我只是有一个用户无法在 Windows 2008 域上更改他的密码。尽管他确信他选择的密码满足这些要求,但它给了他一个关于复杂性要求的神秘信息。我自己测试并确认了。
如果我记得的话,他的最后一个密码似乎是根据 Microsoft 推荐的默认设置(例如 10 天)设置的太近了。
他问了我一个很好的问题,我无法回答:为什么会有最低密码年龄?这如何合理地有益于安全?他还指出,人们可能会在这 10 天内发现他们的密码被泄露而无法更改!
是否有任何正当理由强制执行最低密码年龄?
这是一个关于 ZFS 和 RAID-Z 的理论问题。为清楚起见,我将使用三磁盘单奇偶校验阵列作为示例,但问题可以扩展到任意数量的磁盘和任意奇偶校验。
假设池中有磁盘 A、B 和 C,并且它是干净的。
假设现在我们物理添加磁盘 D 的目的是替换磁盘 C,并且磁盘 C 仍然正常运行并且只是出于预防性维护而被替换。一些管理员可能只是猛拉 C 并安装 D,这会更有条理,因为设备不需要更改 ID - 但是这确实会使阵列暂时降级,因此对于此示例,假设我们在不脱机或删除 C 的情况下安装 D。Solaris 文档表明我们可以在不先将磁盘脱机的情况下替换磁盘,使用如下命令:
zpool replace pool C D
这应该会导致重新同步到 D。让我们说重新同步沿着“光标”“向下”进行。(我不知道内部实现中使用的实际术语。)
现在假设在重新同步过程中,磁盘 A 出现故障。理论上,这应该是可恢复的,因为上面的游标 B 和 D 包含足够的奇偶校验,而下面的游标 B 和 C 包含足够的奇偶校验。但是,这是否实际上是可恢复的取决于 ZFS 中我不知道的内部设计决策(并且手册在某些方面没有说明)。
如果 ZFS 继续向光标下方的 C 发送写入,那么我们就没事了。但是,如果 ZFS 在内部将 C 视为它已经消失,仅根据 A 和 B 之间的奇偶校验重新同步 D,并且只在光标下方写入 A 和 B,那么我们就干杯了。
一些实验可以回答这个问题,但我希望这里的某个人可能已经知道 ZFS 处理这种情况的方式。提前感谢您的任何见解!
我正在研究如何将各种操作系统安装到无盘服务器上以通过 iSCSI 运行。服务器没有用于此的特殊硬件(没有 iSCSI HBA 等)
我短暂地使用了 Windows 部署服务,但它似乎与我想要的相反:我可能错了,但它似乎旨在将基于网络的 Windows 安装到系统上,然后从本地磁盘启动,而我想安装 Windows 以便它可以从 iSCSI 磁盘运行,而且我不在乎是否必须在本地插入安装介质。因此,我目前的方法不使用 WDS。
此测试适用于 Windows Server 2012,但也可能适用于之前的版本。
简而言之,我正在设置一个空白的 iSCSI 目标(我已经尝试了几个软件供应商,虽然目前我使用的是 StarWind,但它似乎没有太大区别),并使用 PXE 链接到 gPXE 或 iPXE 来做iSCSI 引导(我都试过,结果相似,但我发现 gPXE 更容易使用。)
当然,如果没有操作系统,引导会失败,但它会通过 BIOS 磁盘接口将 LU 连接起来,这样当本地 DVD-ROM 被引导时,安装程序就会看到要安装到的卷。
我通过进入 gPXE 提示符并键入以下命令来完成引导(在 iPXE 中除了接口 # 外相同):
dhcp net1
set keep-san 1
sanboot iscsi:#.#.#.#::::iqn.xxxxxxxxxxxxxxxxxxx
exit
Windows Server 2012 似乎已安装并在某些时候重新启动。iPXE 启动以从 iSCSI 启动,并出现“Metro”徽标 - 所以至少某些东西确实安装到了 LU。然而,屏幕随后变成浅蓝色,一条消息以大文本形式短暂闪烁,关于“PC”(它实际上是一个机架服务器,但无论如何)遇到问题,但在它消失之前我无法阅读所有内容并且计算机是重新启动。
最终我得到一个标题为的文本屏幕Windows Boot Manager,上面写着:
Windows failed to start. A recent hardware or software change …我一直在解决严重的 WAN 速度问题。我修复了它,但为了他人的利益:
通过 WireShark、日志记录和简化配置,我将其范围缩小到一些奇怪的行为,从执行 DNAT 的网关到内部网络上的服务器。网关(一个 CentOS 机器)和服务器都运行在同一个 VMware ESXi 5 主机上(事实证明这很重要)。
这是发生的事件序列 - 非常一致 - 当我尝试从 DNAT 后面的 HTTP 服务器下载文件时,使用直接连接到网关 WAN 端的测试客户端(绕过此处通常使用的实际 Internet 连接) :
通常的TCP连接建立(SYN、SYN ACK、ACK)正常进行;网关以两种方式正确地重新映射服务器的 IP。
客户端使用 HTTP GET 发送单个 TCP 段,这也被正确地 DNAT 传输到目标服务器。
服务器通过网关发送一个 1460 字节的 TCP 段,其中包含 200 响应和文件的一部分。线路上的帧大小为 1514 字节 - 1500 有效载荷。该段应该穿过网关,但没有。
服务器通过网关发送第二个 1460 字节 TCP 段,继续该文件。同样,链接有效载荷为 1500 字节。该段也不会跨越网关并且永远不会被考虑在内。
网关将 ICMP 类型 3 代码 4(目标不可达 - 需要分段)数据包发送回服务器,引用事件 3 中发送的数据包。ICMP 数据包指示下一跳 MTU 为 1500。 这似乎是无意义的,因为网络是 1500 字节干净的,并且 3 和 4 中的链接有效载荷已经在规定的 …
我试图了解 ZFS 在特定条件下的行为,但文档对此不是很明确,所以我只能猜测。
假设我们有一个具有冗余的 zpool。采取以下事件顺序:
设备 D 与服务器之间的连接出现问题。这会导致大量故障,并且 ZFS 会导致设备出现故障,从而使池处于降级状态。
当池处于降级状态时,池会发生突变(数据被写入和/或更改。)
连接问题已得到物理修复,设备 D再次可靠。
知道 D 上的大多数数据都是有效的,并且不想通过重新同步给池带来不必要的压力,管理员改为运行zpool clear pool D。Oracle 文档指出,当故障是由于暂时性问题引起且已得到纠正时,这是适当的操作。
我读过,这只zpool clear清除错误计数器,并将设备恢复到在线状态。然而,这有点麻烦,因为如果这就是它所做的一切,它将使池处于不一致的状态!
这是因为步骤 2 中的突变不会成功写入 D。相反,D 将反映连接失败之前池的状态。这当然不是 zpool 的规范状态,并且可能会在另一个设备发生故障时导致硬数据丢失 - 但是,池状态不会反映此问题!
我至少会假设基于 ZFS 强大的完整性机制,尝试从 D 读取变异数据会捕获错误并修复它们。然而,这会带来两个问题:
除非完成清理,否则不能保证读取命中所有突变;和
一旦 ZFS确实命中了变异数据,它(我猜测)可能会再次使驱动器出现故障,因为 ZFS 会认为它正在损坏数据,因为它不记得以前的写入失败。
理论上,ZFS 可以通过跟踪降级状态期间发生的突变并在清除时将它们写回 D 来规避此问题。但出于某种原因,我怀疑事实并非如此。
我希望对 ZFS 有深入了解的人可以在这方面提供一些启发。
我即将在 HP Smart Array P400i 公开的 RAID10 上安装 ESXi 5.0U2。(服务器是 DL580 G5。)但是,我注意到基于 ROM 的实用程序缺少基于浏览器的 HP Array Configuration Utility 的许多功能,但后者只能在 Windows 或 Linux 发行版中运行。
我不能在这台服务器上做任何 PCI 直通,所以据我所知,我不能只是将 ACU 安装到来宾操作系统中并期望到达任何地方。
我可以看到使用 ACU 的唯一方法是在需要进行阵列管理时在单独的驱动器上安装 Windows 以引导到,但这非常不方便,并且对监控也不起作用。
我是否有更好的选择来管理此类主机上的硬件 RAID?
ZFS 文件系统可以在其上设置aclinherit和aclmode属性,以控制可继承的 ACL 条目如何与对象创建和 Unix 风格的权限操作交互。
不幸的是,官方文档对于这两个属性在计算 ACL 中的作用方面究竟有什么区别有点含糊不清/含糊不清。为了说明这一点,请从在 Oracle® Solaris 11.3 中保护文件和验证文件完整性中摘录,重点是我的:
aclinherit– 确定ACL 继承的行为...
和:
aclmode–在最初创建文件时修改 ACL 行为或控制在chmod操作期间修改 ACL 的方式...
这真的很令人困惑,因为在最初创建文件时会发生或不发生ACL 继承!
至于chmod,上面的语言和一些例子表明它的行为是由 控制的aclmode,但第 45 页上还有一个例子表明它是由 控制的aclinherit。
我有一种感觉,这也因用于创建文件的 API 中的变量而变得复杂。(我熟悉 Windows API,但不熟悉 *nix API。)
我觉得即使在阅读了文档后,我对这些属性的工作原理也有相当不完整的了解。
两者之间究竟有什么区别?它们似乎有一些重叠,那么是什么决定了应用哪个呢?如果他们有矛盾怎么办?
我对 ZFS 的经验通常是它可以正常工作,所以我希望答案是,这不是问题——但我有一个数据池,如果它发生故障,它会毁掉我的一月,所以我想仔细检查一下。
这个问题实际上可能在涉及单独数据池的两种不同情况下出现。现在我正在处理第一个,但我也想知道第二个:
rpool)失败了,但是数据池的存储是好的,所以你想从备份中恢复系统盘,但继续使用数据池的实时存储。rpool),但数据池存储在处于“独立”模式、RDM 等的磁盘上,因此将不会被回滚。在这两种情况下,当 Solaris 重新启动时,它会看到一个它知道的数据池,但它处于它从未(据它记得)放入的状态。
我主要只关心在系统磁盘回滚之前系统被彻底关闭的情况,以及系统在它被回滚到的映像之前被彻底关闭的情况。我希望在运行状态之间切换可能会有点棘手。
还要注意,在我的特殊情况下,池的存储几何结构和存储路径没有改变。同样,如果他们有的话,我希望这会更棘手。
我甚至不会与Windows和NTFS会问这个,因为这是一个比较简单的解耦系统,所以很难看出为什么它不会工作。但是,似乎 Solaris 将某种池元数据保留在带外,正如您应该zpool export以及zpool import在系统之间移动池时所证明的那样(由于 VMware,我从未以这种方式这样做过)。我对此元数据及其用途的了解有限,因此我很难推断这种情况下的影响。(对此的解释会很棒!)
我实际上仍然可以访问预回滚系统。它位于由 HP SmartArray 支持的 VMFS 数据存储中,在一次不幸的预防性维护磁盘更改(由于 SmartArray 比 ZFS 更笨拙而导致数据丢失)后,该 SmartArray 发出了 1716 POST 警告。所有重要的虚拟机看起来仍然很好,并且对其文件系统的扫描没有发现任何错误,但我计划从最近的备份中恢复阵列,因为我有理由怀疑 ESXi 会默默地将坏扇区归零,而不是将错误传递给来宾,所以我不想冒险一些归零的部门潜伏在某处稍后咬我的屁股。
对于 Solaris VM,我不必担心归零扇区,因为 ZFS 会捕捉到这一点,但大多数其他 VM 使用哑文件系统。不过,备份是整个 VMware 数据存储的映像,因此修复它们也会回滚 Solaris VM。实际上,我rpool对这个 VM进行了清理并没有发现任何错误,所以如果我愿意,我可以将它的 VMDK 藏在其他地方并在回滚后将其复制回来,然后整个问题就是没有实际意义。如果没有人回答,我想这就是我会做的,哈哈。但这是我想知道一段时间的事情,所以我仍然会问。
那么,问题是,我可以继续回滚系统盘的存储并完成它吗? 或者我是否必须从预回滚系统导出池,回滚,在附加存储之前删除池,然后附加存储并导入池?我不喜欢后者的声音,部分原因是该池同时提供 CIFS 和 …
ESXi 5 中的 VM 配置对话框警告我,如果我在安装来宾操作系统后更改 vCPU 的数量,天就会塌下来 - 咳咳 - 它“可能会使我的虚拟机不稳定”。
我知道线程序列化中涉及的某些 CPU 指令在多处理器系统中需要 LOCK 前缀,但在单处理器系统中不需要(或至少不需要单核)。操作系统通常会在不需要的地方省略 LOCK。
如果操作系统使用省略 LOCK 的内核但使用多个 CPU,那么这将导致极度不稳定和难以隔离的错误。但是,如果内核是为一个处理器设计的,那么使用多个处理器(它必须有意识地这样做)有什么用?这似乎是一个完全荒谬的操作系统设计,我希望它在实践中不存在。
更合理的操作系统设计是在启动时检测 CPU 并相应地选择单处理器或多处理器内核。否则,唯一的其他合理设计将安装正确的内核,但单处理器内核将永远不会使用另一个处理器,因此除了根本不使用它之外,另一个 CPU 不会有任何危害。
应用程序软件可能会更容易遇到一些麻烦,因为即使在单核系统上也很容易使用多线程,因此如果不注意它在多处理器系统上并且没有锁定(或使用操作系统的设施)可能会导致可怕的错误。但是,任何严肃的软件都会有如此糟糕的设计,以至于只能在安装期间测试单/多处理器状态吗?
世界末日警告背后的原因是什么?我实际上应该在哪些操作系统或应用程序上(如果有的话)出现问题?
现代版本的 Windows 似乎有一个“功能”,其中,在加入域的机器的登录屏幕上,如果输入“管理员”作为用户名,它会自动从域切换到本地帐户。如果您尝试以“域\管理员”身份登录,则必须始终输入“域”,而这对于登录任何其他域帐户而言不是必需的。
这变得非常烦人,所以我想知道是否有办法禁用这种行为。理想情况下,我想设置组策略以在所有系统上停止它。
除了偶尔提到这个“功能”是一种烦恼之外,网络搜索变得枯燥乏味。
我在 2003 功能级别林中有一个 2008 功能级别域,其中 DC 运行 Server 2008 和 2008 R2。
许多成员服务器和计算机是虚拟机。有时这些会回滚到之前的快照,有时这会破坏信任。通常我可以通过这种方式轻松解决这个问题:
netdom resetpwd /server:<DC-name> /userd:<dom>\<dom-admin> /passwordd:*我在使用更新的 Windows 版本时没有遇到任何问题,但我发现这在 Server 2003 R2 成员服务器上不起作用。相反,它只是给了我这个错误:
The machine account password for the local machine could not be reset
The specified domain either does not exist or could not be contacted
我不确定我是否做错了什么,或者在 2003 R2 中是否有可能。
我还尝试通过 AD 用户和计算机重置机器帐户,但似乎没有效果。
DC 可以从服务器正常 ping 通,否则域正常。我也试过net use在 DC 上使用 IPC$ 共享,这也有效。他们的 NETLOGON 和 SYSVOL 也出现在net view. 该成员在回滚之前工作正常。其实除了会员机账号密码没有太大变化。
zfs ×4
vmware-esxi ×3
solaris ×2
windows ×2
gateway ×1
hp ×1
hp-proliant ×1
iscsi ×1
networking ×1
password ×1
pxe-boot ×1
raidz ×1
security ×1
snapshot ×1
solaris-11 ×1