Questions tagged «best-practices»

我们正在使用共享域帐户在公司中运行多项服务。不幸的是，该帐户的凭据被广泛分发，并且经常用于服务和非服务目的。这导致了一种情况，由于该共享帐户被锁定，服务可能会暂时关闭。 显然，这种情况需要改变。计划是将服务更改为在新帐户下运行，但是我认为这还远远不够，因为该帐户受相同的锁定策略约束。 我的问题是：我们是否应该以与其他域帐户不同的方式设置服务帐户，如果要设置，则如何管理这些帐户。请记住，我们正在运行2003域，并且在短期内升级域控制器不是可行的解决方案。

9 windows-server-2003  active-directory  best-practices 

我目前管理6台Cisco ASA设备（2对5510和1对5550）。它们都工作得很好并且很稳定，所以这更多是一个最佳实践的建议问题，而不是“ OMG坏了，请帮我修复它”。 我的网络分为多个VLAN。几乎每个服务角色都有其自己的VLAN，因此DB服务器将具有自己的VLAN，APP服务器和Cassandra节点。 通过仅允许特定的拒绝休息基础来管理流量（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个ACL来做到这一点，例如： 访问列表dc2-850-db-in ACL，该访问控制列表以“ in”方向应用于dc2-850-db接口 以“出”方向应用于dc2-850-db接口的访问列表dc2-850-db-out ACL 一切都非常紧凑并且可以按预期工作，但是我想知道这是否是最好的选择？ 目前，我已经拥有30个以上的VLAN，我必须说，在某些情况下管理这些VLAN变得有些混乱。 可能像通用/共享ACL这样的东西在这里可以帮到我可以从其他ACL继承的东西，但是AFAIK没有这样的东西... 任何建议，不胜感激。

9 networking  security  cisco  cisco-asa  best-practices 

“回到过去”，我们始终将操作系统驱动器（在Windows中）与数据驱动器分开。在Linux世界中，尽管我不太熟悉它，但是我知道，智慧决定了在最佳实践配置中定义和使用的卷甚至更多。 既然服务器存储很可能位于SAN（磁盘资源由许多单独的操作系统和应用程序共享）上，那么将OS和Data分区在卷级别上分离是否真的重要吗？ 你怎么看？

9 windows  performance  best-practices 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 5年前关闭。 我认为这会带来一些有趣的建议，成为一个不错的话题。 在新组织中接管IT时，首先要做的是什么？ 您会立即寻找哪些危险信号？ 您的部门必须拥有什么（取决于组织的规模）？

9 security  best-practices 

题 是否有一个“正确” /标准来区分的方式Service Accounts从User Accounts公元？ 更多信息 在某些情况下，我们的系统在AD凭据下（即在服务帐户下）运行。这些服务帐户的创建方式与用户帐户完全相同；唯一的区别是名称和描述。已经做了一些事情来区分这两种帐户类型（例如，帐户所在的OU，是否启用了“密码永不过期”，如果说明中包含“服务帐户”），但是没有一个规则可以可以应用于一切，以清楚地区分两者。 展望未来，我们正在努力改善这种/春季清洁的东西，以使其与众不同。为此，我们可能会同时使用OU和Description字段。 在执行此操作之前，我想检查一下；是应该这样做的一种方式；例如，一些专门用于此目的的属性（可能是objectCategory值不同于Person？），还是公认的标准命名约定，或者每个公司是否都制定了自己的方法？

8 active-directory  ldap  best-practices 

我使用的是相当大的nagios配置（约4000个服务），没有任何依赖关系。当出现问题时，这会导致大量的通知混乱。 我试图通过Nagios Dependencies寻找最佳实践，但是我在网上发现的只是一个简单的例子而已。我需要的是更深入的信息，以及有关如何管理此类配置文件的最佳实践。 示例：在包含100个服务器且每个服务器都监听apache的群集上，我正在监视apache进程和监听TCP端口80的数量。我想使一个依赖于另一个，但是dependent_hostgroup_name不能解决问题导致所有“检查过程”服务都依赖于每个“ check_http”服务。 问题是：如何管理依赖性？您是否使用脚本来生成它们？

8 monitoring  nagios  best-practices  dependencies 

考虑到以下因素，什么是最佳拓扑？ 6 x Exchange 2010标准许可 2个单独的位置，假定在出现链路问题时可以支持冗余 4个具有Forefront Security和Forefront Protection / Security的Forefront TMG 2010 使用这些Exchange在全球多个地点。大多数位置将通过VPN隧道连接（肯定是托管Exchange的位置）。 我在想这样的事情： 主要位置（大约70-100人）： NLB 2x TMG 2010 1x Exchange 2010 CAS / HUB角色 2个Exchange 2010邮箱角色（主动+被动） 位置支持（约20人）： NLB 2x TMG 2010 1x Exchange 2010 CAS / HUB角色 2个Exchange 2010邮箱角色（主动+被动） 管理层希望确保在主要位置出现问题（电源故障，链路丢失等）的情况下，第二个位置可以支持来自世界各地的所有流量，反之亦然。我们有6-7个地点，以后还会有更多地点（不是很大，但每个地点大约有10人以上）。 我确实知道CAS / HUB是单点故障（并且没有NLB），但是我只是缺少更多许可证来对此做一些冗余。 您如何看待这种方法？您认为哪种方法更好？

8 exchange-2010  best-practices  topology 

这可能应该是社区Wiki。我试图列出所有我们应该定期执行的sysadmin任务，因为我认为我们在公司做得还不够。这里的态度是解决问题很不方便，但是我们没有时间进行预防性维护或持续改进。 日常： 交换每晚备份磁带/驱动器 检查防病毒更新是否已推送到所有系统 每周： 交换每周备份磁带/驱动器 从所有系统清除临时文件 对所有系统进行碎片整理 每月： 计划基础设施的改善 向电子回收商交付/发送过时的设备 重建或更换老化的工作站 测试从备份还原 年度： 重建或更换老化的服务器 更换UPS电池

8 best-practices  maintenance 

在Windows Server 2012 RTM上运行最佳实践分析器（此虚拟服务器在hyper-v主机上运行）时，我收到两个配置警告。 在网络适配器上启用接收方缩放（RSS） 我运行以下PS cmdlet： Enable-NetAdapterRss-名称* 输出： Enable-NetadapterRss : The request is not supported. At line:1 char:1 + Enable-NetadapterRss -Name * + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (MSFT_NetAdapter...1E300D0AB920}"):ROOT/StandardCi...rRssSettingData) [Enable-NetAdapterRss], CimException + FullyQualifiedErrorId : Windows System Error 50,Enable-NetAdapterRss 接下来，由于PS cmdlet无法正常工作，因此我进入了网络适配器设置。而且，当然，我看不到任何称为“接收方缩放”的选项。 在网络适配器上启用IPsec任务卸载v2（TOv2） 对于这一点，我进入了网络适配器属性（请参见上面的屏幕截图），有一个名为IPSec Offload的选项。设置为“ Auth Header”和“ ESP Enabled”。但是，BPA仍然抱怨未启用此设置。 我是否必须在hyper-v主机的网络适配器上启用这些配置设置？我想知道如何配置这两个选项。 更新： …

1 best-practices  windows-server-2012