サーバの CPU 使用率は、通常20%を超えることが少なかったのに、数日前に、乱高下を繰り返し始めました。MySQL が多く消費していることがわかっていた。
MySQL の「何が」までは追いかけなかったが、たぶん「アレ」というのは見当がついていたので、MySQL を使っているCMSをメンテナンス。とりあえず落ち着いた。
SSL証明書
デフォルトの証明書が邪魔をしているようで、
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
で忠告される。ただし、デフォルトの証明書のおかげな部分もある。
You have 1 error
Multiple certificates were found with the same common name.
The certificate installation checker cannot determine which certificate is correct. Remove the incorrect certificate and try again.
Recommendations
Root installed on the server.
For best practices, remove the self-signed root from the server.
Update your certificate chain.
Your certificate chain is valid, but some older browsers may not recognize it. To support older browsers, download and install the missing intermediate certificate
下記ではB判定、ブラウザのカバー率が低い。10.6サーバはC判定、上記のチェックツールはOK。ただし This server may be vulnerable: SSLv3 is enabled。
メモリ交換終了。SSL証明書更新。
無事メモリ交換できました。最大メモリを積んだ。
所要時間数分ほど。
作業しながら、アクティブモニタで見ていると、
すぐに目いっぱい使いだした。
SSL周辺の仕様更新が激しい。証明書も値上がり。
ドメインも値上がり。痛いなあ。
せっかくメモリ交換したけど、いろいろが追い付いていない。
10.6サーバでログアウトしたらサーバも止まった。
server 3.0 ではログアウトしてもサーバーソフトは動いている。
同じ仕様かと思って、10.6サーバのサーバ管理ソフトがエラーを起こしたので、ログアウトして直るかと思ったら、サーバサービスや、回線の接続も切れた。
サイトのスピードをチェックしてくれるサイト
http://gtmetrix.com/
C 評価だったので、慌てて.htaccess でキャッシュと圧縮の設定を追加。
参考ページ
http://dogmap.jp/2010/04/20/wordpress-htaccess/
要望で入れているプラグインの javascript で足を引っ張られている。
Server Diagnostics Mac OS X
「Apple Server Diagnostics では、サーバをテストして、ハードウェア
に関する問題を診断できます。」
8年も使っていて、こんなツールがあるのを初めて知った。
新規購入時にはセットアップされているらしいが、ソフトウェアレイドで構成しなおすことで消えてしまう。
- インストールディスクで起動用のメディアを作成
- 1.の起動用メディアに新規インストール(細かい手順がある。マニュアル参照)
- インストールしたOSのアプリケーションフォルダに「AppleServerDiagnostics.app」を入れる。(Admin Tool にある)
- この起動用メディアから起動すると「AppleServerDiagnostics.app」が立ち上がる
- 新規、テスト
- テスト項目で「失敗」の箇所を特定する。
途中のハードディスクチェックで引っかかったので7時間程度で終了。スペアの機体がなかったら、サーバサービスの運用がこの時間できないから、実機のみの場合は使えない。
SPF
Could not reliably determine the server’s fully qualified domain name, using **** for ServerName
org.apache.httpd[1375]: httpd: Could not reliably determine the server’s fully qualified domain name, using **** for ServerName
コンピュータ名と、ローカルホスト名を同じにしない。
servermgr_accounts: got error 5300 trying to auth to local LDAP node
servermgrd[50107]: servermgr_accounts: got error 5300 trying to auth to local LDAP node
2時間おきのエラー。
GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
DirectoryService[29]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
2時間ごとに記録されていたエラー。たぶんメールの設定を見直すことで出なくなる。
ファイアーウォールの Kerberos のポートは関係ない。
servermgr_dhcp:bootp config:Error:Failed to create default subnet records
servermgrd[71]: servermgr_dhcp:bootp config:Error:Failed to create default subnet records
システムログに、1分毎に記録される。
いろいろ試したが、うまくいかない。
- サーバのDHCPの設定はできない (PPPoE で接続しているとNAT を設定できない)
- AirMacベースステーション・エージェント 無効 だめ
- ネットワーク プロバイダの設定見直し
→PPPoE のみの設定 -
AirMac 近くのWi-Fiが表示されない 「入」にして進め、接続先を設定
→ここでログが記録されなくなった!
どこで読んだか忘れたが、Mac OSX の場合、接続先のリストを覚えていて、それを使って接続を試みるとのこと。
システム環境設定で、PPPoE 接続のみの設定だけ残してすべて削除していたのを、wi-fiを「入」にしたことで、「default」ができた、ということかしら。
これは mac osx 10.6.8
ついでに
DNSのログに大量のエラー。query(cache) 逆引きのキャッシュを調べに来ているようなのだが、逆引きのアドレスが1か所違う。→IPアドレスを拒否。
メールログにユーザを調べる大量のログ。律儀にアルファベット順に英語名と思われるアカウントを1秒に2回のペースだ。→IPアドレスを拒否。
SSL証明書設置
- 基本IPアドレス1個に対して1枚
(cerにポート番号を指定できない。そもそもデフォルトでしかポートを調べない。) - 設置ができたらwebサーバ再起動
- テストツールでチェック
- ブラウザの鍵マークは暗号化されていないコンテンツが混じると表示されない
(外部サイトのバナーとか、) - サイト管理を更新した場合はその都度チェック
忘れてしまうのでメモ
逆引きサービスを設定
準備
ネームサーバを複数要求するレジストリが多い。1つでもOKなレジストリがある。ネームサーバは設定済。
逆引きサービスを無料で提供してくれているプロバイダがある。メールフォームから申請し、設定内容をメールで知らせてくれる。1週間くらいはかかると思うこと。
注意
DNSの設定をいじりたおすと、 Open Directory に影響が出て、ワークグループが起動しても応答しない状態になってしまう。作業前にバックアップをとるといいかもしれない。
DNS
/etc/dns
/var/named
また、Aレコードを編集すると、規定外の逆引きゾーンは削除されるため、その都度記述の追加が必要。
サーバ管理画面で設定をすればすぐにDNSに反映されるわけではない。タイムラグがある。
MAC OSX SEVER にて設定
ゾーン追加
デフォルトの逆引きゾーンとは別に、指定の逆引き情報を追加設定する。ただし、指定の設定内容ではうまくいかなかったため、Lookup で確認した情報を使う。
結果
