当我整理一份关于开始 Windows 管理的演示文稿时,我被一个问题震惊了,我很惊讶我没有早点问过这个问题。
我知道:
这篇博文暗示 AD 网络中的客户端计算机可以“知道”它们是哪个站点的成员。我的问题是,如果是这种情况,他们是如何发现的?
如果客户端本身不知道,DC 如何帮助机器选择最接近该客户端计算机的 AD 服务?
在我们的纽约办事处,我们已经等待了将近一个月的时间,Verizon Business 才能修复我们当地 CO 的问题。他们一直说飓风桑迪造成的破坏非常广泛,以至于他们无法使 CO 恢复正常。日期一直在下滑,我的上司越来越焦躁不安。
当然,VoIP 是一种选择,但他们需要电路交换质量的通话,而使用互联网 VoIP 提供商则无法获得这种质量。有没有人对如何在不涉及本地交换运营商的情况下将电话连接到建筑物有任何其他想法?
我正在尝试在我们的 ASA5520 上设置 L2TP/IPSec,以支持我们的一位开发人员的边缘案例。当您使用内置 vpn 子系统时,Windows VPN 子系统显然会存储用于登录的 kerberos 或 NTLM cookie,而 Cisco VPN 客户端和 AnyConnect 客户端不会这样做。
当我尝试通过 Windows 7 连接到 VPN 时,连接失败:
%ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure: Mismatched attribute types for class …我正在调查是否可以让 puppet 生态系统利用我们现有的 Microsoft Enterprise CA 而不是自己的 CA。
由于 puppet 吹捧所有系统都是“标准 SSL”,我的猜测是完全有可能在不改变 puppet 的情况下做到这一点,但是除非编辑 puppet 以对企业进行适当的调用,否则这可能是一个巨大的手动难题CA。
有没有人试过这个?是不是“这里有龙,转身离开!” 情况?
我正在尝试测试与 VLAN 相关的网络问题,因此我认为启动几个虚拟机将是测试问题的最简单、最干净的方法。在 vSphere 服务器上,我创建了一个没有绑定适配器的新 vSwitch,然后创建了一个带有 VLAN 标记 0(已禁用)的新 VM 网络。
我创建了两个 VM 并将这些 VM 放在新的 VM 网络上。只要不涉及 VLAN 标记,它们就可以相互通信,但是一旦我将它们的接口分配给操作系统内的特定 VLAN,它们就无法在 VLAN 上通信。
看来 vSphere 正在以某种方式剥离 VLAN 标记。有谁知道是否有办法让 vSphere不剥离 vSwitch 不期望的 VLAN?
我们利用心跳实现高可用性。我想向心跳集群添加一个额外的 ip 地址,但我不想在此过程中完全重启集群。是否有我可以发送到 heartbeat 的信号来提示它重新解析“haresources”文件并对其采取行动?heartbeat -r 似乎不能解决问题。
我们正在尝试通过 Meraki Z1 远程工作人员设备对远程 vpn 上的客户端进行身份验证。Z1 正在发送正确的请求,网络策略服务器 (ias) 服务显然正在对用户进行身份验证,因为我们的 NPS 日志显示审核日志中的原因代码为 0,但是 ias 将访问拒绝返回给Z1 设备。
我很难找出为什么 ias 服务发送访问拒绝,现在我认为我需要某种深度调试输出来查看问题所在。有谁知道我如何能够从 IAS 服务中获取大量日志信息?有没有一种特定的方法可以通过 EventLog 界面启用它?
我们在周末换到了 ASA,我们更换了以前基于 openvpn 的 VPN 基础设施,现在在我们的 ASA 5520 和其他具有 linux (CentOS) 路由器的站点之间使用 IPSec。
VPN 连接正常,但一段时间后连接失败。在 ASA 上,它没有显示对等方的 ipsec SA,但它确实显示 isakmp sa 仍然处于活动状态。如果我清除连接两端的 SA,VPN 将再次恢复。
我假设问题是密钥更新问题,但似乎所有提案都具有相同的密钥生命周期(如下所示)。关于可能是什么问题的任何想法?
注意——我已经混淆了这些捕获的 IP 地址;我怀疑我的提议有问题,所以 IP 不应该是相关的。假设所有 IP 都是占位符。
ASA 显示运行加密
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 288000
crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route
crypto map vpnmap 10 match address colo1_to_hq_vpn
crypto map …我们在 Stack Exchange 使用 NetBackup,我正在努力改进我们的备份策略以提高效率。
目前,我们使用 SQL 2008 R2 并让 SQL 运行维护计划将数据备份到 .bak 文件。写入该文件后,我们将备份存储 .bak 文件的目录。
我们不使用 NetBackup 的 SQL 代理,因为我们将 .bak 文件用于简单备份之外的其他用途。
我正在考虑制定每周/差异/累积轮换的时间表,但考虑到目录将包含保证每天都是新的大文件的事实,并且考虑到我们的系统会自动老化超过特定天数的备份,我认为标准的“办公室文件服务器”方案可能比其他方法效率低。
有没有“最有效”的方法来处理这个问题?
我们目前在具有冗余 ip 连接的位置运行 ASA9。我们很乐意进行配置,ip sla以便 Internet 访问能够在单个运营商中断的情况下继续存在。我知道 ip sla 命令,但是当我尝试预填充所需的 NAT 规则时,第二条规则的添加将覆盖第一条规则。下面是一个例子:
object network NYHQ_GUESTWIRELESS_10.110.6.0_24
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_FIOS) dynamic interface
当我尝试添加额外的 nat 规则时,也许
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface
新规则会覆盖先前存在的规则,如下所示:
object network NYHQ_GUESTWIRELESS_10.110.6.0_24
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface
有什么方法可以让这两个规则都到位,以便 NAT 可以与我们的 SLA 规则合作,以确保无论使用哪个提供商,NAT 仍能正常工作?