网络笔记

Getting Things Done

21253@163.com(Fish) — Fri,15 Jan 2010 13:24:21 +0800

GTD是英文Getting Things Done的缩写，是一种行为管理的方法，也是David Allen写的一本书的书名。

GTD的主要原则在于一个人需要通过记录的方式把头脑中的各种任务移出来。通过这样的方式，头脑可以不用塞满各种需要完成的事情，而集中精力在正在完成的事情。

EXCHANGE 2003 企业版与标准版的区别

21253@163.com(Fish) — Mon,04 Jan 2010 08:59:02 +0800

Exchange Server 2003 标准版
Exchange 2003 标准版用于满足中小型公司的消息传送和协作要求以及于特定的消息传送服务器角色或分支机构的要求。 • 在一台服务器上可以创建一个存储组
• 可使用 MAPI 和 Outlook Web Access 访问的一个邮箱存储数据库和一个公共文件夹存储数据库
• 只能以编程方式访问的另外的最多四个公共文件夹存储数据库
• 每个数据库的最大大小限制为 16 GB（对于 Microsoft Exchange Server 2003 Service Pack 2，最大大小限制为 75 GB）
• 不支持 Exchange 群集
• 不包括 X.400 连接器

Exchange Server 2003 企业版
Exchange 2003 企业版是专为大企业公司而设计的。使用 Exchange 2003 企业版可以创建多个存储组和多个数据库。Exchange 2003 企业版提供无限制的消息存储，单个服务器可以管理的数据数量不再受约束。 • 四个存储组
• 每个存储组中包含五个数据库
• 16 TB 的数据库限制（仅受硬件限制）
• 支持 Exchange 群集
• 包括 X.400 连接器

Exchange Server 2003 服务器日志中记录事件 ID 7515

21253@163.com(Fish) — Wed,30 Dec 2009 15:20:41 +0800

在 Exchange Server 2003 中启用 IMF 外接程序或在 Exchange Server 2003 SP2 中启用 IMF 功能之后，可能会在应用程序日志中记录下面的事件：
事件 ID:7515
类别:SMTP 协议
来源:MSExchangeTransport
类型:错误消息:当 Microsoft Exchange 智能邮件筛选器尝试筛选具有以下特征的邮件时出错: ID 为；优先级为 Priority_Number；发件人为 smtp:E-mail_ID；主题为 Subject_Text。将不会筛选此邮件。错误代码为 0x800710f0。

在 IMF 尝试扫描大于 3 MB 的邮件时将记录此事件。在这种情况下，您可以安全地忽略此事件。当记录此事件时，邮件扫描失败。邮件将不经过扫描即可通过 IMF。

根据设计，IMF 不会扫描大于 3 MB 的邮件。通常，垃圾电子邮件不会大于 3 MB，因为发送大的邮件会增加很多成本。

如何将第三方 OEM 网络适配器添加到 RIS 安装

21253@163.com(Fish) — Tue,29 Dec 2009 17:26:10 +0800

在 RIS 服务器上，将 OEM 为网络适配器提供的 .inf 和 .sys 文件复制到 RemoteInstall\Setup\Language\Images\Dir_name\i386 文件夹中。这样，安装程序就可以在安装的文本模式部分中使用该驱动程序。
在 RIS 映像上的 I386 文件夹的相同一级，创建具有以下结构的 $oem$ 文件夹：
\$oem$\$1\Drivers\Nic
将 OEM 提供的驱动程序文件复制到此文件夹中。注意，.inf 文件在此文件夹中查找其驱动程序。某些制造商将 .inf 文件放在一个文件夹中，并从子文件夹中复制驱动程序文件。如果是这种情况，请在此步骤创建的文件夹下面创建相同的文件夹结构。

注意：如果 RIS 映像是使用 RIPREP 创建的，您必须在 RIPREP 映像及其对应的 RISETUP 映像上都执行这些步骤。
对用于此映像安装的 .sif 文件进行以下更改：
[Unattended]
OemPreinstall = yes

OemPnpDriversPath = Drivers\Nic
在 RIS 服务器上，停止并重新启动 BINL 服务。在命令提示符下，键入以下各行，并在每个命令之后按 Enter 键：
net stop binlsvc
net start binlsvc
注意：因为 BINL 需要读取所有与新的网络接口卡有关的 .inf 文件并在映像中创建 .pnf 文件，所以必须停止并重新启动 BINL 服务。因为这一操作非常慢，所以只执行一次，即在 BINL 服务启动时执行。
在使用这种方法时，您可以使用 RIS 安装 PXE 客户端及 OEM 网络适配器。如果装有多个需要 OEM 驱动程序的网络适配器，请分别为每个适配器执行上述步骤。注意，包含网络适配器驱动程序的 PXE 客户端不受这些更改的影响，它们可以使用此映像进行安装。
http://support.microsoft.com/default.aspx/kb/246184

使用RADIUS来验证Web代理用户

21253@163.com(Fish) — Wed,23 Dec 2009 10:22:31 +0800

远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议。RADIUS客户端（通常是拨号服务器、虚拟专用网络 (VPN) 服务器或无线访问点）以RADIUS消息的形式将用户凭据和连接参数信息发送到RADIUS服务器，RADIUS服务器将用户身份信息转送到一个认证服务器上（在域环境中，这个认证服务器是活动目录的域控制器），认证服务器响应RADIUS服务器的身份验证请求，然后RADIUS服务器响应RADIUS客户端的身份验证请求。如果用户提交的身份验证信息有效并且用户获得连接授权，那么允许该客户连接；如果身份验证信息无效或者用户没有获得授权，那么连接将被拒绝。因此，如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准，可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。

在Windows Server系列中，微软同样提供了RADIUS服务器，不过称为Internet身份验证服务器（IAS，Internet Authentication Server），你可以通过添加/删除Windows程序来添加，本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账，但是在ISA 2004中，除了可以在VPN服务中部署RADIUS身份验证外，你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务，位于非域环境下的ISA Server就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时，你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证（即密码身份验证协议(PAP)或 Shiva 密码身份验证协议(SPAP)），否则Web代理客户将不能通过IAS服务器的身份验证。

如果ISA防火墙配置为使用RADIUS认证，那么它成为一个RADIUS客户端，并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以，为了让RADIUS正常工作，你必须同时配置RADIUS服务器和ISA防火墙。
　

本文的试验网络结构如下图所示：

内部网络IP地址范围为10.1.1.0/24，部署了内部域CONTOSO.COM。Berlin上安装了ISA 2004企业版作为边缘防火墙，连接内部和Internet，并没有加入域；Denver是DC、DNS、IAS服务器；Perth是内部网络中的一台客户机，加入了域CONTOSO.COM；Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。

各计算机的TCP/IP设置如下，在试验之前已经确认了网络连接工作正常：

Berlin（ISA 2004）：

LAN Interface：

IP：10.1.1.8/24

DG：None

DNS：None
　

Internet Interface：

IP：39.1.1.8/24

DG：39.1.1.1

DNS：None

　
Denver（IAS/DC/DNS）：

LAN Interface：

IP：10.1.1.5/24

DG：10.1.1.8

DNS：10.1.1.5

　

Perth：

LAN Interface：

IP：10.1.1.2/24

DG：10.1.1.8

DNS：10.1.1.5

Istanbul：

Internet Interface

IP：39.1.1.7/24

DG：39.1.1.1

DNS：None

本文中的试验步骤如下：
在RADIUS服务器上配置识别ISA防火墙为RADIUS客户；

在RADIUS服务器上创建Web代理用户使用的远程访问策略；

配置ISA防火墙使用RADIUS验证Web代理用户；

在ISA防火墙创建访问规则允许RADIUS用户的访问；

测试；
为了启用RADIUS身份验证，我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户，执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户：

在IAS服务器上运行管理工具下的Internet验证服务，在Internet验证服务控制台，右击RADIUS客户，然后点击新建RADIUS客户；

在名字和地址页，在友好名字栏为ISA防火墙输入一个名字，在此我们命名为ISA Firewall，在客户地址（IP或者DNS）栏你可以输入RADIUS客户的IP地址或者域名，如果使用域名则必须保证RADIUS服务器能够正确解析，建议总是使用IP地址。在此我输入ISA防火墙内部接口的IP地址10.1.1.8，点击下一步；

在附加信息页，设置客户-销售商栏为标准RADIUS；在共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入，此共享密钥将会同样在ISA防火墙上配置使用，然后勾选请求必须包含消息验证者属性，点击完成；

注意：请求必须包含消息验证者属性是个匹配性设置，如果你在RADIUS服务器上进行了设置，那么你需要在ISA防火墙上做同样的设置。对于Web代理客户的设置验证，此选项可以不设置，不过建议总是选择此选项。

此时，让RADIUS服务器识别ISA Server为RADIUS客户的配置就结束了，创建好的配置如下图所示：

待续·············

U盘可读不可写

21253@163.com(Fish) — Wed,23 Dec 2009 09:47:20 +0800

reg add "HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies" /V writeprotect /t REG_dword /d 00000001 /f

勇敢一点

21253@163.com(Fish) — Wed,23 Dec 2009 09:41:29 +0800

播放音频文件

在线播放

设置路由表实现双线上网

21253@163.com(Fish) — Mon,14 Dec 2009 09:33:11 +0800

自己的计算机有两块网卡，还有两个Modem。想把两条宽带线路都利用起来，这样就可以保证访问网通和电信线路的地址速度都比较快。
    想把两条线路合并到一起，并且可以实现访问电信网络通过电信ADSL，而访问网通网络则通过网通ADSL。这种需求和应用在实际使用中比较常见。

    如果简单的通过一些网卡合并软件将两块网卡绑定到一起是无法满足这种智能选择路由的目的。实际上这位读者需要解决的和我们之前曾经介绍过的利用策略路由让网络数据包智能传输有类似之处，但是由于该读者只有一台计算机，而且通过ADSL拨号上网，所有以前介绍过的通过策略路由选择不同线路的方法就不行了。

    在单机网络环境下是否也有诸如策略路由这样的解决技术和方案呢？答案是肯定的，我们可以通过计算机自身的路由表功能实现。对于每个连接到网络的计算机来说自身都有一个路由表，它类似于路由器的路由表，帮助计算机发送网络请求到指定的IP地址。可以通过“开始。运行”进人命令行窗口，然后执行"route print"来查看本机的路由表信息。

    计算机中的路由表和路由器上的一样，也可以由我们根据需要添加或删除。这样解决读者问题的关键就放到了如何更合理的规划路由信息，让电信网络访问走电信网卡，让网通网络访问走网通网卡。

    第一步：

    计算机中连接网通的网卡，IP设置为192:168.1.111，网关设置为192.168.1．1；连接电信的网卡，IP设置为192:168.0:111，网关设置为192.168.0.1。

    第二步：

    通过"route print"命令查询当前计算机的默认网关（显示在Default Gateway后面的就是默认网关地址）。如果显示为192.168.1.1则说明默认以网通线路为出口，如果是192.168.0.1则说明默认以电信线路为出口。

    第三步：

    这里假设默认网关是电信出口．网通IP段为61.156.0.0，那么我们需要手工添加网通线路的地址段路由信息。进入到命令行模式输人route add -p 61.156.0.0 mask255.255.0.0 192.168.1.1，这句指令将规定凡是传输到61.156.0.0这个地址段的数据都发送到192.168.1.1这个网通出口网卡。

    第四步：

    依次添加所有网通地址段到本机路由表，设置完毕后我们访问网通线路和电信线路的速度都将有所保障

喜事，纪念今天此刻。

21253@163.com(Fish) — Fri,14 Aug 2009 14:28:21 +0800

不能发空内容，那就凑字！

邮件服务器设置SPF

21253@163.com(Fish) — Mon,10 Aug 2009 16:06:39 +0800

起因：邮件服务器安全运行3个月，期间没有发生大的问题，但是一直有员工反映，发往Hotmail的邮件都被当作垃圾邮件，在微软网站找到答案，以下内容是其他网站找到的！

什么是SPF

就是Sender Policy Framework。SPF可以防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后，接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。关于更详细的信息请参考RFC4408（http://www.ietf.org/rfc/rfc4408.txt）

如何增加SPF记录

非常简单，在DNS里面添加TXT记录即可。登陆 http://www.openspf.org/wizard.html 在里面输入你的域名，点击 Begin，然后会自动得到你域名的一些相关信息。

"A"你域名的A记录，一般选择 yes，因为他有可能发出邮件。

"MX"一般也是 yes，MX 服务器会有退信等。

"PRT"选择no，官方建议的。

"a"有没有其他的二级域名？比如：bbs.magicwinmail.com 和 www 不在一台server上，则填入 bbs.magicwinmail.com。否则不改动。

"mx"一般不会再有其他的mx记录了。一般清空

"ip4"你还有没有其他的ip发信？可能你的smtp服务器是独立出来的，那么就填入你的IP地址或者网段。一般不改动

"include"如果有可能通过一个isp来发信，这个有自己的SPF记录，则填入这个isp的域名，比如：sina.com。一般不改动

"all"意思是除了上面的，其他的都不认可。当然是yes了。

好了，点击Continue…..
自动生成了一条SPF记录，比如 magicwinmail.com 的是
"v=spf1 a mx ~all"

在域名服务商的域名控制面板里加一条类型是 txt 的记录( 双引号一般也要输入)
"v=spf1 a mx ~all"

检查

nslookup -type=txt magicwinmail.com

一般设置

大多数系统都是一台邮件服务器，SPF 记录设置成 "v=spf1 a mx ~all" 就可以了.