我会尽我所能来表达这个,所以它不被视为购物清单。
我们已经成功运行了一段时间的开发/测试 ESXi 环境,在 HP MSA2012fc 入门套件(带有基于 Brocade 的 HP B 类 SAN 交换机)上使用了几个 Dell PE2950III 服务器。这对我们来说非常有效,但在开发/测试中,它在正常运行时间/性能方面存在各种警告。
在任何情况下,开发/测试平台的公认成功导致了对更加“生产就绪”的虚拟化平台的呼吁。我们目前正在起草建议。
然而,针对现有堆栈的抱怨之一是缺乏对其他虚拟化技术(HyperV、Xen 等)的支持,因为 SAN LUN 已完全分配并格式化为 VMFS。这是我们被告知要克服的问题,但通常情况下,没有迹象表明 HyperV/Xen 被采用(而且我们并不特别想通过将 LUN 分配到这样的位置来浪费“昂贵”的存储资源)不会被使用)。
因此,我们目前的思路是放弃传统的光纤 SAN,转而采用直接的 CentOS 机器(可能是更高端的 HP ProLiant DL380p Gen8),运行 NFS 和 Samba/CIFS 守护进程,带有 10GbE 交换机(可能是Cisco Nexus 5000/5500 系列)。
原因是 ESXi 头可以谈论 NFS,HyperV 头可以谈论 CIFS,但两者最终都指向相同的 XFS/RAID1+0 卷。
现在,我还不够环保,认为 10GbE 可以让我在磁头和磁盘之间获得真正的 10 Gb I/O 吞吐量,但我不知道我可以期望看到的开销类型NFS 和 CIFS 实现(以及当多个主机尝试与之交谈时可能会干扰的任何其他位)。
我很希望能至少也得近的持续磁盘读取直连磁盘/写速度,不过,为尽可能多的主机,我可以。查看各种驱动器制造商的网站,我大致预计该速度将在 140-160MB/s 左右(如果我不知道,请告诉我)。
任何人都可以提供关于 Linux/NFS/Samba 或 10GbE 交换机配置的哪些建议/指南/进一步阅读可能有助于实现这一目标?
virtualization storage network-attached-storage nfs 10gbethernet
我们有一个 Windows Server 2008 R2 域控制器,它在重新启动后始终将其 NLA 位置设置为“网络 3”。毫无疑问,这默认为公共,这与我的域配置文件防火墙设置有关。我必须手动禁用并重新启用网络适配器,然后它才会将自身设置回域配置文件。
我已经尝试过KB2524478和许多其他东西。现在我厌倦了尝试解决这个问题(而且时间很快),所以只想绕过它。我在想脚本禁用/启用与netsh和正在用它做的,但我想更进一步,并确保该NLA位置是真正的“网络3”,而不是“the-domain.example.org” (更具体地说,只是检查它不是域)在我做之前。这样,我可以更频繁地安排它,而不仅仅是在启动时。
我只是错过了这个难题的一部分 - 如何使用我可以通过管道传输的东西来检索位置FIND /i "the-domain.example.org",所以我可以将它运行为:
<something> | ...
FIND /i "the-domain.example.org" || ...
NETSH interface set interface name="Local Area Connection" admin=DISABLED & ...
NETSH interface set interface name="Local Area Connection" admin=ENABLED
那么什么是<something>?
networking scripting command-line-interface windows-server-2008-r2
我试图通过限制在少数几个位置执行 *.exe 来采取一些微不足道的额外恶意软件预防措施 - 特别是各种压缩工具解压缩到的临时文件夹,当用户可能选择打开一个可以直接从 Zip 文件中执行。
从 TechNet 文章,http : //technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx:
您可以在路径规则中使用环境变量。由于路径规则是在客户端环境中评估的,因此使用环境变量(例如 %Windir%)的能力允许规则适应特定用户的环境。
...
路径规则可以包含 ? 和 * 通配符,允许诸如“*.vbs”之类的规则匹配所有 Visual Basic 脚本文件。以下示例说明了通配符的使用:
- “\DC-??\login$”匹配\DC-01\login$、\DC-02\login$
- “*\Windows”匹配 C:\Windows, D:\Windows, E:\Windows
- “c:\win*”匹配 c:\winnt、c:\windows、c:\windir
我有这些 Path 规则(我已经单独和以各种组合应用了这些规则):
%APPDATA%\*.exe%APPDATA%\*\*.exe%LOCALAPPDATA%\*.exe%LOCALAPPDATA%\*\*.exe%TEMP%\*.exe%TEMP%\7z*\*.exe%TEMP%\wz*\*.exe%TEMP%\Rar*\*.exe...理论上应该直接代表用户临时文件夹下的可执行文件,以及临时文件夹中的可执行文件以 Winzip、WinRAR 和 7-zip 可能命名它们的临时文件夹的方式命名(例如%TEMP%\7zSF20.tmp\the_file.exe)。
在%APPDATA%和%LOCALAPPDATA%那些工作; 在%TEMP%那些没有。可执行文件似乎在 %TEMP% 下被阻止,但这只是因为,在默认设置中,它们也符合%LOCALAPPDATA%\*\*.exe规则(默认情况下,Temp 位于 AppData\Local 下)。
我最初认为这是部分文件夹名称中通配符的问题,但似乎这是特定于 %TEMP% 变量的使用(因此重写)。
我已经确认的两种解决方法(以及为什么我不想使用它们)是:
使用%LOCALAPPDATA%\Temp代替%TEMP%
%TEMP%变量可以设置为与 …我正在尝试将全新安装的 SQL Server 配置为在域帐户下运行。但是,在尝试使用另一个域帐户连接到服务器时,我会遇到间歇性错误,并且The SQL Server Network Interface library could not register the Service Principal Name在搜索 ERRORLOG 文件时仍然会看到。
我已将我的服务帐户(不是托管服务帐户,只是一个普通用户帐户)添加到 AD 组(例如SQL Servers),并且我已将 ACE 添加到我的域Computers容器的 ACL,为此组选择:
我已将此复制到所有域控制器,并使用“有效权限”选项卡和 确认了新 ACE 对特定计算机对象的继承dsacls CN=SERVER01,CN=Computers,DC=fabrikam,DC=local,后者现在包括:
Allow FABRIKAM\SQL Servers
SPECIAL ACCESS for Validated write to service principal name <Inherited from parent>
WRITE SELF
Allow FABRIKAM\SQL Servers
SPECIAL ACCESS for Validated write to service principal name <Inherited from parent>
WRITE SELF
WRITE PROPERTY …http://support.microsoft.com/en-us/kb/950934描述了当管理员组的成员使用资源管理器导航到管理员组具有权限的文件夹时,用户将被提示的方式以“单击继续以永久访问此文件夹”。
当他们这样做时,资源管理器会更改文件夹的 ACL 以授予该特定用户对该文件夹的完全控制权。MS 链接准确地描述了要求它以这种方式进行的设计约束。
但是,它破坏了该文件夹的权限集,并使权限的集中管理变得不可能有效。例如,如果稍后从管理员组中删除指定用户,则该 ACL 条目仍然存在以允许他们访问该文件夹。
我不打算禁用 UAC(我实际上喜欢提升和非提升之间的区别),我很高兴使用替代工具以提升的方式导航和查看文件。
最终的目的是运行 MS 链接中描述的解决方法之一(使用可以提升运行的单独文件导航器,或定义一个单独的组来控制对列入白名单的文件夹的访问)但是,资源管理器一直在继续破坏随意使用文件夹的 ACL,无法确定需要应用这些变通方法的位置(缺少定期审核每个文件夹的 ACL 更改)。
如果我在资源管理器中运行非提升时尝试访问受限制的文件夹,我只是希望获得标准的“访问被拒绝”消息。
是否有设置(在每个框上一次或通过 GPO)删除此“永久访问”提示,同时保留 UAC 的其他功能?
注意:我完全理解为什么这个提示存在,它意味着什么以及为什么行为是这样(尽管我不一定同意设计决定)。但是,我应该指出,我不打算讨论与我的用户的工作实践相关的变通方法,也不打算讨论 UAC 或管理员组成员身份的优缺点。
这里有一些系统的混搭,所以请耐心等待。从本质上讲,我在尝试备份远程 Linux 服务器时在使用适用于 Oracle 的 Backup Exec 代理时遇到了一些问题。BE 代理似乎使用 RMAN 来备份数据库
备份服务器在一个 VLAN 上,目标服务器在另一个 VLAN 上,Cisco ASA 防火墙提供了它们之间的唯一链接。这是设计使然,因为备份服务器要支持多个客户端,并且每个客户端都必须位于自己的 VLAN 上,以防止它们相互访问。我已将推荐的端口添加到防火墙,以至少允许代理与媒体服务器通信。
备份开始得很好(实际上,同一台服务器上较小的 Oracle 数据库可以毫无问题地完成),但显然需要几个小时才能完成的 200GB 数据库无法完成。
我认为该问题与http://www.symantec.com/business/support/index?page=content&id=TECH59632相关,它表示在备份开始时在端口 5633 上建立了一个 CORBA 会话并且之前使用过每个 RMAN 操作,但是在传输数据时,CORBA 会话的套接字没有收到任何数据包。由于防火墙上的连接超时为 60 分钟,因此 CORBA 会话被丢弃,并且当 RMAN 代理尝试执行其下一个操作时,整个过程会爆炸。赛门铁克说这个问题在早期版本的 Backup Exec 中得到了解决,但没有详细说明任何额外的设置来强制执行它。
将防火墙上的连接超时设置为足以覆盖备份窗口的时间(例如 12 小时)似乎是错误的做法,因为这是一个范围内的更改,这也会影响(例如) 对另一个客户端的 Web 服务器的 Web 请求。
将 Linux 服务器移动到与备份服务器相同的 LAN 中是不可能的。
我不是 Linux 大师,但我大致了解我的方法。到目前为止,我已经尝试开始使用 libkeepalive ( http://libkeepalive.sourceforge.net/ ) 来强制使用 KEEPALIVE TCP 标志创建 beremote 进程的套接字,但快速netstat -top表明它没有被占用。要么我错误地使用了 libkeepalive,要么它不适用于 beremote 二进制文件
我想我正在寻找适合我所处环境的选项。我想我正在寻找以下一项或多项:
group-policy ×2
windows ×2
10gbethernet ×1
backupexec ×1
cisco-asa ×1
kerberos ×1
linux ×1
networking ×1
nfs ×1
oracle ×1
scripting ×1
security ×1
sql-server ×1
storage ×1
tcpip ×1
uac ×1