做了很多工作。直到它需要打开一个窗口时，应用程序才会挂起。我们可以通过它留下的日志条目来查看应用程序的进度，因此我们可以看到它运行良好，最后一个日志条目是“即将启动 OCR”……这就是她挂起的地方。

据我所知，我在我的 Apache 生产服务器上禁用了所有 mod_proxy 的东西。测试或确认的合理方法是什么？看看我的 httpd.conf，我可以告诉你，任何包含“代理”的行都会被注释掉，这是值得的。

我问的原因是我今天早上在日志观察报告中看到了这些东西：

 Connection attempts using mod_proxy:
   81.88.124.30 -> 64.12.202.116:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.15:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.1:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.22:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.29:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.36:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.43:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.50:443: 1 Time(s)
   81.88.124.30 -> 64.12.202.8:443: 1 Time(s)

 Requests with error response codes
   403 Forbidden
      64.12.202.116:443: 1 Time(s)
      64.12.202.15:443: 1 Time(s)
      64.12.202.1:443: 1 Time(s)
      64.12.202.22:443: 1 Time(s)
      64.12.202.29:443: 1 Time(s)
      64.12.202.36:443: 1 …

有没有人成功运行带有 Active Directory 集成的 OpenVPN？您使用的是openvpn.net还是openvpn.net/opensource版本的 OpenVPN？有什么提示、技巧或问题吗，或者它“只是有效”吗？（是的，我看过这个 How To，但有时How To不像他们找我那么简单）。

背景故事：我有一个非常旧的 Cisco 集中器（3000 系列）需要更换。我希望替代品与 AD 用户/密码集成。我有一堆相当现代的 HP DL320 盒子，这让我想到了 OpenVPN 的想法......

这对专家来说可能看起来很幼稚……但我最近一直在想。

多年来，我一直在使用ntop和一个便宜的 4 端口集线器来嗅探客户端网络，以确定谁在做什么——以及做了多少。当他们打电话说“天哪，今天的网络似乎真的很慢”时，可以很好地了解发生了什么。无需引入托管交换机（或访问现有交换机），也无需配置跨接或镜像。我只是在我想测量的地方内嵌集线器。

最近我注意到几乎不可能再购买一个真正的诚实至善的集线器了。在寻找新的集线器时，有人告诉我，我应该确保获得一个全双工集线器，否则我在监控时只会看到一半的流量。

真的吗？

这段时间我一直在使用老旧的 Netgear DS104。不知道是一半还是FD。我真的低估了我的测量值吗？我只是对物理层不够了解，无法真正了解......

旁注：刚刚订购了一个Dualcomm 以太网交换机 TAP作为集线器替代品。看起来像一个漂亮的小工具。欢迎在评论中提供有关它的任何注释或提示:-)

我有两个 CentOS 服务器：dev 和 prod。位于不同的站点，因此，每个站点上的 yum 往往使用不同的镜像。

今天早上开发机器提醒我有一些更新。我尽职尽责地运行“sudo yum update”来获取它们，注意内核升级，重新启动并进行测试。一切都很好。

在生产服务器上做了同样的事情，但它向我保证它不需要任何糟糕的更新。（还）显然选择的最快镜像还没有收到更新。

巧合的是，我将在几个小时内对该生产服务器进行硬件维护。由于我倾向于以月为单位来衡量他的正常运行时间，因此我真的很想在关闭内核之前获得内核更新，只是为了让它 - 而不必安排一天内再次重新启动。

我如何告诉 yum 尝试不同的镜像？这是 yum 的功能还是“fastestmirror”插件的功能？

35 分钟后更新： 具有讽刺意味的是，prod 服务器刚刚通知我它现在已准备好更新。将在“下次”出现这种情况时尝试任何建议:-)