Tags：网管(10)工作日志(8)　　

　　工作日志对网路管理员来说，是非常重要的文件。任何一位有良好习惯的管理员，每天例行工事之一就是要整理网管日志。

　　哦﹐很久没做 report 和 log 了﹐下面是小弟刚到某公司第二周的‘工作报告’和‘事件汇报’﹐或许可以给您参考一下﹕

　　~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *

　　本周主要工作和进度﹕

　　1﹐继续对公司网路结果探测﹐已经延伸至 3 楼。初步完成。

　　2﹐修改 12 楼之物理网路图。已完成第一版。(请参考附件 1﹐kh_phy.vsd)

　　3﹐绘制 12 楼之逻辑网路图。已完成初稿。(请参考附件 2﹐kh_logi.vsd)

　　4﹐继续修改《PC Information Sheet》﹐并以此为基础设计出《Server Information

　　Sheet》。基本完成。(请参考附件 3﹐KH Server

　　Information Sheet.doc)

　　5﹐对 miao 和 whale 两台伺服器进行设定档记录。初步完成。(请参考附件

　　4﹐ks_conf.doc)

　　6﹐草拟公司《网路安全原则》。部份完成。(请参考附件 5﹐net_policy.doc)

　　7﹐草拟《网路使用者指南》。仅开头﹐须等《网路安全原则》完成始能继续。

　　8﹐常务事件处理及技术支援。基本上得以解决。(请参考附带文件 6﹐events_wk02.txt)

　　----------------------------

　　原计划中没有实行之事务和原因﹕

　　1﹐对所有 PC 进行资料记录。

　　从(某某上司)处得知目前 PC 部份无需管理﹐所以目前仅就 miao 和 whale 主机进行了记

　　录。

　　2﹐如有可能﹐会对目前使用者帐户做一些整理。

　　目前看来似乎没有此必要性﹐待空闲时再考虑处理。

　　--------

　　下周计划﹕

　　1﹐主攻《网路安全原则》的草拟。

　　2﹐继续草拟《网路使用者指南》。

　　3﹐修改 3 楼之网路图﹐包括物理和逻辑的。

　　4﹐绘制高雄总部的网路逻辑图。

　　5﹐完成伺服器的设定档记录。

　　6﹐如有可能﹐会对目前使用者帐户做一些整理。

　　----

　　建议﹕

　　1)

　　首先多谢(某某上司)这星期来的指点和照顾。让弟得以顺利展开工作﹐并同时增进了对公司

　　人事﹑及网路情况的了解。

　　2)

　　请抽空审查 12 楼网路之物理和逻辑两图﹐请纠正任何不实之处。(必要时﹐可以对原文件

　　进行修改。它们都是用 Visio Pro 5

　　绘制的﹐如果您用的版本较新﹐修改后请注意版本兼容情况。)

　　3)

　　请抽空审阅“ Server Information Sheet ”﹐对不必要之项目﹑或需增加项目加以指示。

　　4)

　　伺服器设定档案记录主要是目前机器上面的档案的拷贝﹑和某些命令的执行结果。或许尚有

　　未包括的文件。如果发现有任何错误﹐或建议﹐请尽早指示。但考虑到该文件的长度﹐回复

　　可以暂缓。

　　5)

　　请检查“events_wk02.txt”(附带文件5)中关于伺服器的修改﹐如果发现有错误的步骤或错

　　误的更改﹐请给予修正指示。尤其是

　　2000/06/09 事件 2 中关于 DHCP 的建议﹐请考虑一下。

　　6)

　　请仔细审阅《网路安全原则》一文﹐如果发现有任何需要改进的地方﹐一定要提出﹐好及早

　　纠正。假如您觉得文章方向有偏颇﹐请提出指示。该文件目前仅为草稿﹐在定稿之前﹐一定

　　要呈交总经理或相关行政领导人审查﹐并获得通过方可发行。如有可能﹐还要咨询公司之法

　　律顾问。

　　7)

　　根据目前所草拟之《网路安全原则》﹐除了《网路使用者指南》外﹐我们尚需要《网路服务

　　管理规程》。它的内容应该包括﹕

　　7.1网路运作之服务标准(即何种服务可以运行﹐以及运行的服务等级﹔何种服务需要禁止﹐

　　以及禁止等级)

　　7.2伺服器之架设标准(例如硬体要求﹑软体要求﹑平台﹑版本﹑授权证书范围﹑指定或非指

　　定机器﹑等等)

　　7.3伺服器服务的安装步骤(最好为 step by step

　　的安装﹐除了可以让相关人员在事故重建中得到标准外﹐对任何接手人员都可立即上轨)

　　7.4网路的稽查原则(包括记录档的配置和存放﹑人员的指定﹑排程﹑等等)

　　7.5网路备份原则(硬体设备﹑安装﹑服务范围﹑人员﹑排程﹑等等)。另﹐在《网路安全原

　　则》中有提及到网路使用者的备份服务﹐是否必要﹖和哪些人员需要﹖

　　7.6网路监控和警备原则(设备﹑手段﹑要求程度﹑人员﹑预警临界界定﹑上报渠道﹑等等)

　　由于弟对公司网路架构不熟﹐而且说老实﹐也未能胜任技术要求﹐尤其是伺服器﹑路由设备

　　和网路监测等方面。所以﹐以上第 7 点的内容我想最后还是请您撰写。

　　8)

　　根据目前所草拟之《网路安全原则》﹐我们会对远端访问服务加以限制。但弟不是很清楚公

　　司目前或将来会否提供远端访问。以及它的安全要求是什么﹖请作出指引。

　　9)

　　根据目前所草拟之《网路安全原则》﹐公司也会监管网际网路的访问﹐其中会包括站台过滤

　　和 anit-spam

　　机制。不知道是否可行﹖如果有此需要﹐其设定指南也应该包括在《网路服务管理指南》

　　中。

　　10)

　　根据目前所草拟之《网路安全原则》﹐公司会要求所有工作站安装放软体﹐不知道公司

　　对此的规定如何﹖

　　11)

　　基于前述﹐弟对许多规定还相当模糊﹐目前在《网路安全原则》所提议的﹐大部份为“杜

　　撰”﹐实在不知道其必要性和可行性。如果您觉得有探讨的余地﹐请给予指示。

　　~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *

　　下面为当周日志﹕

　　~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *

　　----------

　　2000/06/09

　　1)10:30am

　　问题﹕

　　根据文彬之报告﹐他的主机不能用 smtp.xxx.com 主机寄信给非本公司的地址﹐同样用

　　smtp.ks.xxx.com 主机也不能。均遇到 "not relaying" 的问题。

　　测试步骤﹕

　　1﹐到文彬的电脑输入 hostname 得到其主机名称为﹕conquer.xxx.com﹐ ifconfig |grep

　　addr 得到它的 IP 为 192.168.20.128

　　2﹐检查文彬的邮件软体(netscape, linux version)之sender address 为

　　conquer@xxx.com﹐将之加进 "reply to" 也同样遇到相同问题

　　3﹐telnet 至 smtp.ks.xxx.com (211.xx.xx.76)﹐查看 /var/log/maillog 发现关于

　　conquer 这个 sender 有这样的叙述﹕"relay=IDENT:conquer@[192.168.20.128]"

　　推测﹕

　　看情形似乎是 sendmail 不能够反查询文彬的主机。

　　在 sendmail 8.9.x 已经不开放任意 relay 的情形下﹐sendmail 要接收一封转寄邮件的时

　　候﹐必须反查询 sender 的主机地址。这动作可以经由 hosts 档或 DNS。

　　修正步骤﹕

　　1﹐cat /etc/host.conf 确定其order是 hosts,bind

　　2﹐cat /etc/hosts | grep 192.168.20 并没有发现任何记录

　　3﹐nslookup 查询 conquer.xxx.com 并没有结果﹐set q=ptr 后查询 192.168.20.128 也

　　没结果。

　　4﹐至此应该确定是反查询的问题了。解决方法有三﹕

　　4.1 为192.168.20 建立反解 DNS﹐同时更新 xxx.com 的正解以将 R/D 的主机加进去。但

　　考虑到 DNS

　　的对外开放性。在这台允许直接外部连线之 DNS 主机上透露过多内的部网路资讯﹐实在是

　　非常不明智的行为，不应该考虑﹐除非在内部网路建立独立的 DNS 主机。但这样牵涉到目

　　前的网路架构问题。相信目前是难以实现的﹐就算必须这样做﹐也应该向上头申请获批准方

　　可实行。

　　4.2 将文彬电脑用 hosts 静态对应。但这样做的话﹐其他在 192.168.20 下面的主机也要

　　这样做﹐实在太麻烦了。

　　4.3 修改 /etc/mail/access 档﹐将文彬主机的 IP 加入。但和前一个理由一样﹐这样做必

　　须为每一台主机建立

　　RELAY﹐有点麻烦。倒不如将整个 192.168.20 网加入﹐不过考虑到其他的本地网路﹐或许

　　他们将来也会用到本机器做 mail relay

　　﹐所以决定将整组 192.168 加入。虽然范围过大了﹐不过“相信”这个 reserved private

　　IP 网路应该不至于让目前 server 成为 ineternet 上面的 spam 基地吧。

　　5﹐最后 su 为 root ﹐修改 /etc/mail/access ﹐将 "192.168 RELAY" 加入

　　6﹐重新启动 sendmail ﹕ /etc/rc.d/init.d/sendmail restart﹐确定有两个 'OK'

　　结果﹕

　　对外邮件传送成功。

　　2) 11:10am

　　问题﹕

　　接到(某某上司)来电﹐得知 Jenifer 之电脑无法使用邮件。

　　检测步骤﹕

　　1﹐尝试下载邮件﹐或得 " can not connect to server" 的回应

　　2﹐在 command prompt 输入 'winipcfg' 竟然没有此命令﹐原来这是 windows 2000 的机

　　器﹐改为输入 ipconfig /all

　　。发现这台主机竟然使用从一台 IP 为 192.168.23.48 的DHCP server 分配下来的

　　IP﹕192.168.23.101 ﹐而它目前并没有获得 DNS 的设定。

　　3﹐输入 ipconfig release 后接 ipconfig renew ﹐IP 并没有改变。

　　推测﹕

　　可能在同一物理网路上有其他主角正扮演着 DHCP 角色﹐这应该和目前的网路设计有所出

　　入。更糟糕的是﹕这台 DHCP server 并没有为 clients 指定 DNS 内容﹐这恐怕是连不上

　　mail server 的主要原因。