huihui的飛機場

昨天將 openldap 更新到 2.4.11_1 之後,
其中一台只要一使用 ldaps 或 TLS 連線就會掛掉,
log 顯示的是在 TLS 的 handshake 階段就失敗

slapd[30845]: conn=0 op=0 STARTTLS
slapd[30845]: conn=0 op=0 RESULT oid= err=0 text=

接下去 slapd 就以 signal 11 結束了.

使用 ldap(389) 不加密去連線則一切正常,
看起來似乎是憑證的問題,
但另一台完全一樣的設定卻沒有這個問題,
重裝 openldap server, 重建 database 都沒有用.

嘗試了近 12 個小時後,
決定把 openssl 移除, 重裝,
結果就好了,
為什麼升級 openldap server 會造成 openssl 壞掉呢?

還找不到地方搬家, 所以就繼續再待一陣子吧。

由於今天機房被無預警斷電, 再加上主迴路跳電, UPS 容量太小,
所以一整天都是雞飛狗跳。損失如下:

• IBM SCSI HD x1 --- 完蛋
• LDAP 2 號機  ------ 完蛋

硬碟部分還好是用 RAID-5 再加上有舊機器留下來的備品, 所以換上就 OK.
修那顆 HD 可能比買新的還貴, 所以就先放著吧。

LDAP 2 號機就慘了, 我全校的帳號都靠 LDAP 來驗證身份,
還好本校網管人員一向有被害妄想症,
所以一開始規劃, LDAP 就是兩台一組, 跑 mirror mode,
出事了就只好讓 LDAP 1 號機扛起 2 號機的工作。倒也沒什麼大問題。

問題是第一次復原 mirror mode 的 LDAP Server , 有點不知如何開始。
最後是這麼做的:

• 安裝 OS
• 安裝 LDAP server
• 做好系統網路校時(很重要, 跑 mirror mode 的兩台有時差會很慘的) 
• 用 Apache Directory Studio 把 1 號機的資料匯出成一個 ldif 檔
• 啟動 2 號機, 但先不跑 mirror mode
• 將 ldif 檔匯入給 2 號機的 LDAP server
• 重新以 mirror mode 啟動 2 號機(這時 2 號機應會將 1 號機的資料同步回來)
• 重新啟動 1 號機的 slapd 服務(不然 2 號機的資料修改後不會反應回 1 號機, 我也不知為什麼)
  
• 測試 1, 2 號機修改資料時是否順利同步
• 完成

昨天一開機，發現我在登入 XP 後沒多久，電腦的速度變很慢，
一執行和網路相關的程式就死機，
而且連 SystemTray 中的網路連線成功小圖示都沒出現。

今天花了一天的時間找原因，
用 msconfig 一個一個 service 去抓問題點，
最後發現是 Antivir PersonalEdition Clasic Guard 造成，
到 Antivir 官網，找到這一篇討論：

http://forum.avira.com/thread.php?threadid=34468

重點就是去下載  http://www.avira.com/en/documents/utils/tools/Fltch.zip
解壓縮後放到小紅傘的安裝目錄下(C:\Program Files\Avira\AntiVir PersonalEdition Classic)，
執行它，重新開機即可。

草稿-先記錄再補齊

在使用 miiror 模式下如果把 slapcat -l 所 dump 下來的 ldif 檔分別灌回兩台 ldap ,
則下次一有異動時, 其中一台會停掉, 原因不明。

試出成功的方法是, 先把各自的 root 建好,
把其中一台的 ldap stop, 把 ldif 檔濾掉雜質後 import 進去另一台,
import 完成後稍等一下, 再把原來那一台 ldap start,
等一段短時間後, 它們就會互相同步。

有點怪, 還沒想通, 但總算修好了, 待續......

前一陣子從倉庫中拖出一台雙 CPU 的主機，
被封存好長一段時間了，聽說曾經送到台北修，不過修不好，
看它快被報廢了有點可憐，
於是試著再給它一次重生的機會。

一開始連開機都有問題，
所以把所有的介面卡都拆下來清一次，
花了一個下午了解各介面卡喜歡的角度，
依其喜好角度裝回鎖定後，終於可以開機成功了。

拿出 XP SP2 光碟開始安裝後，刺激的才開始，
每次出現的錯誤都不一樣，
有時是藍色死亡畫面，有時是從光碟複製某個檔案時失敗，而且還每次不同檔案，
運氣好裝到圖形介面啟動後，也會有各種不同的死法，
一開始懷疑光碟片的問題，換了一片全新的依然沒用，
那可能是光碟機老了吧？換了兩台光碟機也沒用，
難不成是光碟排線有問題？換了一條，一樣死給你看，
最後到 BIOS 中把開機時所有的檢查項目開啟，用最完整的開機檢測程序，
突然．．．出現了一行 Memory test failed.
難不成這就是兇手？
接著就一條一條的把 RAM 拔下來試試，
果然兇手出現了，其中一條有問題。

於是我撃敗了台北某公司，這台雙 CPU PC 又復活了，
或許有人在等著它被辦報廢，然後撿現成便宜，
很抱歉，讓你失望了。

=================================================== 

 0221 補充:

今天得知, 我救回了卅萬元。

兼職行政工作，課少了，
多數時間不是在跟公文打架，就是處理一些和教學沒啥交集的事，
久了，會讓人忘了自己本來是個老師。

有時在行政上的衝突會讓人很沒力，
對於校內的專務公職人員來說，「上班」做行政業務就是他們的本業，
但對我來說，教學才是本業，
我卻常常為了這些不是本業的事情在受氣。

上級所定的業務職掌總令人嘆為觀止，
大家都是看著職務名稱自行揣摹著解釋業務範圍，
結果出現一大堆模糊不清的地帶，
長官認為這是「合作空間」，
殊不知「眾人之事即是無人之事」，
單位氣氛良好，就算業務互不相關，大伙兒也會互相支援，
若氣氛不佳，模糊地帶一堆，只會造成大家多生衝突，彼此內傷。

現在反倒是上課時才比較能平靜下來，
雖然有時還是會被學生搞得頭上三條線

最近意外的接觸到「彼德原理」這東西，。

什麼是彼德原理呢？

「彼得原理的基本表述是：在一個層級制度中，每一個人總趨向晉陞到他所不能勝任的職位；有工作成績的人將被提升到高一級的 職位；如果他們繼續勝任，將進一步提升，直至到達他們所不能勝任的位置。所以，組織的悲劇在於：每一個職位最終將被不勝任的人所佔有；而組織的工作任務， 多半是由尚未達到不勝任職位的人們所完成。」
--郭曉來　彼得原理揭示了組織的悲劇。http://big5.china.com.cn/chinese/zhuanti/xxsb/546389.htm。

那麼我是不是已經提到到了最終那個不能勝任的位置了呢？
如果我知道自己被提升到了那個位置，而主動要求不被提升，卻不被主官管接受，又是怎樣的情形呢？
我覺得位於自己能勝任的職位上，不但對組織來說是比較公平有效率的事，
而且自己也能過得比較快樂一些，
呆伯特漫畫的作者　Scott Adams，在呆伯特法則的最後一章提到：「快樂的員工比不快樂的員工更具生產力與創造力。」
相信對許多曾經快樂地為組織奉獻的人來說一定是心有所感。

至於接受提升，不管是為了名、利或其他考量，
都必需接受一個事實，那就是你必需承擔更大的壓力和責任，
如果無法接受這個事實，只是單純的想到名、利或其他目的，
那就如同倚天屠龍記中對七傷拳所做的描述，
內力不足又強練七傷拳，必定是一練七傷，
好好的一套絕世拳法，到頭來卻是先傷己再傷人。

如果你接受提升，也願意承擔責任，
套用彼德原理，你還是會繼續被提升到一個你無法勝任的位置上。
看起來很可悲，但使用這種傳統選才任用原則的組織似乎俯拾皆是，
大家都認為對待表現好的員工就是要提升他的職位才對得起他，
但加薪、給假、放福利讓他繼續快樂的工作，應該也是個選擇，
比起升官後讓他整天掛著一幅苦瓜臉工作，不是好多了嗎？

今天害他忙了一整天，一切盡在不言中。

最近做了一次大清查，原來學校買了那麼多的無線 AP，
大家真的都有這麼大的無線上網需求嗎？

「安全性」是我最擔心的問題，我有辦法讓他們具有水準之上的安全性，
但是換來的可能是「電腦老師找麻煩」，畢竟安全和方便的平衡點在那裡，
每個人的想法都不一樣。

管理者希望能保護校園內部網路和資訊，使用者想的只是怎麼上網才會方便，
如果辦個研習告訴他們目前這種快樂上網所隱藏的危險，他們會比較能接受嗎？
我不敢有太過樂觀的想法。

這幾天完成了一份本校的「無線網路安全風險評估與改進建議」報告，
找一天去面聖，了解一下校長的想法好了，
如果他要的是方便就好，安全沒關係；
那我可得快簽個保命簽呈了。

電腦老師最怕什麼？

閃電擊中網路線？　錯！
隕石擊中電腦教室？　錯！
LSS 不肯管主機？　錯！

電腦老師最怕的是聽到「偉大的」行政人員說：「這個可能要用電腦......」
不管你電腦老師是專任，還是兼任某行政職務，
他只要一句「這要用電腦」，事情就是要推給你做。

請問這年頭要接行政職務，你不會用電腦是要怎麼玩下去？
又愛當行政，又不會用電腦，不會又不肯學，那是擺明了錢你領，事情別人做嗎？

真的非用電腦處理的事就算了，現在連跟本不干電腦的事情也要硬扯到「這可能要用電腦......」，
我輸給你了，你贏了可以吧？ 校長...主任...你們趕快去找接任的人選吧！不要明年又生不出組長了。

今天幫二個同事解決 Notebook 的問題。

問題一：客戶描述為「打中文時會跑出數字 」

解決方法：幫他按一下 NumLock。

問題二：客戶描述為「使用瀏覽器上網時，速度很慢」

解決方法：經過幾分鐘的聊天後，發現是他先生在家裡下載檔案佔掉太大頻寬造成，電腦沒問題。 

最後 Lss 按慣例來哈啦一下，然後說 bye! bye!

結束了平凡的一天。

今天在執行 gpedit.msc 時無法順利啟動，畫面上出現了一個錯誤： 

管理單元初始化失敗，錯誤碼 8fc0b734-a0e1-11d1-a7d3-0000f87571e3

在網路上 google 了一下，多數人表示是 registry 或 gpedit.dll 的問題，
不過用了他們的方法都無法順利解決，
最後想到了一個可能性：「會不會是最近安裝的軟體，動到了環境變數 path ？」
於是檢查了一下 path 的值，
果然，前幾天裝 cwtex 時，它在 path 的前面加了幾條新路徑，
把這幾條新路徑移到 path 的尾巴後，搞定！

由於電腦教室中的電腦都是使用 MS Windows 作業系統，
所以數年前就規劃將教室中所有的電腦都納入 AD 網域中控管，
效果很好，彈性也不錯。

一開始在需要更動網域群組原則時都必須要登入到 AD Server，
即使是使用遠端桌面也不是很方便，
後來在網路上看到了微軟的「群組原則管理主控台」，
在教師電腦上安裝之後，便可以輕鬆的在 Client 端管理網域的群組原則了，
而且還有備份、還原及不錯的介面。

前陣子重灌教師電腦，忘了「群組原則管理主控台」的安裝檔放到那去了，
所以又到網路上找了一下，原來現在已經是 SP1 了，
把原始網址放這邊，方便下次要找的人。

使用群組原則管理主控台進行企業管理
http://www.microsoft.com/taiwan/windowsserver2003/gpmc/default.mspx

今天在整理電腦教室的電腦時，發現有不少 USB 病毒的蹤跡，
由於之前防毒軟體不把這種「病毒」視為病毒，所以都沒警示，
在最新的更新中，終於把這種「病毒」視為病毒了。

這東西主要是利用 USB 設備剛接上 PC 時的 autorun 來做怪，
所以學生們或老師們帶來帶去的 USB 隨身碟都有可能是它傳染的媒介。

比較保險一個的作法，我想應該是將 Windows 的 autorun 關掉，
這樣一來就能避免這些居心不良的程式在你措手不及的情況下就執行了。
當然如果手賤，自己要去執行它，那我也沒輒。

話說怎麼把 Windows 的 autorun 關掉呢？
「有人說要改 registry」 ，沒錯，他說的對，但一般使用者沒那個膽子去改，
而且手續也不簡單。

如果你是使用 Windows XP 的話，最快的方法是：

1.  [開始]→[執行]→"gpedit.msc"→[確定]。
2. 在群組原則視窗左側依序展開 [電腦設定]、[系統管理範本]，點選 [系統]。
3. 在右側找到 [關閉自動播放]，點兩下(double click)。
4. 將該原則設定為 [已啟用]，停用 [所有磁碟機]。

這麼一來，當 USB 隨身碟插入該 PC 時，就不會 autorun 了。

================ 更新 =================== 

這個方法還是有漏洞。
如果使用者在[卸除式磁碟]的 ICON 上 DoubleClick 的話還是會中招，
要徹底解決這個問題，可能要由 MS  出更新程式了。

================ 更新 ===================

找到了一個解決方法。 

用 regedit 找到下面這個機碼

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 

在其上按右鍵，選〔使用權限...〕
新增 everyone，並將 everyone 權限中的拒絕都打勾，
這樣一來使用者在[卸除式磁碟]的 ICON 上 DoubleClick 時也不會中招了。