Q：如何与AD活动目录，或者LDAP目录数据库集成，提供AAA身份认证。

A：范例如下
#增加local用户
aaa-server "local" type local
user "vpnuser"
exit

#定义角色映射，将AD用户映射为local用户角色
role "vpnuser"
role-mapping-rule "vpnuser"
  match user "vpnuser" role "vpnuser"
exit

#配置AAA服务器授权，LDAP类似
aaa-server "DC2008" type active-directory
  host 192.168.30.201
  role-mapping-rule "vpnuser"
  base-dn "DC=epfuture,DC=com"
  login-dn "cn=auth_ldap,cn=users,DC=epfuture,DC=com"
  login-password EoK9fzVgbJ9bEjjbgzolUSTpXr8r
exit

有几个应用系统，工作在windows平台上，由金蝶等第三方厂商提供，运行都是stand_alone模式。弊端很明显，每次开机/重启，都必须RDP登录上去，把应用开启，然后断开RDP连接。（不能注销，一注销应用也就跟着shutdown了）
必须将其注册为Windows服务，所幸Microsoft在Resource Kit Tools包中提供了实现方法。

工作原理

开机由某后台用户（可以是系统用户，本地用户和域用户，只要权限足够即可，稳定方面考虑，建议system用户）启动superdaemon进程srvadny.exe，再由其调用application.exe载入后台进程工作。这一点，可以在任务管理器里确认，srvany.exe和application.exe是同时存在的。

原理和Linux的Xinet服务机制较像，关于Xinetd的服务机制，鸟哥的Blog有详细描述。

实现步骤

1.安装Resource Kit Tools，下载地址

2.利用instsrv注册一个srvany的实例MyApps

3.编辑该实例的各项属性
注册表编辑器regedit.exe，进入以下路径，展开以下
“HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services”，找到MyApps项，新建子项，名称为”Parameters”，在里面建立以下键值

4.打开service.msc，找到MyApps服务，编辑其它属性，如启动用户，开机是否自动启动。

5.在service.msc中启动该服务。

6.重启服务器，确定该service自动启动成功。

误差小的时候，ntpd不会直接修改系统时间的，只是对时钟频率进行校正。这种方式好处是系统时间不会有跳变，不会影响像crontab这样程序的运行，缺点是校正需要一定的时间。

RHEL系统上，我们常用ntpd来完成该任务；而在Ubuntu系统里，我们则用openntpd来替代它。相对ntpd，openntpd是轻量级的网络时间协议，设置比较简单。
关于ntpd和openntpd的设置，参考以下2篇文章

以下摘自《鸟哥的私房菜》，可解读为什么会有偏差的问题。

1.挑选最快最稳定的ntp上层服务器

2.使用ntpdate同步系统时间

修改前

修改后

3.建立计划任务

4.参考资料

C:\Documents and Settings\linqp>runas /h
RUNAS 用法:

RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
        /user:<UserName> program

RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
        /smartcard [/user:<UserName>] program

   /noprofile        指定不应该加载用户的配置文件。
                     这会加速应用程序加载，但
                     可能会造成一些应用程序运行不正常。
   /profile          指定应该加载用户的配置文件。
                     这是默认值。
   /env              要使用当前环境，而不是用户的环境。
   /netonly          只在指定的凭据限于远程访问的情况下才使用。

   /savecred         用用户以前保存的凭据。
                     Windows XP Home Edition 上没有这个选项。
                     该选项会被忽略。
   /smartcard        如果凭据是智能卡提供的，则使用这个选项。

   /user             <UserName> 应使用 USER@DOMAIN 或 DOMAIN\USER 形式
   program         EXE. 的命令行。请参阅下面的例子

例如:
> runas /noprofile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.ms
> runas /env /user:user@domain.microsoft.com "notepad \"my file.txt\""

注意:  只在得到提示时才输入用户的密码。
注意:  USER@DOMAIN 跟 /netonly 不兼容。
注意:  /profile 跟 /netonly 不兼容。

C:\Documents and Settings\linqp>

IP空格MAC　(MAC间用：分开)

如下：

192.168.0.11 04:4B:80:80:80:01

192.168.0.12 04:4B:80:80:80:02

192.168.0.13 04:4B:80:80:80:03

192.168.0.14 04:4B:80:80:80:04

最后在rc.local里加上下面一行

arp -f /etc/ethers

就OK了，开机自动加载

注:ethers文件里不能本机IP绑定本机MAC（不能自己梆自己），否则出错

arp -s 用于在命令行下暂时绑定IP和MAC

arp -s 192.168.0.1 04:4B:80:80:80:04

服务器上有上亿的25k~40k小文件约4T左右（每天还在不停增加），但磁盘马上要满了

磁盘结构NTFS

用treesize 列目录用了一个晚上，大概8小时

用killcopy拷贝到NAS，在收集信息时就崩溃了

现在还没有好的方法处理这些文件

打开磁盘并不慢，因为这些文件被分在不同的目录下，目录也很多

A1:

RAR 估计够呛，我感觉 RAR 是先收集文件列表然后开始压缩的，而且还会故意把不同路径文件名相同的放在一起压。我们算一下，假如每个文件路径和相关信息存放在内存里平均需要 512 字节空间，那么收集 10 亿个文件列表就需要 476.8GB 内存，就算更乐观的情况——256 字节一个 file path entry，1 亿文件的列表也需要 23.84GB 内存空间。

这显然不具备实际意义。所以要是真想备份出去就只能用 ghost 之类的磁盘镜像工具了。ghost 出来以后要是想恢复部分文件，可以使用官方的 ghost Explorer。

A2:

这么多小文件，只能用block的方式去操作

以上的思路应该是正解,继续关注此帖,等待更好的解决思路.

lin-pooplematoMacBook:~ linpoople$ ssh-keygen

lin-pooplematoMacBook:~ linpoople$ cd .ssh

lin-pooplematoMacBook:.ssh linpoople$ ls

id_rsa id_rsa.pub known_hosts #id_rsa为私钥,留在客户端;id_rsa为公钥,传至服务器端

2.利用U盘或者FTP等方式,把公钥传至服务器,存放位置为服务器用户的.ssh目录(如果没有该目录,请创建)

3.在服务器上执行一下操作,导入公钥

[lqp@sqdata1 ~]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

4.核实修改.ssh目录(755)和目录下文件的权限(644)(这个貌似还是比较严格的,试过放宽权限,结果认证不了)

[lqp@sqdata1 ~]$ ls -al .ssh/

drwxr-xr-x 2 lqp lqp 4096 04-12 12:45 .

drwx—— 3 lqp lqp 4096 04-12 12:46 ..

-rw-r–r– 1 lqp lqp 419 04-12 12:45 authorized_keys

-rw-rw-r– 1 lqp lqp 419 04-12 12:45 id_rsa.pub

-rw-r–r– 1 lqp lqp 395 04-12 11:35 known_hosts

#文中提到Data Ontap为Netapp存储的操作系统，基于*Nix定制

几个注意点：

1.需要域控制器上面同时有DNS server。对域控制器不熟的兄弟，可以利用“Windows2003 EE – 管理工具 – 管理您的服务器 – 添加删除角色 -第一台服务器”模式安装。这会把常用的Service都装上，然后移除不需要的服务即可。

2.需要保持Data Ontap和DC服务器时间误差在5分钟以内。否则，客户机登陆CIFS共享时，将会有“权限不足”等的错误提示。同时，NetApp的console界面返回如下信息

NTN3600A> Sat Mar 13 11:30:18 GMT [cifs.trace.GSS:error]: AUTH: Unable to acquire filer credentials: (0x96c73a25) Filer and domain time differ by more than 5 minutes.

在Netapp WebUI中调整时间，注意，时区必须选择“PRC”。Data Ontap的内核有点诡异，时区选择GMT+8也是不行的。

3.Netapp首次安装，除了3张系统盘，额外的虚拟磁盘，均是不可用。具体表现如下

a.启动时，显示如下信息：

“Disk v4.40 Shelf ? Bay ? [NETAPP VD-1000MB-FZ-520 0042] S/N [18084922] has no valid labels. It will be taken out of service to prevent possible data loss.”

b.在“Data Ontap – Storage – Disk”里显示这几张盘为Broken

c.做Aggregates时，会提示“at least 2 spare disks”

可以做如下操作来解决这个问题

>priv set diag
*>disk unfail -s v4.19 (where v4.19 is your disk,maybe 4.20,4.21…)
*>disk zero spares

相关工具和文档

1.IBM RedBook:Setting up CIFS shares and joining the Active Dictory

2.模拟器：Netapp Simulator v7.1

3.模拟器使用文档：Netapp Simulator User Guide v7.1

a.single-mode  端口工作在active和standby状态，只有一个端口处于actvie状况。当active端口失效,系统自动从standby中选择一个端口成为active口。不需要交换机支持aggre，也不需要在交换机上做任何相关配置。所有端口具有相同的ＭＡＣ地址，实现最基本的链路冗余。

b.multi-mode(static)  与IEEE 802.3ad(static)兼容，所有端口处于active状态，具有相同的mac地址；能够检测端口的链路状态，但不能数据的丢失；交换机需要支持 LAC；;在multimode(包括static和dynamic)下，存储系统对outbound traffic支持三种load-balance算法:IP-based/MAC-based/Round robin;。

c.multi-mode(dynamic)  与IEEE 802.3ad(dynamic)兼容，即lLACP协议(cisco叫做PAgP)，所有端口均处于active状态，具有相同的mac地址。交换机需要支持LACP。在lacp下,vif接口必须配置为 first-level，并且LB应该配置为IP-based(这也是默认方式)；在lacp下，存储系统不仅能检测链路的丢失,还能检测数据流的丢失，因此该模式与HA环境相兼容。此种模式有其局限性，只能使用IP Balance算法。

三种load-balance算法的比较：

a. ip balance  根据来源IP动态负载均衡，得出的结果不会太平均。故障切换，会有一个丢包。在故障恢复后，会将流量重定向回该端口。

b. mac balance  多个不同mac地址的端口，平均分配负载。比较有意思的是，长期测试之后，会发现，其中接收包都集中在一个端口，发送包集中在另一个端口。在拔掉一个接口的情况下，另一个接口会接管所有流量。在网络断掉的一瞬间，会有一个丢包。

c. rr balance （Round-Robin Scheduling） 轮询调度算法的原理是每一次把来自用户的请求轮流分配给内部中的服务器，从1开始，直到N(内部服务器个数)，然后重新开始循环。适用于请求方软硬件条件和请求数差不多的情况。

d. port balance方式下，所有流量由两个端口均衡，得出的结果平均。在网络断掉的一瞬间，会有一个丢包。从端口和带宽利用率来考虑，这是最佳方式。

以上所说丢包，都是基于连续ping测试。

以下是IBM NS3600做VIF的一个实例

NTN3600B> ifconfig e0a down
NTN3600B> ifconfig e0b down
NTN3600B> ifconfig vif1 down
ifconfig: vif1: no such interface
NTN3600B> vif destroy vif1
vif1 is not a valid vifname
NTN3600B> vif create multi vif1 -b port e0a e0b
NTN3600B> ifconfig vif1 192.168.125.2
NTN3600B> ifconfig vif1 up
NTN3600B> ping 192.168.125.2
192.168.125.2 is alive

NTN3600B> vif stat vif1
Virtual interface (trunk) vif1
        e0b                 e0a        
  Pkts In   Pkts Out  Pkts In   Pkts Out
  1         83        66        23     
  0         3         3         0      
  1         5         4         0      
  0         4         4         0      
  0         4         4         0      
  0         4         4         0      
  0         4         4         0      
  0         4         4         0      
  0         4         4         0      
  0         4         4         0      

NTN3600B> vif status  
default: transmit ‘IP Load balancing’, VIF Type ‘multi_mode’, fail ‘log’
vif1: 2 links, transmit ‘IP+port Load balancing’, VIF Type ‘multi_mode’ fail ‘default’
         VIF Status     Up      Addr_set
        up:
        e0b: state up, since 10Mar2010 14:02:01 (00:02:45)
                mediatype: auto-1000t-fd-up
                flags: enabled
                input packets 2, input bytes 128
                output packets 131, output bytes 9414
                up indications 1, broken indications 0
                drops (if) 0, drops (link) 0
                indication: up at 10Mar2010 14:02:01
                        consecutive 164, transitions 1
        e0a: state up, since 10Mar2010 14:02:01 (00:02:45)
                mediatype: auto-1000t-fd-up
                flags: enabled
                input packets 113, input bytes 9006
                output packets 23, output bytes 1576
                up indications 1, broken indications 0
                drops (if) 0, drops (link) 0
                indication: up at 10Mar2010 14:02:01
                        consecutive 164, transitions 1