小编Nic*_*Nic的帖子

我目前在一家 SaaS 公司工作，目前我们有多个 Debian 服务器在我们的数据中心运行以支持我们的应用程序。

过去，当发布安全更新时，我们能够登录每台机器并使用所需的更新手动更新它们。随着我们有更多的客户端（因此也有更多的服务器），我们发现手动执行此操作开始变得很麻烦。

我只是想知道是否是每次更新时同时升级多个服务器的方法（或最佳实践）？

我正在考虑编写一个 cron 脚本，它会在每个周末自动应用所有更新，但我认为可能有更优雅的方法来做到这一点？

我的运行 Windows Server 2008 的文件服务器有两个逻辑驱动器；C: 盘包含所有系统和应用程序数据，D: 盘包含所有业务数据。D: 驱动器的顶层有几个共享工作正常。然而...

通过远程桌面以交互方式登录文件服务器时，只有域管理员和本地管理员帐户才能浏览 D: 驱动器。我设置了一个名为“Maintenance”的帐户并将其添加到本地管理员组，但是使用该用户登录时，我无法浏览到 D: 驱动器。D: 驱动器具有以下权限 ACL：

Full Access - SYSTEM
Full Access - MACHINE\Administrators

它甚至不会让我查看 E: 驱动器的 ACL。所以我尝试取得 E: 驱动器的所有权，然后我可以读取 ACL，并且“有效权限”表示我具有完全访问权限。但我仍然收到此错误消息。

Location is not available
D:\ is not accessible.
Access is denied.

场景：

• DC 运行 Windows Server 2008 R2，提供 DNS + DHCP
• Cisco 1811 路由器作为网关
• LAN 上的 30 个 Windows XP DHCP 客户端

问题：

• 一些工作站会自发地切换到不正确的 DNS 服务器。具体来说，ipconfig /all表明他们开始使用网关作为 DNS 服务器。
• 这种情况每天在各种计算机上发生大约 5-10 次，有时每天不止一次。

解决方法：

• 在 XP 客户端上修复连接总能解决问题，并获得正确的 DNS 服务器地址。

一周前我们失去了我们的主要 DNS/DHCP 机器，不得不将这台机器联机作为备用。从那以后我们就一直有这个问题。旧服务器和新服务器上的 DHCP 租约配置为“有线”（8 天）持续时间。LAN 上肯定没有其他活动的 DHCP 服务器。到目前为止，还没有关于哪些客户端或何时会出现此问题的可辨别模式。

当我跑了DCDIAG /test:DNS它回来干净。手动检查 DNS 区域显示所有记录都按预期出现，没有前一台机器的痕迹。

2 月 27 日更新：添加了屏幕截图。

这是 2008 R2 服务器上 DHCP 范围选项的屏幕截图。 http://nicwaller.com/screens/dhcpscope.png

这是ipconfig /all在健康主机上运行的屏幕截图。我目前没有任何生病的主机，但下次发生时会抓住屏幕截图。 http://nicwaller.com/screens/ipconfigall.png

2 月 28 日更新：更多截图。

这是修复本地连接时来自健康客户端的 DHCP 和 DNS …

我有两本关于 Puppet 的书，但没有一本提到如何 pushyum update或aptitude safe-upgrade.

所以我得到的印象是 Puppet 不能，我觉得很难相信。

题

每个月您将如何推送yum update或推送aptitude safe-upgrade多个不同的主机？

我们最近开始在 Outlook 2010 中使用 Microsoft 的托管 Exchange 产品，并且对此非常满意。到目前为止，我们已经能够轻松地将日历和联系人从旧的 PST 文件迁移到 Exchange，没有任何问题。

仍在 PST 文件中的唯一数据是存档电子邮件。我担心让用户上传所有存档消息对带宽的影响。我们为所有用户组合了 30-40 GB 的存储消息，有些用户拥有几 GB 的 PST 文件。我们有三个具有以下带宽规格的站点：

• 主办公室（25 个用户）为 5 Mbps / 5 Mbps
• 第一个分支（10 个用户）是 5 Mbps / 512 Kbps
• 第二个分支（5 个用户）是 512 Kbps / 512 Kbps

如果所有用户立即开始将他们的邮件复制到他们的 Exchange 邮箱中，这会影响我们的站点间性能吗？当网络连接饱和时，Outlook/Exchange 是否足够智能以减少带宽使用，或者我是否需要确保在开始之前配置 QoS？

再往前看，当拥有 5 GB 邮箱的用户搬到新计算机时会发生什么？是否需要重新下载整个 5 GB，或者可以使用以前计算机的 OST 来加速该过程？

任何见解将不胜感激。

我真的很想在我的一组服务器上运行 MCollective，但是每台机器上都有大量不受信任的用户，这使得使用 MCollective 在我看来并不理想。我知道您可以采取一些措施来采取预防措施，但我对 ActiveMQ 不够熟悉/想要一些更注意类似环境的东西，以便在盒子外进行挖掘。

我正在寻找一个像工具这样的事实集合。

（因为没有 mcollective 标签，所以在 puppet / server 下进行标记，而且我没有足够的声誉来创建一个新的）

我有一个非常需要重构的内部 Perl 脚本。为了不重新发明轮子，我想看看是否存在与它等效的开源软件，但我很难找到。

该脚本在所有主机上作为守护程序运行，并允许我执行以下操作：

1. 在 Host1 上运行 ProcessA。
2. 在 Host2 上，一旦 ProcessA 在 Host1 上成功完成，运行 ProcessB。
3. 在 Host1 上，一旦 ProcessB 在 Host2 上成功完成，运行 ProcessC。

无论如何，这都不是火箭科学，但我似乎找不到任何可以复制该功能的东西。 RunDeck 很接近，但我看不到哪里可以跨不同主机管理流程工作流。

这里有人有什么我应该调查的吗？

我正在尝试远程管理 Windows 7 机器。我已启用 WinRM 并可用于Enter-PsSession连接到远程计算机。

但是，我注意到本地运行特定命令与远程运行它之间的区别，即使我使用相同的用户帐户（这是域管理员）进行连接。

远程会话的输出是：

> enter-pssession -computername  REMOTEHOST
[REMOTEHOST} > Get-WURebootStatus
New-Object : Creating an instance of the COM component with CLSID {C01B9BA0-BEA7-41BA-B604-D0A36F469133} from the IClassFactory failed due to the following error: 80070005.
At C:\Windows\system32\WindowsPowerShell\v1.0\Modules\pswindowsupdate\Get-WURebootStatus.ps1:52 char:33
+             $objSystemInfo= New-Object <<<<  -ComObject "Microsoft.Update.SystemInfo"
+ CategoryInfo          : NotSpecified: (:) [New-Object], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.NewObjectCommand

ExecutionPolicy 设置为“无限制”，当我在远程机器上使用本地 powershell 会话时，此命令非常有效。

远程 powershell 会话是否有不同的安全上下文？

编辑：它失败的具体线路是这个：

$objSystemInfo= New-Object -ComObject "Microsoft.Update.SystemInfo"

我正在一个使用很多这样的命令的平台上工作： ssh login@server.com 'curl http://some_server/script.sh | bash'

这对于远程执行脚本来说非常干净和方便，但是，无论如何我都看不到获取脚本的输出/退出代码。任何人都可以找出一些方法来确保脚本已正确执行（从启动 ssh 的主机的角度来看）。

背景

在我配置了我们的 Active Directory 以便将移动计算机的能力委托给服务台人员之后，我开始听到有关计算机将“卡在”特定 OU 中的报告。他们可以将计算机移入，但在尝试移出计算机时会收到“拒绝访问”消息。该问题 100% 可重现，并且仅存在于我们域中的少数 OU 中。

两个 OU 都已Protect object from accidental deletion启用。

我已经知道的

使用检查 ACLldp.exe确实揭示了一个微小但重要的区别。出于某种原因，只有一个 OU 的属性 ACTRL_DS_DELETE_CHILD 被拒绝Everyone。

切换的Protect object标志和关闭在任OU不能解决问题。它确实按预期修改了 ACL，但ACTRL_DS_DELETE_CHILD在任何一种情况下都完全未修改该标志。

我可以使用此解决方案来“修复”特定的 OU：

1. 关闭Protect object标志
2. 删除与Everyone 关联的拒绝ACE。
3. 打开Protect object回
4. 现在 ACL 匹配。

是否可能是不同版本的 Active Directory 或远程服务器管理工​​具可能对Protect object标志在 OU 上的实际表示方式有不同的行为？

问题

什么可能导致这种差异，我该怎么做才能确保它在 Active Directory 域中的所有 OU 上得到纠正？

细节

统一差异如下所示：

18c18
<       Ace Mask:  0x00010042
---
>       Ace Mask: …