Главная > Локальные сети > FAQ по LAN и Netware > |
FAQ по Novell Netware (Часть 2) |
Секция 9 из 11 - Предыдущая - Следующая
Все секции
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
MOmr >Интересует какие возможны атаки на ORACLE-сервер. Возможны ли атаки на MOmr >SQLзапросы-ответы по сети, есть ли протокольный контроль этого трафика. MOmr >И вообще все относящаееся к SUBJ. http://www.orafaq.org/faqpub.htm Oracle FAQ User Publications http://ns.netmcr.com/~rhubarb/oracle/osee.html Rhubarb's Oracle Technical ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Эта ссылка уже не работает На ее месте такой текст I have been contacted by Oracle's legal department and instructed to remove my "Oracle Technical Support Bulletins" page.Effective 18-AUG-1999 my "osee.html" page will no longer be available. Please remove any bookmarks / links you may have to this page. То что там лежало можно найти www.comita.spb.ru/public/comita/Users/sashaR/ora/401.pdf > Btrive vs. *.dbf. Что-же лучше? < ----------------------------------- From: Sergey Lebedev 2:5049/5 Пят 17 Дек 99 22:30 AB> Есть сеть из 30 рабочих станций и одного сервера (NetWare 3.12 rus). AB> На сервере находятся базы разной длины (dbf FoxPro 2.0). В книге AB> вычитал, что subj позволяет значительно снизить трафик при обращении с AB> рабочих станций к этим базам. Вот собственно вопрос: имеет ли кто опыт AB> использования этого модуля, может быть есть какие нибудь особенности, AB> FAQ, и вообще действительно ли он так хорош. Btrieve на Netware работает как подобие Клиент-сервер. Все файловые операции выполняются на сервере nlm-кой, а по сети передается результат запроса. Для новелла СУБД по скорости одна из самых быстрых, но достаточно сложно писать приложения. И еще один недостаток, в Btrieve нет понятия поля, и ты либо работаешь через словарь (как правило Btrieve-таблица(ы) с жестко заданой структурой, в которой описаны все поля ,индексы. формы твоих таблиц данных), так кстати работет Xtrieve, или вытаскиваешь свои данные из записи через смещение от начала записи. Достаточно устойчивая (Dbase paradox в подметки не годится по отказо устойчивости). Типичный пример : Зависла станция с открытой таблицей в foxpro после перезагузки ты в лучшем случае переиндексируешь базу, в худшем будешь править базу выкидывая мусор, который записался перед зависом. Btrieve прекрасно справляется с такой проблемой и после перезагузки востанавливает таблицу. Так же поддерживаются блокировки записи и транзакции, предохраняя логическую целостность отношений. Вообщем, плюсов больше чем минусов, стоит только начать и уже не на что не променяешь Btrieve Сам работаю с Btrieve c 95г., написано множество програм, и у меня не возникает вопроса какую СУБД выбрать. >Сервер ругается на LSP и MTU< ------------------------------ From: Mike Ipatow 2:5080/12 Суб 18 Дек 99 15:05 AV> С периодичностю 1-2 минуты сервер ( модуль ipxrtr ) стал ругаться на AV> слишком большие пакеты LSP и MTU . Говорит, что размер 1024 слишком AV> большой, надо уменьшить до 616 или меньше...... Вопрос - где это AV> выставляется, и как это правильно выставить? Выставляется руками в sys:etc\nlsp.cfg или запуском nlm'ки, входящей в сервиспак (все, что она делает - правит ту самую строчку) >Как изменить размер Novell'овского раздела< -------------------------------------------- From: LEO (leonid_kad@yahoo.com) 24 Декабря, 1999 at 19:48 : Как изменить размер Novell'овского раздела? Partition Magic 4 не захотел. : В Install.nlm тоже не получилось. NetWare 3.12. Существует какой-то софт? Мы пробовали и ОНО(ServerMagic 2.0) работало 2ой версии в NW4.10 ! (Правда чтото в 5м новеле не работает) With ServerMagic 3.0, the fastest way to manage your server is also the fastest way out of the office. Вот в Norton Ghost for NetWare есть вроде преимущество: (но я этого ещё не пробовал) Product Feature Norton Ghost for NetWare PowerQuest ServerMagic NetWare Partition Resizing Yes, larger or smaller Yes, but larger size only >Помогите советом что сделать (NW5). NDS Error -634< ---------------------------------------------------- From: Alex (alex@rsbank.vlink.ru) 23 Декабря, 1999 at 10:41 :: У меня такое впервые, ставлю NW5 на PIII-500/ASUS P2B (path for :: big disk area) 2IDE-Fudjtsu 3,4 and 10,8 Gb video AGP ATI :: Rage 128 RAM DIMM 128(2*64)Mb 100 MHz :: Установка проходит нормально, но стоит только запустить :: niascfg для установки удаленного доступа к серверу машина :: расширяет ндс и перезагружается после перезагрузки не может :: открыть Directory указывая на -634 ошибку и после этого :: через 1 минуту подвисает сам сервер перепоробовал все :: ставил другой винт, видеокарту, процессор ничего не помогает :: ошибка так и идет и невозможно удалить дерево, реставрация :: дерева не помогает вываливается из реставрации с той-же ошибкой :: Помогите советом что сделать! С сервис паками 2 и 3 поведение :: тоже самое! : ----------------------------------------- Тут дело не в винтах и тд. Локальная база NDS заблокирована. Механизма разблокировки я не знаю. Novell анонсировал в свое время DSrepair какой-то версии с возможностью разблокировки базы, но самого файла я так и не увидел. Более того сам анонс потом изчез из архива TID`ов. Тут может помочь следующее: 1. Загрузить сервер server -ndb. 2. Запустить nwconfig и создать новое дерево. Создаваться оно может как быстро, так и медленно. Один раз у меня процесс создания протекал минут 30. 3. Востановить NDS из резервной копии (если есть). >Завис сеpвеpа с испоpченной NDS< --------------------------------- From: Михаил Попов 23 Декабря, 1999 at 15:50 : Есть сеть 1-Primary сервер, остальные Secondary. : На Primary сервере после сбоя испорчина информация об NDS. При загрузке, в : момент монтирования тома SYS инициализируется загрузка NDS.NLM,после чего : сервер виснет не отдавая системную консоль, при этом пишет, что он неможет : найти Primary сервер для синхронизации NDS и времени (он самим им является). : При загрузке server -NA -NS - все работает, но при попытке смантировать : именно том SYS сервер виснет также. : Есть ли командочка загрузки сервера Primary без NDS для последующего : копирования ее со вторичного сервера или другой путь решения проблемы? SERVER.EXE -NDB >Btrive. Error #78< ------------------- From: Roman Ivashina 2:5037/3.2 Сре 22 Дек 99 09:02 From: Igor Gerasimovich 2:455/1.33 Пон 27 Дек 99 13:32 AB>> А с 78-й ошибкой сталкивался ? SL> Нет, у меня даже в описании ее нет :-( Deadlock condition - где-то натыкался на такое "описание", из чего можно пpедположить, что а некотоpых случаях (увеpен, что не во всех) btrieve может отловить меpтвую взаимоблокиpовку. AB> А поподpобнее ? 78: Btrieve detected a deadlock condition. The application should clear all resources (for example, by aborting or ending the transaction, or releasing all record locks) before proceeding. This breaks the deadlock, allowing other applications to access the resources for which they are waiting. >ArcserveIT 6.6 проблема. Не все сохpаняет.< -------------------------------------------- From: Dima Polezhaev 2:463/244.22 Чет 23 Дек 99 20:52 From: Nikolai V. Ivanyushin <koko@mazut.pptus.ru> Вто 25 Янв 00 14:16 NIV> Проблема случилась там, где ее не ждали. Есть сервер Proliant 2500, NIV> Compaq Smart2 RAID-5 ( 3х2.1Gb), стример DDS3 Compaq 12/24 Gb, NIV> NW 4.10+pt8b+ все фиксы последние (nds, ipx etc...), ARCserveIT 6.6 NIV> for NetWare +SP3, Btrieve 6.15 с последними апдейтами. Сервер один, NIV> дерево NDS одно, 2 тома SYS (200 Mb/130 заполнено) и DATA NIV> (~4Gb/2.5 заполнено). NIV> Проблема: при бэкапе нормально копируются NDS и том SYS, а том DATA NIV> копируется не полностью. Никаких ошибок не выдает. Просто при выборе NIV> восстановления и просмотре того что можно восстановить с ленты на томе NIV> DATA нет половины каталогов и соответственно информации в них записанной. NIV> Подозреваю собственную кривизну, но вот где? Помогите разобраться. Ты не одинок в своем несчастьи! Я подозpеваю, что кpивы pуки не у тебя, а у багописателей из CA, поскольку эффект явно стабильный и возникает, когда база данных аpксеpва достаточно pазpастается. Тогда еще не то бывает! Твое безобpазие починилось пеpеустановкой аpксеpва без сеpвиспака. Еще пpи большой базе аpксеpв может еще теpять соединение с агентом TSA, о чем он честно в логе и сообщает. Это вылечилось pазбивкой задания на бэкап на более мелкие кусочки. У меня основной объект для бэкапа - том с 30000 диpектоpий, 300000 файлов объемом 20 Гб. NVI> Вот суппорт Computer Associates прислал письмо. Выдержка из него: NVI> Nikolai, NVI> Go to http://support.cai.com. Click on Downloads. NVI> Click on ArcserveIT 6.6 for Netware (edition you have). NVI> Download: lo62412.caz, corrects multiple device level issues NVI> cazipxp.exe, used to unzip CA caz files NVI> lo66503.caz, ArcserveIT stops job after failed to open directory error NVI> lo66552.caz, y2k fix with the lastprunedate in the asconfig.ini >Пpоблемы с зонами DNS на NW5< ------------------------------ From: Jaroslav Bombov 2:5090/43.5 Вос 26 Дек 99 23:36 NL> Откликнетесь кто использует DNS server из NW5 в качестве primary NL> сервера зоны. В частности, не хочет отдавать зону вторичным серверам. NL> Источники информации не найдены (хоть бы настройку novell.com вкратце NL> описали что ли). Да вобщем-то отдает (а кому кстати?), проблема в другом, берет плохо. У меня такая схема: линух (bind 8.1.2, кажись) нетварь 5 НТ4 Так вот домен ecp.ru - праймари лежит на линухе, секондари на нетвари и НТ. домен asutp.ecp.ru - праймари на нетвари секондари на линухе домен asup.ecp.ru - праймари на НТ секондари на линухе. Во всем этом зоопарке работает примерно все так: линух прекрасно получает оба секондари домена и раздает свой. НТ тоже работает видно что получает домены причем, я там не совсем понял почему, кажись оно и кеш там показывает но видно в ней и домен asutp.ecp.ru который для нее не является секондари и вовсе нигде не прописан. Нетварь отдает свой домен линуху без проблем, но не берет с линуха. Берет его только при named -zi ecp.ru что означает принудительный трансфер зоны, но при этом кладется сервер :(, Причем одно время удалось его заставить брать без -zi, (как сам не пойму т.к. настройки не изменял, а всего лишь одни раз дал -zi после чего он их брал некоторое время, сервер при этом тоже клался). Выяснил опытным путем что кладется (или вероятность этого больше, когда различны SOA записи) на суппорте лежит довольно бредовый документ по этой проблеме, там типа ручками выключаем что-то в дереве, потом грузим named, потом опять включаем и что исправленная версия named доступна по отдельному запросу и о каком-то бардаке с номерами версий, как и куда этот отдельный запрос делать непонятно. >К вопросу о тормозах ВМ< ------------------------- From: Vladimir D. Elnikov (veln@mos.ru) 29 Декабря, 1999 at 14:12 ::: Сергей, может это уже и поздно, не пробовали добавить эти две ::: строчки в ::: \etc\proxy\proxy.cfg ::: [object cache] ::: cut thru no clh length=0 :: Вообщето уже поздно. Но поищу у кого попробовать. :: А что это будет означать ? : Во-первых чат www.krovatka.ru начнет работать : Есть у Новела ТИД про какой-то германский чат, там и было написано. : Не могу найти номер, support.novell.com knowlegebase не пашет : Эту строчку лучше иметь по умолчанию в proxy.cfg : Что бы там Новелл ни писал мне кажется этот параметр работает так: : Без него при начитывании данных с И-нета Бордюр пытается заполнить буфер : (проверял, эмулировал медленный сервер, отдававший ~10б/c ), а он оказался : нехилым ~50к и только после этого начинает отдавать пользователю результат. : С этим параметром данные отдаются клиенту по мере поступления. : Уж не знаю какой высокой идеей руководствовались программеры ВМ, наверное : красиво когда прокси выстреливает сразу большой кусок данных, но хорошо это : только на толстом канале, говорят, что они у себя в штатах одуревают от : результатов эксплуатации ВМ в Европе. У них (в штатах) не возникают : проблемы. : Вероятно это и было причиной тормозливости ВМ на Вашем забитом канале. : Кстати, сколько проксей не щупал - никто так глупо себя не ведет. Все : отдают данные по мере их поступления. :: Проблема тормознутости - не в PROXY, а TCP/IP + NW+filtra, т.е в самой :: системе на которой крутится BM А TCPIP от NW здесь все-таки не причем. Даже я бы сказал, что пошустрее других будет. Заметьте, все Новелоские продукты (написанные с использованием ECB, а не socket) каждый раз становились лидерами по скорости (Novell Web server в 1996г. (не Netscape), BM, ICS). : Облом, эта настройка действует только на странички у которых нет : Content-Length: : в заголовке. (From FAQ Creator: Сам TID можно посмотpеть на http://www.novell.com, здесь пpиведу его пеpевод.) TID #2942563: "HTML chat fails through proxy" Симтом: Некотоpые типы HTML чатов не pаботают чеpез Proxy. Однакоб некотоpые чат сеpвеpы могут быть коppектно доступны чеpез NAT. Это также относится к BM 2.1, FC 2.1 (b) и BMEE 3.0. Troubleshooting: Тpассиpовка: - ws. посылает запpос для chat_reader.wpi - proxy server посылает этот-же запpос на чат сеpвеp - чат сеpвеp отвечает коpотким пакетом "document follows." - чат сеpвеp посылает следующий пакет имеющий дату и вpемя - чат сеpвеp посылает следующий пакет "WPChatServer/1.8" - чат сеpвеp посылает следующий пакет "Content-Type: multiport/ /mixed;boundary=pagestop." - чат сеpвеp посылает следующий пакет cо датой истечения pавной Jan 1970, с датой последней модификации, в нем "Pragma: no-cache..Cache-control: no-cache:.... - proxy server подтвеpждает данные пpишедшие с чат сеpвеpа. - чат сеpвеp посылает следующий пакет "--pagestop.Content-Type: text/html...." На этой точке proxy server пpинимает "pagestop". Однако, чат сеpвеp пpодолжает посылку данных, котоpые должны были пpойдя сквозь proxy дойти до ws, однако этого не пpоисходит. Вместо этого proxy сеpвеp ждет до тех поp пока соединение между ним и чат сеpвеpом не будет сбpошено, чтобы дать возможность pабочей станции вновь начать пpием данных (пpимеpно 203 секунды спустя) Proxy сеpвеp сбpасывает соединение после пpиема FIN пакета от чат сеpвеpа, но это остается неизвестным, если в это вpемя пользователь нажмет у себя кнопку STOP, или вообще, закpоет бpаузеp, или еще что, в любом случае, соединение будет сбpошено. Пакет посылаемы в этом случае на ws - это один большой пакет содеpжащий все данные сpазу. Пpоблема повтоpяется когда чат сеpвеp находится в bypass списке. Решение: Отpедактиpуйте SYS:ETC\PROXY\PROXY.CFG файл, чтобы он содеpжал следующие 2 стpочки. Пpобелы и отступы очень важны, не добавляйте пpобелов, котоpых вы не видите здесь: [Object Cache] cut thru no CLH length=0 Эти установки скажут proxy не ожидать FIN от сеpвеpа источникана не постоянных соединениях (non-persistent connections) >VLM клиент и 2000 год< ----------------------- From: Oksana (oks@ovt2.avid.perm.su) 29 Декабря, 1999 at 08:56 From: Alexander Plavnik (pm@gor.sv.energy.gov.ua) 29 Декабря, 1999 at 18:44 : Поддерживает ли ДОС 6.22 2000-ый год ? Что ставить вместо vlm-клиента : на такой машине ? Client32 for DOS ? (IntraNetware 4.11) : Кто-ннибудь, может, сталкивался с подобной проблемой - заставить : тачку работать в 2000 году ? : P.S. Пень там на ней 75-ый с 16 метрами, мама Intel "Advanced/EV. : BIOS: 1.00.06.CB0 (последний)"... : А что с ДОСом делать и с vlm'ом - не знаю .. Поставьте VLM v1.21 или Client32 for DOS - они 2000-ready! : Поставь синхронизацию времени от сервера и больше не про что не думай. : Работает на любых машинах, даже на 286 с плохим BIOS. >Странная печать(+)< -------------------- From: Dmitriy (dklogic@mail.ru) 06 Января, 2000 at 15:02 : Наша контора купила новый плоттер Oce9700. До этого пользоваллись двумя : Calcomp'ами. И никаких проблем с сетевой печатью через nprinter.exe не было. : А здесь уже голову сломали. : Проблема в следующем. Когда печатаешь локально на lpt1 tiffразмером 200кб : это занимает приерно 2-3 минуты. При печати через новелловсую очередь : наблюдается странная картина. Первые 30-40 кб проходят очень быстро. Затем : данные из очереди перемещаются все медленнее и медленнее. И на печать этого : же файла уходит 5-6 минут. Если же в очереди сразу за ним стоит еще один : файл, то начинается передача сразу медленно и этот же файл распечатывается : за 15-17 минут. : Пробовали подключать к компьютеру на котором работают solus'ы картина не : меняется. : Подозрение на потроха Oce, но ведь напрямую в lpt все работает отлично! : У кого есть идеи где копать дальше. Дока на плоттер очень скудная и в ней : ничего нет про novell. Дело не плоттере. Те же проблемы могут быть с любым принтером подключенным через nprinter. Самое простое, убить и снова создать через pconsole очередь печати и принтер. Делать это надо _На том же_ компьютере, где установлен плоттер. Не спрашивайте почему, по опыту это так. >forward for DHCP messages< --------------------------- From: Nik Larin 2:5026/16.777 Вто 28 Дек 99 18:58 AS> модyль называется bootpfwd.nlm AS> Лyчше залезь в inetcfg и поставь там enable bootp forwarding и yкажи AS> ip адpес DHCP-сеpвеpа в свойствах TCP/IP AB> Что и всё? =8-O AB> Я так и хотел сделать, но как помню bootp это немного AB> дpyгое. RT$M. DHCP является развитием bootp. AB> P.S. Если я выставляю в Win9x "полyчить адpес с DHCP", то AB> он использyет bootp ??? Она (9х) использует DHCP, но форовардятся запросы модулем bootpfwd. (Все тебе четко сказали, а если хочешь знать почему оно так работает, то читай про DHCP.) >Еще pаз о Backup< ------------------ From: Igor Belokopytov <p27@un7fk.pvl.kz> 2:5088/500.27 Чет 30 Дек 99 09:20 > Есть Есть CPQ Presario 500. и 3Gb данных. NW 4.11 > Нужно все это бекапить. > Подскажите железо и софт пожалуйста. > Особых требований нет, крутиться будет ночью когда все спят. > Есть маза - через год, полтора будет новый сервер с этак скажем > минимум 10G. > Так вот не хотелось бы нового ничего покупать потом, и чтобы все > влезало разом. У нас эту работу года 4 уже ArcServe делает. Не жалуемся. Из железяк наиболее продвинутые IMHO у Adic и HP. Наверное стоит брать для лент DLT, у них срок жизни ленты существенно больше, ну и емкость тоже. Если будете брать архиватор магазинного типа (несколько лент сразу в магазин заряжается), то у того же ArcServe есть модуль Changer (отдельно надо покупать), ну очень приятная штука - ленточки можно удаленно загружать / выгружать (из клиентской программы). >Сеpтификация NetWare 5.1< -------------------------- From: Constantin Oshmyan 2:5100/27 Чет 30 Дек 99 14:40 From: Ilmar S. Habibulin 2:5020/691.777 Пят 31 Дек 99 10:11 From: Alexey Lukatsky <luka@infosec.ru> 2:5020/224.2 Пон 10 Янв 00 16:24 From: Dmitry Ostroushko <dmitry@oblbank.lipetsk.ru> Пон 24 Янв 00 09:18 > Коллеги, пpокомментиpуйте, пожалуйста, следующую инфоpмацию, > а то я что-то ничего не понял. > http://www.novell.ru/russian/press/991227.html А что там коментировать, как всегда договорились. :( > Что такое этот самый сеpтификат, о чём (хотя бы в общих чеpтах) говоpится > в упомянутых там документах Гостехкомиссии и РД (кстати, а что такое РД?), > почему вдpуг NetWare 5.1 стала выпускаться неким ООО "НТЦ БИТС"? РД Гостехкомисии. ;-) РД - руководящие документы. РД по недекларированным возможностям содержит в себе набор методик по проверке отсутствия в сертифицируемом средстве недекларированных возможностей и прочих закладных элементов. Эти набор составляют несколько классов. Каждый класс связан с классом свт/ас (имхо). ЗД по свт - это кривой перевод оранжевой книги. :( Но почему у новеля 4 класс, как и у многих других... CO> Коллеги, пpокомментиpуйте, пожалуйста, следующую инфоpмацию, CO> а то я что-то ничего не понял. Когда СЗИ (или нечто) невозможно сертифицировать под стандартные РД (АС и СВТ), что уже само по себе говорит о многом, то начинается сертификация по таким РД, как недекларированные возможности. Ведь мало кто будет интересоваться, что же это за РД. Есть сертификат ГТК и будь здоров. А то, что в сертификате написан бред - это уже мало кого волнует. Руководство уж точно не волнует. Но сертификация такого продукта как операционная система на отсутствие недеклалируемых возможностей - это что-то. Если бы г-н Сенькин действительно смог бы проверить ОС Netware по этому документу, то я снял бы перед ним шляпу. Но в это я не верю. Итак, что же такое 4-й класс по данному РД? Напомню, что по 4-му классу сертифицировалось ядро NW 5.1. Во-первых, он применяется, когда сертифицировать систему по другому классу нельзя. Для секретой и выше информации он не применим. Во-вторых, содержание документации должно соответствовать 4-м ГОСТам. В-третьих, для каждого загрузочного модуля и исходного текста должны быть рассчитаны значения контрольных сумм. Которые должны быть приведены в документации. В-четвертых, должен быть проведен контроль полноты и избыточности исходных текстов на уровне файлов и контроль соответствия исходных текстов его объектному коду. По 3-му классу сертифицировался Trusted Netware Unit. Помимо всех требований 4-го класса, в 3-м добавляется: - контроль полноты и отсутствия избыточности на уровне процедур и объектов; - контроль связей процедур, объектов и функций по управлению; - контроль связей по информации; - контроль информации различных типов (переменных и т.п.); - формирование перечня маршрутов выполнения процедур, функций и объектов; - динамический контроль исполнения процедур, функций; - сопоставление фактических маршрутов, построенным в результате статисти- ческого анализа. Складывается впечатление, что авторы документа не знакомы с понятиями ООП, поскольку все что написано в РД ориентировано на процедурное программирование. В принципе ничего серьезного (!), за исключением того, что непонятно как осуществлялся контроль полноты и отсутствия избыточности. AS> Категорически не понимаю, как можно провести контроль соответствия AS> исходных текстов объектному коду, при сборке программы AS> компилятором/линкером, для которых не доказана генерация верного кода. AS> Причем именно генерация кода, а не отсутствие закладок: баг в AS> компиляторе похоронит соответствие. "А для этого есть пятое правило Глеба Жеглова" (с) "Место встречи изменить нельзя". Для второго и первого классов требуется применением именно верифицированных и сертифицированных компиляторов. VA> Кстати, не подскажешь ли инетовский адресочек, где можно было бы VA> добыть ISO/IEC 13335 TR GMITS? В принципе можно посмотреть по адресу: http://www2.itic.org/ncits/tc_home/t4htm/DOCS/13335-3.HTM >Certificate Server< -------------------- From: Евгений Соколов (esokolov@nrb.ru) 10 Января, 2000 at 11:03 : Люди, а кто-нибудь использует эту вещь? И для каких надобностей? : С большим удовольствием прочитал бы какие-либо комментарии про данный : продукт. -------------------- Собственно особо нечего комментировать. Продукт как продукт. Представляет из себя доделанный PKI Service и плагины к Консоль 1, для управления сертификатами. Позволяет выдавать сертификаты X.509 как веб-серверам (подписывает стандартный Certificate Request) так и клиентам NDS. Сертификаты клиентов хранятся в NDS. Получение клиентом своего сертификата возможно только через специальную утилиту Novell. Это не очень удобно, зато надежно. Впрочем, с помощью NDK можно сваять веб-интерфейс, если очень хочется. Вообщем штука удобная. Мы полностью перешли на эту службу управления ключами, отказавшись от ранее пробуемых Netscape Certificate Server и Microsoft Certificate Server. >Пpоблемы в BMEE 3.5 c поставляемыми фильтpами< ----------------------------------------------- From: Евгений Соколов (esokolov@nrb.ru) 10 Января, 2000 at 10:44 From: Сергей Дубров (Dubrov@inp.nsk.su) 10 Января, 2000 at 10:55 From: Dmitry E. Rovkin (dima@tpsb.com.ru) 26 Января, 2000 at 20:23 : Как я писал ранее, мы в конце января меняли сервер доступа. При этом мы : меняли как сервер, так и программное обеспечение, установили Novell : BorderManager 3.5. При этом я сделал одну "оплошность". При : конфигурации фильтров файрвола, я воспользовался одним из "готовых" : фильтров, а именно www-http, для разрешения пакетов, входящих на : реверс-прокси (на самом деле речь идет о двух фильтрах для TCP и UDP : соответственно). Как выяснилось этот фильтр, по неясной причине, работает : от случая к случаю. Сегодня я заменил его аналогичным написанным : собственными руками, и все стало работать нормально. Вот такие пироги. : Мораль сей басни такова: когда имеешь дело с настройкой файрвола, ПИШИ : ВСЕ САМ! Здорово. И совершенно аналогичную проблему имели мои знакомые с BM3.5 с одним из фильтров out-of-box (у них с ftp были сходные чудеса). И вылечилось всё точно таким же способом - ручками повторили-переписали готовый фильтр - и вуаля, всё заработало. Тенденция, однако. Помнится, Макс Овсянников что-то подобное про свой BM тоже рассказывал здесь. Да уж, но кто ж мог подумать - мои знакомцы тоже не один день бились, tcpdump-ом всё изучали, а победили это буквально позавчера, в субботу, всё никак поверить не могли, что ЭТО - и не работает. Ручное переписывание фильтров они уже от полной безысходности затеяли, сами себе пальцем у виска крутили ;-). : ------------------- : Жопа с фильтрами, полная жопа господа! Сами по себе отказываются : работать. Хорошо, что отказываются разрешать, было бы хуже, если бы : отказывались запрещать. Главное мне непонятно, почему ломаются фильтры : именно для этого реверс-прокси, остальные работают исправно. : Хорошо, что официальный веб-сайт банка еще не открыт, вот бы нам навешали : за такие фокусы. : Ох, скандалить я начну с Новелом! : ----------------------------------- : Ну, посмотрел я на дебаг по части tcp discard. Ох, и что я там увидел, ни в : сказке сказать, ни словами описать. Привожу пример: : ************************************************************************** : INBOUND packet to "Discard" : Protocol Type=(TCP) Protocol Flag=(SYN) : Source Address=(212.5.165.62) Destination Address=(194.85.138.66) : Source Port=(1121) Destination Port=(80) : Source TOS=(Dynamic) Destination TOS=(HTTP) : Source Interface=(1) Destination Interface=(1) : Source Circuit=(30587) Destination Circuit=(0) : Source GroupID=(0) Destination GroupID=(0) : : Discard filter rule from "Exceptions" list : Filter Protocol Type=(TCP) : Source Interface Type=(BOARD) Destination Interface Type=(BOARD_NETWORK) : Source Address=(212.193.1.23) Destination Address=(194.85.138.66) : Source Interface Number=(1) Destination Interface Number=(1) : Source Port Range=(1121-1121) Destination Port Range=(80-80) : Source TOS=(Dynamic) Destination TOS=(HTTP) : Source Group Name=(None) Destination Group Name=(None) : Source Group ID=(0) Destination Group ID=(0) : Source Remote System ID=(None) Destination Remote System ID=(None) : Source Circuit=(30587) Destination Circuit=(30587) : ****************************************************************************** Первое, что бросается в глаза, это что пакет отменен на основании правила взятого из списка исключений. Забавно, в списке исключений находятся только правила, разрешающие прохождение пакетов, запрещающих правил там просто нет. И уж тем более, там нет именно такого дебильного правила. Получается, что файрвол сам генерирует некие запрещающие правила, да еще делает это динамически. На самом деле виной всему, похоже, являются мои любимые динамические (Statefull) фильтры (см. мою статью о ВМ3.0). Судя по всему, есть ошибка в реализации этого механизма в ВМ3.5. Переход на статические фильтры, кажется, проблему решил. Я говорю об этом осторожно, поскольку ни в чем не уверен. Кто-то тут писал о сертификации ВМ3.5 в Гостехкомиссии, наверно на отсутствие недекларированных возможностей. Ну-ну.... :: На самом деле виной всему, похоже, являются мои любимые динамические :: (Statefull) фильтры (см. мою статью о ВМ3.0). Судя по всему, есть ошибка в :: реализации этого механизма в ВМ3.5. Переход на статические фильтры, кажется, :: проблему решил. Я говорю об этом осторожно, поскольку ни в чем не уверен. : У меня в тестовых целях стоит BM3.5EE - и почти сразу все stateful фильтры : были убиты и прописаны статические на все типы сервисов. Их подглюкивание : мне было заметно например на очень частом обрыве сеансов IRC (в статике все : ок). Это самое первое впечатление. Именно фильтры или PROXY глючит ? : ----------------- : Глючат именно фильтры сетевого уровня, те самые которые разрешают входящие : пакеты на порт 80 на публичный интерфейс. А насчет нагрузки сказать сложно, : она постоянно высокая, но остальные фильтры работают нормально. >Вход в сеть NetWare и NT не pаботает< -------------------------------------- From: Egor Kravchenko 11 Января, 2000 at 01:51 : Объясните чайнику пожалуйста: : у нас в сети два сервера NW 3.12 и NT 4. Рабочая станция Win95 - Client32 : v.3.1 и клиент для сетей Microsoft. К серверу NW подключается нормально, : а к NT не хочет - говорит что ресурс не обнаружен или что-то в этом роде. : В чем тут дело? Есть такая ерунда - Client32 v.3.1 косячит. 2 варианта: 1) Поставь на Client32 v.3.1 сервис-пак - сначала пробуй 1-ый, потом 2-ой. 2) Убери в клиенте для сетей Microsoft "Входить в домен NT" и смени рабочую группу данной машины на название домена. С сервис-пак 2 для Client32 v.3.1 надо осторожнее - он что-то меняет в IPX, некоторые программы бастуют >BM 3.5 пожираются Packet Receive Buffers.< ------------------------------------------- From: AlexP (alexp@macomnet.ru) 11 Января, 2000 at 12:31 From: Евгений Соколов (esokolov@nrb.ru) 11 Января, 2000 at 13:08 :: С новым сервером у меня новые проблемы. Переодически резко отжираются :: Packet Recive Buffers этак 1000 штук сразу. Это сопровождается отвалом :: одного из интерфейсов IP. Отжирает их якобы TCPIP.NLM. Не могу понять :: почему он их жрет пачками? Почему при этом перестает работать интерфейс, :: ведь свободных буферов еще дофига? :: Support Puck for NetWare 5 v3.0a with TCPIP4E :: BorderManager 3.5 Support Puck 1 :: BM35c 3.5.02 Border Manager 3.5 Proxy Cache and ACL Update :: DS7a DS Update (DS v. 7.40) :: ManageWise 2.6 Support Pack 2 (работает LanAnalyzer agent) :: Кто-нибудь, что-нибудь слышал, видел, предполагает? : Ага! Помните я об этом вопрошал в ноябре? Ну никто : ничего тогда не сказал. Пришлось проводить эксперимент. : Результаты таковы (правда у меня пока все стоит на 4.11) : на 3 сетевые карты (на 2-х IP) стоит максимум 6000 буферов минимум 2000 : размер пакета 4к с копейками. Количество сервиспроцессов макс 200, : директору кеш буферов 1500. : Еще как показала практика ни на одном томе сервера : не должно быть компресии и субалокации иначе идет : сильное торможение и иногда отваливаются юзера. : Все это держится устойчиво на двухмегабитном канале : в инет. : Кстати, про ECB сервер ругается? У меня сейчас максимальное к-во буферов 50.000, максимально было захвачено
Секция 9 из 11 - Предыдущая - Следующая
Вернуться в раздел "FAQ по LAN и Netware" - Обсудить эту статью на Форуме |
Главная - Поиск по сайту - О проекте - Форум - Обратная связь |