ssh ControlPath изменения с определенным для хоста объявлением
Ваш комментарий "... гарантирует, чтобы я не запрещал меня, доступ к машине..." заставляет меня предлагать, во-первых, чтобы Вы действительно дразнили это использующее виртуальные машины в лаборатории, прежде чем Вы начнете работать над своими реальными производственными машинами.
dcpromo использование инструмента должно "продвинуть" автономную машину Windows Server в то, чтобы быть Контроллером домена (DC). Будучи первым DC в Вашем Active Directory (AD), Вам предложат установить Microsoft DNS Server на машину во время продвижения. Машина будет настроена, чтобы относиться к себе для DNS. Это должно использовать себя и только его для DNS (пока Вы не продвигаете второй контроллер домена, в котором времени 1-му DC нужно указать второй DC как сервер DNS и обратное).
Ре рекомендаций Microsoft: AD доменные имена являются хорошим первым объектом для Вас, который будет читать. "tl; доктор" версия - то, что необходимо использовать или субдомен домена, которым Вы уже владеете (ad.domain.com) или доменное имя, которым Вы владеете, который не используется для общедоступных интернет-сервисов (someotherdomain.com).
Используя Ваше "реальное" имя общественного достояния (против которого рекомендуем Microsoft и я) создает "расщепленный горизонт DNS" ситуация, где серверы DNS, ответственные за AD, полагают, что являются авторитетными для "domain.com", в то время как другие серверы DNS, которые выполняют Ваше общедоступное интернет-присутствие, думают, что являются авторитетными для "domain.com". В результате Вы получаете задание делать-работы синхронизации "A" записи между серверами DNS для сервисов "domain.com", которые должны быть доступны и для серверов что члены пользователей домена AD "domain.com" и для интернет-пользователей.
Я назвал бы домен AD чем-то как "ad.house-mixes.com" и пошел бы оттуда.
Ваши серверы, которые будут членами домена AD, должны иметь только серверы DNS, указанные в их собственных конфигурациях TCP/IP, которые работают на DCS. Если у Вас только есть единственный DC (который, сам, не является хорошей идеей), затем, рядовые серверы должны только иметь IP-адрес DC (который будет выполнять сервер DNS), указанный как их сервер DNS.
Общественность не должна мочь получить доступ к серверам DNS Ваших DC. Быть доступным для общественности не создает уязвимость системы обеспечения безопасности, по сути, но это может пропустить информацию. Вы не хотите потенциальных взломщиков, узнающих ничто о Вашей AD конфигурации через DNS.
Третьи лица, получающие доступ к Вашему веб-сайту, направлены там, по-видимому, некоторый уже существующий авторитетный сервер DNS. Пока это оставило неповрежденным доменное членство веб-серверов (и какой сервер DNS они используют для запросов, которые они генерируют сами), не вызовет изменения в способности общественности получить доступ к Вашему веб-сайту.
Вам нужно переместить менее конкретные параметры ниже в ~ / .ssh / конфиг . Параметры Host * применяются первыми и не перезаписываются более поздними, конфликтующими параметрами, даже если они более конкретны. Однако будут применены новые параметры, которые не были указаны в Host * , и я думаю, что это то, что вы видели в своем журнале.
Источник: http://linux.die.net/man / 5 / ssh_config
ssh (1) получает данные конфигурации из следующих источников в следующем порядке:
- параметры командной строки
- пользователь ' s файл конфигурации (~ / .ssh / config)
- общесистемный файл конфигурации (/ etc / ssh / ssh_config)
Для каждого параметра будет использоваться первое полученное значение. Файлы конфигурации содержат разделы, разделенные спецификациями «Хост», и этот раздел применяется только к хостам, которые соответствуют одному из шаблонов, указанных в спецификации. Соответствующее имя хоста - это имя, указанное в командной строке.
Поскольку используется первое полученное значение для каждого параметра, дополнительные объявления, специфичные для хоста, должны быть даны в начале файла, а общие значения по умолчанию - в конец .