是否可以/建议两台服务器使用相同的名称服务器?
例如,如果我有两个 VPS 服务器;一种用于商业一种用于个人。他们可以使用相同的名称服务器吗?
查看邮件服务器上的日志,我注意到如下消息:
Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]
在这些情况下没有 SASL 故障。其他时间会记录 SASL 失败,但从未记录过lost connection after AUTH.
这里发生了什么,我应该做些什么?
这些不是 MX,并且已经smtpd_client_connection_rate_limit设置。
可能相关:
在宣布 AUTH 之前,系统需要 SMTPS 或 STARTTLS。
# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld
ldap_start_tls: Can't contact LDAP server (-1)
additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
# openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs
<... successful tls negotiation stuff ...>
Compression: 1 (zlib compression)
Start Time: 1349994779
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
openssl似乎认为证书没问题,但是openldap的库(pam_ldap表现出类似的行为,这就是我陷入困境的方式)不同意。
我究竟做错了什么?
我最近将我的checksum一个非重复 zfs 文件系统上的属性更改为sha256from on(fletcher4) 以更好地支持重复复制流的发送,如在此命令中所示zfs send -DR -I _starting-snaphot_ _ending-snapshot_。
但是,zfs 联机帮助页有关于以下内容的说明send -D:
无论数据集的 dedup 属性如何,都可以使用此标志,但如果文件系统使用支持 dedup 的校验和(例如 sha256),则性能会好得多。
zfs 联机帮助页还说明了有关该checksum属性的信息:
更改此属性仅影响新写入的数据。
我不想相信 fletcher4。权衡是与 SHA256 不同,fletcher4 不是伪随机哈希函数,因此不能相信不会发生冲突。因此,它仅适用于与 'verify' 选项结合使用的重复数据删除,该选项可检测并解决散列冲突。
如何更新文件系统的校验和,最好不要使系统脱机?
我希望slappasswd产生一个固定的哈希值,但似乎输出是随机的,因为对于相同的输入密码,我从来没有得到相同的输出:
$ slappasswd -s secret
{SSHA}mCXsPZkfgQYZr2mKHpy5Iav+2S2XlVU3
$ slappasswd -s secret
{SSHA}62oXsalJBuopYfHhi6hGp6AESuWNIVnd
$ slappasswd -s secret
{SSHA}0Ulc8+ugMi3NbTtWnclOFW1LKCqRdsT8
在身份验证期间,slapd如何知道如何以相同的方式随机化提供的密码的哈希值,以便它可以匹配最初定义的密码?
Postfix 无法对 cyrus saslauthd 进行身份验证。但是,saslauthd 本身愿意进行身份验证。我错过了什么?
从系统日志mail设施:
Aug 5 14:47:26 centos7-msa-test postfix/postfix-script[20286]: starting the Postfix mail system
Aug 5 14:47:26 centos7-msa-test postfix/master[20288]: daemon started -- version 2.10.1, configuration /etc/postfix
Aug 5 14:47:34 centos7-msa-test postfix/submission/smtpd[20291]: connect from client.example.com[192.0.2.2]
Aug 5 14:47:34 centos7-msa-test postfix/submission/smtpd[20291]: Anonymous TLS connection established from client.example.com[192.0.2.2]: TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits
Aug 5 14:47:34 centos7-msa-test postfix/submission/smtpd[20291]: warning: SASL authentication failure: Internal Error -4 in server.c near line 1757
Aug 5 14:47:34 centos7-msa-test postfix/submission/smtpd[20291]: warning: SASL …我需要一个不可欺骗且准确的时间源。
没有设置我自己的原子钟(除非这比听起来容易)我怎么能做到这一点?
并不是我不信任 NTP 池;我对我在和谁说话没有任何保证。
最近我们更改了 LDAP 服务器(在 Suse Enterprise 中运行)的 IP 地址(并添加了一些组),因此也应该更改我们拥有的所有服务器的 ldap 身份验证配置。
大多数服务器都在 Centos 上。我们将 /etc/sssd/sssd.conf 中的 ldap_uri 参数修改为新服务器,但是当我们登录服务器并进行:
id user
我们获取的是旧服务器而不是新服务器的用户信息。事实上,如果我们将 sssd.conf 更改为使用不存在的 ldap_uri,我们仍然会从命令 id user 获得相同的响应。
authldapconfig --test 说缓存被禁用,我们还尝试重新启动服务器和客户端,但没有任何效果。是否有一些必须刷新的 ldap 客户端缓存?
注意:在 /etc/openldap/ldap.conf 中对 uri 进行了注释。
sssd.conf 文件是:
[domain/default]
ldap_id_use_start_tls = False
cache_credentials = True
ldap_search_base = dc=maxcrc,dc=com
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
#ldap_uri = ldap://172.31.7.17/
ldap_uri = ldap://172.31.7.206/
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_tls_reqcert = never
ldap_schema = rfc2307bis
entry_cache_timeout = …非服务器机器会不会有问题:
1.没有匹配in-addr.arpa的转发地址?
2.没有转发地址?
3.没有in-addr.arpa PTR?
背景
在尝试降级 Windows 2012 域控制器时,我遇到以下警告:
无法联系其他域控制器,但其他域控制器对象在目录中。如果您确定这是域的最后一个域控制器并希望继续,请确认这是域中的域控制器。
但是,这不是域的最后一个域控制器。
如果我检查Force the removal of this domain controller我被警告:
除非这是域中的最后一个域控制器,否则您必须在删除后手动执行元数据清理。
问题
如何安全地降级此域控制器?为什么它声称它无法联系其他域控制器?使用“手动”元数据清理强制删除有多安全?
更新
dcdiag追踪来自 的消息,我发现当前拥有 PDCe 角色的另一个 DC 没有任何 SYSVOL 共享,并且它\Windows\SYSVOL\sysvol\domain.example.com是空的。我相信这就是导致问题的原因,但我不确定如何继续。
更多详细信息
DomainMode : Windows2012Domain
ForestMode : Windows2003Forest
此域控制器是该域的第一个域控制器,因此拥有 InfrastructureMaster、PDCEmulator 和 RIDMaster 角色。但是,Move-ADDirectoryServerOperationMasterRole在任何降级尝试之前,这些角色都被转移到了另一个域控制器,没有出现明显的事件。
域控制器是全局编录和 AD DNS 服务器,另一个域控制器现在拥有 FSMO 角色,林的域控制器也是如此。
其他域控制器上不会触发相同的警告。
repadmin /replsummary 显示没有明显问题。
没有对 Windows 防火墙进行自定义。域控制器位于同一 VLAN 上,并且沿其路径未应用特定于接口的 ACL。