[第137期] 玩轉(zhuǎn)08活動目錄,助力您的企業(yè)管理
windows server 2008和搭檔產(chǎn)品vista的新特性應(yīng)用以及最新的windows server 2008 R2和windows 7的搭檔應(yīng)用,在企業(yè)中的價值及其體現(xiàn)是如何的呢?
本次門診以活動目錄為核心,windows server 2008為架構(gòu)基石,為您帶來更加完善、更加符合企業(yè)應(yīng)用需求的IT架構(gòu)解決方案及疑難解答!
技術(shù)門診是51CTO社區(qū)品牌欄目,每周邀請一位客座專家,為廣大技術(shù)網(wǎng)友解答疑問。從熱門技術(shù)到前沿知識,從技術(shù)答疑到職業(yè)規(guī)劃。每期一個主題,站在最新最熱的技術(shù)前沿為你引航!
本期技術(shù)門診我們邀請到微軟最有價值專家(MVP),高級講師宋楊宋老師,和大家討論交流windows 2008下活動目錄配置管理中遇到的問題及相應(yīng)的解決方案。
姓名:宋楊
擅長領(lǐng)域:服務(wù)器,網(wǎng)絡(luò)
微軟最有價值專家(MVP),網(wǎng)絡(luò)技術(shù)高級講師。熟悉Windows / Linux服務(wù)搭建,廣域網(wǎng)技術(shù),Voip,Cisco / 華為網(wǎng)絡(luò)技術(shù)。多年大型企業(yè)網(wǎng)站建設(shè)及系統(tǒng)集成經(jīng)驗。擅長ERP、CRM系統(tǒng)部署,曾長期致力于汽車服務(wù)行業(yè)的信息化解決方案。有著豐富的微軟及 Sap公司系統(tǒng)產(chǎn)品實施及部署經(jīng)驗。項目經(jīng)驗:成功整合過Windows、IBM、SAP、騰訊E、用友、紹興卓越軟件,北京易車等知名國內(nèi)外信息化系統(tǒng)。一汽大眾大SAP系列行業(yè)項目,華晨金杯售后服務(wù)信息化項目,鄭州日產(chǎn)ERP /CRM項目、上汽奇瑞ERP項目等。
查看本期門診精彩實錄:http://doctor.51cto.com/develop-150.html
參與最新技術(shù)門診:http://doctor.51cto.com/
精選本期網(wǎng)友提問與專家解答,以供網(wǎng)友學(xué)習(xí)參考。
Q:宋老師您好:目前我單位正好在搞個小項目,正是此環(huán)境,服務(wù)器windows 2008 server,在Vista下加域后,如此域賬戶為user權(quán)限,我發(fā)現(xiàn)運行office軟件會有報錯,提示放入安裝光盤,需要XX.cab。但我放入后沒什么用,我只能很傻的卸載office并重裝下,這樣效率很低,且我不得不把office裝在D盤,因我不能改C盤的用戶權(quán)限,如裝在C盤,我難以給域賬號modify權(quán)限,怕office出錯,故裝在D盤。請問有何好辦法?是不是在Vista下修改下組策略還是?
A:1、在AD中創(chuàng)建一個OU(專門用來分發(fā)或者修復(fù)軟件)
2、創(chuàng)建一條組策略套用在這個OU上
3、修改組策略中的計算機配置的軟件策略(提前做一個共享,作為軟件的分發(fā)點),然后設(shè)置安裝或者修復(fù)就OK了。
4、2008中是用GPMC做組策略管理的,可以使用GPMC備份進(jìn)行軟件分發(fā)的GPO,以備日后刪除或者升級軟件使用。
Q:宋教授您好,我想了解一下現(xiàn)在裝Windows 2003的系統(tǒng)短期內(nèi)有沒有必要升級到Windows 2008呢,在功能上2008比2003強多少呢?
A:根據(jù)你的企業(yè)IT環(huán)境的生命狀況和IT需求來決定是否升級,比方你原來是服務(wù)端:2003 sp2 客戶端:xpsp3 這樣的架構(gòu),如果客戶端60%以上的用戶都要選擇windows vista 或者windows 7 那么為了滿足業(yè)務(wù)用戶的需求,我們的服務(wù)器就需要更換成2008 或者 2008R2來滿足客戶端功能的需求。或者原來2003服務(wù)器上的IIS6.0需要更換新的IIS7.0或者7.5 那么可以考慮升級到2008 或者2008 R2
Q:宋老師:您好,我司有一個部門對信息安全要求比較嚴(yán)格,所以使用WIN2003域進(jìn)行管理,客戶機全部為XP專業(yè)版(服務(wù)器為中文企業(yè)版,客戶機為韓語系統(tǒng))。目前出現(xiàn)奇怪現(xiàn)象為,有一些客戶機的域策略更新不了,例如屏保等設(shè)置都不受域的控制,但是與域的通訊沒有問題,客戶機登陸仍然使用域賬號。
請教一下,出現(xiàn)下列問題需要如何排查故障原因及有可能出現(xiàn)的故障(為方便排查沒有安裝殺毒軟件),謝謝!
A:組策略的默認(rèn)刷新時間是90分鐘,也可以在客戶端用gpupdate /force 的d方法強制刷新。上面的情況可能是因為DNS引起的。樓上的朋友可以嘗試下面的方法來排除:
單擊開始,指向設(shè)置,單擊控制面板,然后雙擊網(wǎng)絡(luò)連接。
右鍵單擊本地連接,然后單擊屬性。
單擊 Internet 協(xié)議 (TCP/IP),然后單擊屬性。
如果"使用下面的 DNS 服務(wù)器地址"選項尚未選中,請單擊該選項。
在"首選 DNS 服務(wù)器"框中鍵入正確的 DNS 地址。
單擊確定。
命令提示符下 使用ipconfig /flushdns 命令來刷新DNS 緩存。
Q:您好,請問一下,對于windows 2008它在安全性上優(yōu)于windows 2003嗎?具體在那些方面有所提高?
A:首先,安全性上更定優(yōu)于2003.因為發(fā)布的時候微軟宣傳是"史上安全性最強"。
與以前Windows版本中的防火墻相比,Windows Server 2008中的高級安全防火墻(WFAS)有了較大的改進(jìn),首先它支持雙向保護(hù),可以對出站、入站通信進(jìn)行過濾。
其次它將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗證設(shè)置。
而且WFAS還可以實現(xiàn)更高級的規(guī)則配置,你可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則,配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。
傳入數(shù)據(jù)包到達(dá)計算機時,具有高級安全性的Windows防火墻檢查該數(shù)據(jù)包,并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配,則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作,即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配,則具有高級安全性的 Windows防火墻丟棄該數(shù)據(jù)包,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。
對規(guī)則進(jìn)行配置時,可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇:例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多,具有高級安全性的Windows 防火墻匹配傳入流量就越精細(xì)。
具體配置就不詳細(xì)說了,有興趣可以到我blog里參考學(xué)習(xí)
Q:請問win2008中是否可以安裝exchange2003?安裝win2008對主機的最低要求是什么?我在虛機中安裝win2008發(fā)現(xiàn)運行起來很吃力!反應(yīng)很慢!是否與我給與配置的虛機內(nèi)存過低有關(guān)?如果在虛機中能夠跑2個以上的win2008虛機應(yīng)如何配置?我使用的虛機是vm6.5.2!謝謝解答!
A:請問win2008中是否可以安裝exchange2003?可以安裝win2008對主機的最低要求是什么?
處理器 o 最小: 1GHz
o 建議: 2GHz
o 最佳: 3GHz 或者更快速的
注意: 一個 Intel Itanium 2 處理器支援Windows Server 2008 for Itanium-based Systems
內(nèi)存 o 最小: 512MB RAM
o 建議: 1GB RAM
o 最佳: 2GB RAM (完整安裝) 或者 1GB RAM (Server Core 安裝) 或者其他
o 最大 (32位系統(tǒng) ): 4GB (標(biāo)準(zhǔn)版) 或者 64GB (企業(yè)版 以及 數(shù)據(jù)中心版)
o 最大 (64位系統(tǒng)): 32GB (標(biāo)準(zhǔn)版) 或者 2TB (企業(yè)版, 數(shù)據(jù)中心版, 以及 Itanium-based 系統(tǒng))
允許的硬盤空間 o 最小: 8GB
o 建議: 40GB (完整安裝) 或者 10GB (Server Core 安裝)
o 最佳: 80GB (完整安裝) 或者 40GB (Server Core 安裝) 或者其他
注意: Computers with more than 16GB of RAM will require more disk space for paging, hibernation, and dump files
光盤驅(qū)動器 DVD-ROM
顯示 o Super VGA (800 x 600) 或者更高級的顯示器
o 鍵盤
o Microsoft Mouse 或者其他可以支援的裝置
虛擬機使用慢,估計是你硬件配置的問題哈
Q:謝謝老師的解答,試問下win2008server core是命令行提示符下對操作系統(tǒng)進(jìn)行操作的界面么?如果我安裝了win2008企業(yè)版,想使用server core需要安裝什么組件?或者下載什么版本?server core是單獨的一個操作系統(tǒng)版本還是類似于SP1補丁一樣!下載安裝?能否詳細(xì)介紹下呢?看過相關(guān)的文章server core功能很強大!想學(xué)習(xí)下!還有,server core中是否結(jié)合了powershell 如果想詳細(xì)的學(xué)習(xí)這些命令,從哪下手呢?我只在大學(xué)里學(xué)過一點點的編程!全部忘光了!!!謝謝老師的指點!
A:server core僅僅是咱們在安裝2008時可選的一種安裝模式,所以沒有版本限制,選擇服務(wù)器核心(core)模式安裝就可以了。2008的標(biāo)準(zhǔn)版、企業(yè)版、 web版、數(shù)據(jù)中心版各個版本都支持core模式的安裝。如果您安裝的是core模式,那么就意味著裝完之后只有核心組件而沒有圖形界面,所以系統(tǒng)性能的增強是以犧牲可操作性為代價的。簡單的說:你就只能使用命令模式或者core的遠(yuǎn)程管理工具來實現(xiàn)遠(yuǎn)程管理了。
Q:我用vhd鏡像裝的sever 2008 R2 想做WDS實驗,Ad及DHCP都已經(jīng)裝好了,另一個筆記本網(wǎng)絡(luò)激動能連接上我的,剛開始load file的速度也挺快的,但是到了后來下載boot.wim文件時速度卻很慢很慢,以前也做過一個,但是也是一樣的慢。實在是想不明白為什么這樣,在 virtual pc里做實驗速度但是蠻快的,但是在實體機里卻很慢,請問這是為什么呢。
我的筆記本 hp6930p 2G內(nèi)存 T9400cpu 2.53Ghz 我覺得配置夠用了,為什么連接是卻很慢呢?請求各位幫忙看下,哪出問題了?待安裝的筆記本和我同一型號配置一樣。
A:虛擬機理的是標(biāo)準(zhǔn)的網(wǎng)絡(luò)環(huán)境,肯定會比實際網(wǎng)絡(luò)環(huán)境要穩(wěn)定和快速一些。
Q:宋老師您好:我家用的是寬帶路由器,我有兩臺電腦,一臺裝win2003, 一臺裝xp。我在win2003裝了VPN,用xp去訪問有時能拔上號有時不能,如果拔上號xp就會連不上網(wǎng)!還有,接不上時有時出現(xiàn)633錯誤,800 錯誤。這是為什么,用外網(wǎng)的機器連出現(xiàn)733錯誤。
A:VPN服務(wù)器733錯誤解決方法
取消DHCP自動分配,在"路由和遠(yuǎn)程訪問"中的本地服務(wù)器上單擊右鍵,"屬性""IP"在IP地址指派處選擇"靜態(tài)地址池"。自行輸入地址即可。地址因沒有被占用。在CMD中ping同C段IP無法ping通的基本可用。
* 733問題 路由及遠(yuǎn)程訪問設(shè)置 具體方法
1. 開始 , 指向 管理工具 , 依次 路由和遠(yuǎn)程訪問 。
2. 單擊服務(wù)器的控制臺左窗格中本地服務(wù)器名稱相匹配。
路由和遠(yuǎn)程訪問服務(wù)如果圖標(biāo)有在左下角角, 紅色圓圈是不啟用。 轉(zhuǎn)到步驟 3。
如果有在左下角角, 向上綠色箭頭圖標(biāo)是啟用服務(wù)。 若是, 可能要重新配置服務(wù)器。 要重新配置服務(wù)器, 您必須首先禁用路由和遠(yuǎn)程訪問。 要這樣做, 右鍵單擊服務(wù)器, 然后單擊 禁用路由和遠(yuǎn)程訪問 。 在您使用信息性郵件提示時單擊 是 。
3. 右鍵單擊服務(wù)器, 然后單擊以啟動路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?配置并啟用路由和遠(yuǎn)程訪問 。 請單擊 下一步 。
4. 單擊要啟用遠(yuǎn)程計算機來撥入或連接到此網(wǎng)絡(luò)通過 Internet 遠(yuǎn)程訪問 (撥號或 VPN) 。 請單擊 下一步 。
5. 用于撥號訪問, 根據(jù)要分配到此服務(wù)器角色進(jìn)行虛擬專用訪問, 單擊 VPN 或 撥號 。
6. VPN 連接 上, 單擊網(wǎng)絡(luò)接口連接到 Internet, 依次 下一步 。
7. 在 IP 地址分配 頁上, 執(zhí)行下列之一: 如果 DHCP 服務(wù)器將用于將地址分配給遠(yuǎn)程客戶, 自動 , 依次 下一步 。 請轉(zhuǎn)到步驟 8。
單擊 來自指定的地址范圍 僅從預(yù)定義池給, 可遠(yuǎn)程客戶地址。
在大多數(shù)情況下, DHCP 選項是容易管理。 如果沒有 DHCP, 但是, 必須指定的靜態(tài)地址范圍。 請單擊 下一步 。
向?qū)Т蜷_ 地址范圍分配 頁。 a. 單擊 新建 。
b. 在 起始 IP 地址 框中, 鍵入地址對要使用的范圍中第一個 IP 地址。
c. 在 結(jié)束 IP 地址 框中, 鍵入最后一個 IP 地址范圍中。
Windows 將自動計算的地址數(shù)。
d. 單擊 確定 以返回到 地址范圍分配 頁。
e. 請單擊 下一步 。
8. 接受默認(rèn)設(shè)置, No, 使用路由和遠(yuǎn)程訪問來驗證連接請求 , 然后單擊 下一步 。
9. 單擊 完成 以啟用路由和遠(yuǎn)程訪問服務(wù)并將配置運行路由和遠(yuǎn)程訪問服務(wù)器。
服務(wù)器可現(xiàn)在配置為 VPN 服務(wù)器。
Q:還有個問題,服務(wù)器上如何重設(shè)域賬戶的密碼,域管理員的密碼?謝謝!
A:打開"Active Dircetory 用戶和計算機"選擇要重設(shè)密碼的用戶,右擊 選擇"重設(shè)密碼"
Q:老師你好,我是在校生,如果現(xiàn)在要學(xué)win 2008的話,有沒有比較好的教程可以推薦呢?謝謝!
A:有一本書可以推薦《Microsoft Active Directory Administrator's Pocket Consultant》 不過中文版的沒出,另外建議你去我的blog:http://songyang.me 有全套08的學(xué)習(xí)文章哈。
Q:請問專家,08的活動目錄和2003的活動目錄相比,多了一些什么功能,在應(yīng)用過程中有什么作用?
A:從AD的功能上來說確實多了很多振奮人心的功能,這個我例舉幾個:
1 只讀DC (加強遠(yuǎn)程分支機構(gòu)的強化管理)
2 組策略的加強:多元密碼策略 (制定多元的密碼策略應(yīng)對不同的被管人群)
3 獨立于系統(tǒng)內(nèi)核之上的AD服務(wù)(獨立于系統(tǒng)的ADDS和ADLDS更有利于服務(wù)的管理和數(shù)據(jù)庫的維護(hù))
4 AD快照功能(便于AD數(shù)據(jù)庫的日常管理維護(hù),可以方便快速的找到用戶以前的設(shè)置)
還有很多就不一一例舉了,這位朋友有興趣可以在我的Blog的2008專欄里找到更多答案
Q:請問下 如果我想在虛擬機里面裝Win 2008 然后在里面安裝SQL數(shù)據(jù)庫 應(yīng)該分配多大的空間合適呢?
A:2008完成安裝的話建議40G的系統(tǒng)空間,SQL如果是2005 版本 做實驗的話就不用再分了。生產(chǎn)環(huán)境根據(jù)需求來劃分。
Q:你好,宋老師,我想問一下,,2008的powershell同我們現(xiàn)在常用的cmd相比, 都有哪些強大的功能呢?
A:powershell 是windows平臺中推出的革命性腳本編輯工具,強大的腳本編輯功能和linux下的bash都不相上下(個人感覺哈).
主要是給喜歡寫腳本程序的用戶使用的。比如一些腳本開發(fā)人員,或者IT管理人員。
你可以用powershell編寫和執(zhí)行任何圖形界面能做的事情,并設(shè)置自動化的管理任務(wù)。
甚至一些圖形界面辦不到的自定義高級功能都可以在powershell中做到。
Q:自第3樓您回復(fù)說 "4、2008中是用GPMC做組策略管理的,可以使用GPMC備份進(jìn)行軟件分發(fā)的GPO,以備日后刪除或者升級軟件使用。"
請問GPMC是否是gpmc.msc,記得2003中也有個GPMC管理程序,它們有何區(qū)別,是否都能從微軟官網(wǎng)上下載,謝謝。
A:首先2008是默認(rèn)集成GPMC的,不用自己再去安裝了。而2003中的GPMC是需要安裝的。當(dāng)然GPMC管理組件是可以從官方下載的。當(dāng)然這僅僅停留于 2003的時代。而2008已經(jīng)將所有的組件都內(nèi)置在系統(tǒng)中了,不需要再放光盤更不需要從網(wǎng)站下載,只需要從服務(wù)器管理器中選擇相應(yīng)的功能就ok了。
Q:宋老師:你好!請問如何提取出或備份系統(tǒng)的語言包?
A:可以從微軟下載中心去下載多國語言包。
Q:netdiag出現(xiàn)的信息每一行都是什么意思?一點都看不懂。
A:我們經(jīng)常會使用Windows 網(wǎng)絡(luò)連接的修復(fù)功能修復(fù)網(wǎng)絡(luò)連接。這種修復(fù)功能發(fā)揮作用的途徑是通過實施一系列的測試努力恢復(fù)由于客戶端或者服務(wù)器的網(wǎng)絡(luò)設(shè)置錯誤引起的網(wǎng)絡(luò)連接問題。客戶端的問題包括DHCP設(shè)置或者解析器緩存的問題。服務(wù)器的問題包括WINS或者DNS名稱注冊。然而,這種修復(fù)功能有一些局限性,也就是:
維修過程的結(jié)果不能存儲下來以便以后進(jìn)行評估或者做報告。
在多宿主機上,維修過程必須要在每個網(wǎng)絡(luò)連接上分開實施。
維修過程實施的測試數(shù)量是有限的。
使用Netdiag.exe能夠克服這些局限性。Netdiag.exe是一種網(wǎng)絡(luò)連接故障診斷工具,是Windows技術(shù)支持工具的一部分。 Netdiag能夠比維修過程做更廣泛的和數(shù)量更多的測試。你還可以讓Netdiag.exe輸出一個文本文件,這樣,你就能獲得一個實施的測試和結(jié)果的記錄。
安裝Netdiag
你可以通過安裝Windows技術(shù)支持工具來安裝Netdiag。用鼠標(biāo)雙擊SupportToolsSUPTOOLS.MSI就可以安裝。在默認(rèn)狀態(tài)下,技術(shù)支持工具安裝到%SystermDrive%Program FilesSupport Tools目錄。但是,我發(fā)現(xiàn)把這些工具安裝到%SystemDrive%Tools目錄更方便,因為這些工具需要在命令行下運行。這樣將使為了運行這些工具而輸入這些工具的路徑更簡單。替代的方法是,如果你只要安裝Netdiag,而不安裝其它技術(shù)支持工具,你可以用鼠標(biāo)雙擊 SupportToolsSupport.cab文件,然后用鼠標(biāo)雙擊Netdiag.exe以便僅安裝這個工具。
理解Netdiag
Netdiag對本地系統(tǒng)的每一個網(wǎng)絡(luò)適配器進(jìn)行一系列的測試。一旦進(jìn)行這些測試,Netdiag要進(jìn)行一系列全球連接測試以便找到和解決連接問題。這些問題也許是本地系統(tǒng)以外的問題引起的。
Netdiag對本地系統(tǒng)的網(wǎng)絡(luò)適配器進(jìn)行如下測試:
Ndis
Ipconfig
Autonet
DefGw
NbtNm
WINS
一旦這些測試完成,Netdiag接下來將進(jìn)行下面的一系列全球連接測試:
Member
NetBTTransports
Autonet
IpLoopBk
DefGw
NbtNm
Winsock
DNS
Browser
DsGetDc
DcKust
Trust
Kerberos
Ldap
Bindings
WAN
Modem
IPSec
每一項測試的細(xì)節(jié)將采用下面的表格提供:
測試名稱
說明 Autonet 檢查網(wǎng)絡(luò)適配器是否在使用APIPA(自動專用IP地址)。綁定列出網(wǎng)絡(luò)綁定,包括接口名稱、下面和上面模塊名稱,指出這個綁定目前是否啟用并且報告這個綁定的擁有者。瀏覽器列出瀏覽器服務(wù)和重新定向器的全部網(wǎng)絡(luò)協(xié)議。 DcList 獲得一個這個域名的域名控制器列表。 DefGw 用每一個配置的默認(rèn)網(wǎng)關(guān)驗證連接。 DNS 驗證配置的DNS服務(wù)器的可用性并且驗證客戶端的DND注冊。 DsGetDc 從目錄服務(wù)中獲得任何域名控制器的名稱,然后獲得PDC仿真器的名稱。驗證存儲在本地安全認(rèn)證中的域名GUID與存儲在DC中的域名GUID是否一致。 IpConfig 逐個列出每一個網(wǎng)絡(luò)適配器的TCP/IP設(shè)置。 IpLoopBk 查驗每一個適配器的回送地址127.0.0.1 。 IPSec 檢查Ipsec是否啟用。如果啟用,列出這臺計算機的所有現(xiàn)用的IPsec 政策。 IPX 列出IPX統(tǒng)計(如果安裝的話) Kerberos 驗證Kerberos身份識別軟件包是否是最新的。 Ldap 聯(lián)系所有可用的域名控制器并且確定哪一個LDAP身份識別協(xié)議正在使用。成員檢查證實主要域名的細(xì)節(jié),包括計算機的任務(wù)、域名和域名GUID。查看NetLogon 服務(wù)是否開始,向域名列表增加主要域名并且查詢主要域名安全標(biāo)識符。 調(diào)制解調(diào)器為這個系統(tǒng)上的每一臺調(diào)制解調(diào)器提供配置信息。 NbtNm 執(zhí)行與nbtstat -n 指令類似的行動。也就是驗證工作站服務(wù)名稱00與計算機名稱一致,并且驗證Messenger =服務(wù)名稱 03 ,服務(wù)器服務(wù)名稱20出現(xiàn)在所有的接口,并且所有這些名稱都沒有沖突。 Ndis 列出每一個網(wǎng)絡(luò)適配器配置的細(xì)節(jié),包括適配器名稱、設(shè)置、媒體、GUID和統(tǒng)計。 NetBTTransports 列出NetBIOS over TCP/IP (NetBT)上的全部傳輸協(xié)議。 Netstat 列出當(dāng)前TCP/IP連接和協(xié)議統(tǒng)計。 Netware 詢問最近的Netware服務(wù)器(如果使用的話),了解當(dāng)前的登錄信息。 路由列出在路由表中的全部靜態(tài)路由,并且指出它們是否不變。信賴測試域名信賴關(guān)系,驗證主要域名安全標(biāo)識符是正確的。 WAN 總結(jié)當(dāng)前正在使用的每一個COM端口的設(shè)置和狀態(tài)。 WINS 驗證配置的WINS服務(wù)器的可用性并且驗證WINS客戶端注冊。 Winsock 顯示W(wǎng)inSock服務(wù)可以使用的協(xié)議和端口。
除了進(jìn)行這些測試之外,Netdiag.exe還報告有關(guān)這個系統(tǒng)的如下信息:
系統(tǒng)的NetBIOS名稱
系統(tǒng)的DNS名稱
系統(tǒng)總的信息
安裝的熱補丁
運行Netdiag
運行Netdiag最簡單的方法是沒有任何參數(shù)。這將測試系統(tǒng)的每一個本地網(wǎng)絡(luò)適配器,然后進(jìn)行一系列全球連接測試。在Windows Server 2003成員服務(wù)器上運行這個指令輸出的樣本數(shù)據(jù)如下(熱補丁列表已刪除):
以下是引用片段:
C:ools
etdiag
...................................
計算機名稱:SRV
DNS主機名稱:SRV.contoso.com
系統(tǒng)信息:MicrosoftWindowsServer2003R2(Build3790)
處理器:Processor:x86Family15Model4Stepping1,GenuineIntel
安裝的熱補丁列表:
KB890046
KB893756
KB896358
KB925486
Q147222
Netcardqueriestest.......:Passed每個接口結(jié)果:
以下是引用片段:
適配器:局域網(wǎng)連接器
Netcardqueriestest...:Passed
主機名稱.........:SRV
IP地址........:172.16.11.31
子網(wǎng)掩碼........:255.255.255.0
默認(rèn)網(wǎng)關(guān)......:172.16.11.1
Dns服務(wù)器........:172.16.11.32
AutoConfigurationresults......:Passed
Defaultgatewaytest...:Passed
NetBTnametest......:Passed
[警告]:00工作站服務(wù),03Messenger服務(wù),20WINS名稱至少有一個丟失了。
WINSservicetest.....:Skipped這個接口沒有WINS服務(wù)器配置。
全球結(jié)果:
以下是引用片段:
Domainmembershiptest......:Passed
NetBTtransportstest.......:Passed
ListofNetBttransportscurrentlyconfigured:
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
1NetBttransportcurrentlyconfigured.
Autonetaddresstest.......:Passed
IPloopbackpingtest.......:Passed
Defaultgatewaytest.......:Passed
NetBTnametest..........:Passed
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
Winsocktest...........:Passed
DNStest.............:Passed
RedirandBrowsertest......:Passed
ListofNetBttransportscurrentlyboundtotheRedir
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
Theredirisboundto1NetBttransport.
ListofNetBttransportscurrentlyboundtothebrowser
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
Thebrowserisboundto1NetBttransport.
DCdiscoverytest.........:Passed
DClisttest...........:Passed
Trustrelationshiptest......:Passed
SecurechannelfordomainCONTOSOistoDC-1A.contoso.com.
Kerberostest...........:Passed
LDAPtest.............:Passed
Bindingstest...........:Passed
WANconfigurationtest......:Skipped
Noactiveremoteaccessconnections.
Modemdiagnosticstest......:Passed
IPSecuritytest.........:Skipped
備注:運行netshipsecdynamicshow/?可獲得更詳細(xì)的信息這個指令成功地完成了。
注意,運行NbtNm測試可產(chǎn)生下面的結(jié)果:
以下是引用片段:
NetBTnametest......:Passed
[WARNING]Atleastoneofthe00WorkStationService,03MessengerService,20WINSnamesismissing.這個警告確實是一個問題,因為在默認(rèn)狀態(tài)下,Messenger服務(wù)不在Windows Server 2003平臺上運行,因此,沒有為它注冊的名稱。
你還可以使用其它方法運行Netdiag,特別是:
Netdiag /q以安靜的模式進(jìn)行測試并且僅報告錯誤。
Netdiag /v以冗長的模式進(jìn)行測試并且提供額外的細(xì)節(jié)。
Netdiag /test:test_name(s)運行標(biāo)準(zhǔn)測試,然后僅進(jìn)行具體的測試。
Netdiag /skip:test_name(s)除了具體指定的之外,在全球測試之后運行標(biāo)準(zhǔn)測試。(然而,某些測試不能跳過,包括Member, Ndis和NetBTTransports)
Netdiag /fix實施全部標(biāo)準(zhǔn)的和全球測試,并且試圖修復(fù)它發(fā)現(xiàn)的任何問題。
例如,在上述系統(tǒng)產(chǎn)品上運行Netdiag /q測試可以得出如下結(jié)果:
以下是引用片段:
C:ools
etdiag/q
...................................
ComputerName:SRV
DNSHostName:SRV.contoso.com
Systeminfo:MicrosoftWindowsServer2003R2(Build3790)
Processor:x86Family15Model4Stepping1,GenuineIntel
Listofinstalledhotfixes:
KB890046
KB893756
KB896358
KB925486
Q147222每個接口的結(jié)果:
以下是引用片段:
適配器:局域網(wǎng)連接器
主機名稱.........:SRV
IP地址........:172.16.11.31
子網(wǎng)掩碼........:255.255.255.0
默認(rèn)網(wǎng)關(guān)......:172.16.11.1
Dns服務(wù)器........:172.16.11.32
WINSservicetest.....:Skipped
全球結(jié)果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
IPSecuritytest.........:Skipped
Thecommandcompletedsuccessfully更多的Netdiag例子:
學(xué)習(xí)如何解釋Netdiag輸出的最佳方法是設(shè)法在各種測試環(huán)境下運行它。下面是不同環(huán)境下的幾個例子和你能夠從這個工具中得到的輸出數(shù)據(jù)。這些情況是在一個Windows Server 2003域中的一臺成員服務(wù)器上運行Netdiag得到的結(jié)果。為了僅強調(diào)這個工具報告的錯誤信息,這個輸出數(shù)據(jù)進(jìn)行了刪節(jié)。
1. 在域控制器離線時運行netdiag /q得到的輸出結(jié)果:
全球結(jié)果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
RedirandBrowsertest......:Failed
[FATAL]CannotsendmailslotmessagetoCONTOSO*MAILSLOTNETNETLOGONviaredir.[ERROR_BAD_NETPATH]
DCdiscoverytest.........:Failed
[FATAL]CannotfindDCindomainCONTOSO.[ERROR_NO_SUCH_DOMAIN]
DClisttest...........:Failed
CONTOSO:CannotfindDCtogetDClistfrom[testskipped].
Trustrelationshiptest......:Failed
[FATAL]SecurechanneltodomainCONTOSOisbroken.
[RPC_S_SERVER_UNAVAILABLE]
Kerberostest...........:Skipped
CONTOSO:CannotfindDCtogetDClistfrom[testskipped].
LDAPtest.............:Failed
CannotfindDCtorunLDAPtestson.Theerroroccurredwas:The
specifieddomaineitherdoesnotexistorcouldnotbecontacted.
[WARNING]CannotfindDCindomainCONTOSO.
[ERROR_NO_SUCH_DOMAIN]2.在這個系統(tǒng)設(shè)置錯誤的默認(rèn)網(wǎng)關(guān)時運行netdiag /q得到的輸出結(jié)果:
以下是引用片段:
Defaultgatewaytest.......:Failed重要:連接不到任何網(wǎng)關(guān),你沒有通向任何其它網(wǎng)段的連接。如果你手工配置IP協(xié)議,那么你需要至少增加一個合法的網(wǎng)關(guān)。
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
DClisttest...........:Failed
FailedtoenumerateDCsbyusingthebrowser.[ERROR_REQ_NOT_ACCEP]3.當(dāng)計算機瀏覽器服務(wù)沒有在這個系統(tǒng)上運行的時候運行netdiag /q得到的輸出結(jié)果:
全球結(jié)果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
DClisttest...........:Failed
FailedtoenumerateDCsbyusingthebrowser.[NERR_ServiceNotInstalled]4.當(dāng)系統(tǒng)啟動時活動目錄中的這個系統(tǒng)的計算機賬戶關(guān)閉的時候運行netdiag /q得到的輸出結(jié)果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務(wù),03Messenger服務(wù),20WINS名稱定義。
Trustrelationshiptest......:Failed
CannottestsecurechannelfordomainCONTOSOtoDCDC-1A.[ERROR_NO_LOGON_SERVERS]
Kerberostest...........:Failed[FATAL]CannotgetticketcachefromKerberos.
Theerroroccurredwas:(null)結(jié)論:
Netdiag.exe是診斷Windows網(wǎng)絡(luò)上網(wǎng)絡(luò)連接問題的一個強大工具。
#p#
Q:您好!我想問一下2008R2的域功能級別的話,那么客戶端使用XP的話會不會有負(fù)面的影響?因為我覺得某些策略在XP的客戶端上應(yīng)用的并不好。謝謝!
A:windows server 2003 VS windows XP with sp2
windows server 2008 VS windows vista
windows server 2008 R2 VS windows 7
這個是推薦的可以完全相互支持功能的IT架構(gòu)的 選擇方案
Q:08的AD和03出入很大,不過聽說它比03的效率高很多,為啥呢。性能強在哪呢。老師?我怎么感覺08裝服務(wù)的時候很慢
A:08的目錄服務(wù)是獨立的,而03種的目錄服務(wù)是和系統(tǒng)內(nèi)核綁定的。所有就這一點08的服務(wù)運行效率也要比03的高效,尤其對于AD的支持更加靈活。
Q:華為防火墻設(shè)置接口大小,現(xiàn)在有臺華為Secoway USG2100防火墻,20兆光纖。公司想實現(xiàn)1接口18m 2接口500K 3接口1.5M。請問具體應(yīng)該怎么操作?配置命令是什么?
A:對端口E0/1的出方向報文進(jìn)行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
對端口E0/1的入方向報文進(jìn)行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
報文速率限制級別取值為1~127。如果速率限制級別取值在1~28范圍內(nèi),則速率限制的粒度為64Kbps,這種情況下,當(dāng)設(shè)置的級別為N,則端口上限制的速率大小為N*64K;如果速率限制級別取值在29~127范圍內(nèi),則速率限制的粒度為1Mbps,這種情況下,當(dāng)設(shè)置的級別為N,則端口上限制的速率大小為(N-27)*1Mbps
如果不支持,查找你那個型號的防火墻的配置手冊。
Q:宋老師您好, 還是上次exchange server 2003日歷的共享問題:比如一個大公司在上海 北京 重慶 等地方都有分公司, 然后每個分公司本地的outlook都要有自己組的日歷, 在上海本地outlook上點擊"打開共享的日歷"時, 可以看到很多共享的日歷,但是只有名為shanghai的日歷組才有權(quán)限打開(其他地區(qū)也一樣).....然后打開后就可以看到名為shanghai的日歷里的備忘,會議啊什么的.... 這樣的話請問是在exchange上設(shè)置還是怎么個弄法.. (我的mail server是exchange 2003的)...
A:在exchange系統(tǒng)管理器中打開上海的共享文件夾并在其訪問控制列表中把你想要賦權(quán)訪問的用戶添加進(jìn)去就 OK 了。
Q:宋老師您好:我現(xiàn)在是一名大二的學(xué)生,想往服務(wù)器那方面發(fā)展,現(xiàn)在正在看windows 2008的書籍和一本人民出版社的 Windows Server 2003活動目錄實戰(zhàn)指南 但是現(xiàn)在有些疑惑,大連這的這些公司,好像除了戴爾,其他的公司根本沒有域,沒有活動目錄,我想請問一下,如果學(xué)AD和服務(wù)器方向或者微軟方向的,以后好就業(yè)么,我聽說linux做服務(wù)器的比windows 要多,現(xiàn)在兼學(xué)linux和windows您看怎么樣呢?其他的地方的公司是否和大連一樣呢? 麻煩您給指點一下,有些迷茫。
A:單從使用體驗上講:linux 高性能,windows全面對于做應(yīng)用的人來說,你會選擇哪一個陣營呢?
Q:2008的AD和 2003有什么區(qū)別? 如何備份2008的ad?
A:2008的AD和 2003有什么區(qū)別?
這個請參考6樓問題的回答
如何備份2008的ad?
windows server 2008 中不再提供ntbackup
而是使用windows server backup 功能來實現(xiàn)備份
具體安裝在 服務(wù)器管理器 中的功能里找到后安裝
具體備份請參考下面步驟(是我博客里的一篇文章我直接粘過來了):
前面在 AD數(shù)據(jù)庫備份[為企業(yè)部署Windows Server 2008系列十五] 一文中,說明了AD的常規(guī)備份方式,其實我們也可以使用命令行的方式來備份系統(tǒng)狀態(tài),從而達(dá)到備份AD的目的。
這里解釋下系統(tǒng)狀態(tài)(systemstate)包含的文件內(nèi)容:
在DC上:
1、注冊表(Registry)
2、COM+類注冊數(shù)據(jù)庫(COM+ Class Registration Database)
3、啟動文件(Boot Files)
4、活動目錄(Active Directory)
5、系統(tǒng)卷(SYSVOL)
在非DC上:
1、注冊表(Registry)
2、COM+類注冊數(shù)據(jù)庫(COM+ Class Registration Database)
3、啟動文件(Boot Files)
那么我們就只需要在server 2008 的DC上安裝好 windows server backup 命令行工具的前提下,敲如下命令即可:
wbadmin start systemstatebackup -backuptarget:e: (#注釋:后面的e:代表您要備份的目標(biāo)盤符)
如下圖所示:
server 2008做備份的時候必須指定目標(biāo)卷,所以您的DC必須有一個卷(除系統(tǒng)卷外)用來做備份目標(biāo)。
Q:我就是想知道一下,底下的客戶機登陸域的時候,會提示:您所在的域的賬號丟失,或密碼不正確,但是在別的機器用這個賬號登是能正常登陸上去的,而且如果出現(xiàn)這個問題,域管理員登陸一下,再登陸這個賬號,就沒問題了,完全能登陸上去了。
服務(wù)器的情況是用兩個機器做的集群,然后主的集群配置了DNS,同時還有個輔域控服務(wù)器,沒有DNS,據(jù)說是同步,但是我曾經(jīng)試驗了一下,在主域控創(chuàng)建了個賬號,輔域控沒馬上更新出來,過后有沒有同步過來就不太清楚了。
我說的出這個問題,是大概兩三天能遇到一回,但是客戶機有50多臺,沒人知道管理員賬號密碼,他們只能不斷的重啟,有的是重啟一次就可以登錄上去,有的是重啟幾十次才可以登錄上去。服務(wù)器上的域賬號應(yīng)該有70個左右。客戶機域服務(wù)器的通信肯定是無任何問題,客戶機登錄時候選擇的域也絕對無問題。別人說的退出域重進(jìn)一下,也試過了,還是同樣的問題。
后來沒辦法了,就重新搬了臺服務(wù)器,專門做域控,不再出現(xiàn)此現(xiàn)象。但是還是想弄清楚是怎么回事。請教您,謝謝、
A:有可能是你原來DC上的DNS或者是PDC仿真主機的故障引起的,DNS里的SRV記錄幫助用戶計算機找到目錄服務(wù),PDC仿真主機做登錄時的驗證以及對時的操作,所以這兩個出了故障就會引起登陸域的故障。
Q:宋老師您好:剛好現(xiàn)在正在做一個項目,不過是windows 2003 server活動目錄的,有些東西沒有弄明白,所以向您請教了,麻煩您了。
我現(xiàn)在應(yīng)用場景是在一用戶的企業(yè)網(wǎng)絡(luò)里,想通過防火墻對內(nèi)外網(wǎng)進(jìn)行劃分,簡單如下的拓?fù)洌?BR> windows 2003 server(認(rèn)證服務(wù)器)
內(nèi)網(wǎng) | 外網(wǎng)
client1:--->- |
| -----------------
client2:-------------->| firewall |------------->internet
| -----------------
client3:---->-
當(dāng)內(nèi)網(wǎng)的client通過防火墻訪問外網(wǎng)的時候,我們需要對其身份以及權(quán)限進(jìn)行認(rèn)證,這時候我的想法是利用2003 server中的AD對其進(jìn)行認(rèn)證,為了加強用戶敏感信息的安全性,我在配置CISCO防火墻的時候用了SASL機制,分別用的是kerberos和 digest-md5。對于kerberos我不太清楚在2003上需要配置些什么,才能讓AD支持,在目前的流程里,我用DN發(fā)送綁定請求后,AD回應(yīng)的給我一個錯誤地返回碼,pre-authenticated required.反復(fù)檢查后,仍然有此問題,還想請教宋老師,2003 AD如何配置kerberos支持。
同時我又嘗試了另外一種機制,即利用md5對敏感信息加密,在交互的流程里都是嚴(yán)格按照RFC2829的6.1所描述的步驟,但是,將dn發(fā)送到服務(wù)器作綁定請求時,服務(wù)器返回的錯誤嗎是,無效的憑證(錯誤碼14),但我檢查了2003以及我配置的密碼都是正確的,我沒有檢查出來原因,還想請教下宋老師。
羅索了半天,還麻煩宋老師多指點一下,多謝了。
A:大概看明白了你的問題,網(wǎng)絡(luò)中的防火墻應(yīng)該如何設(shè)置來讓用戶正常訪問AD的所有資源,請參考下面的設(shè)置:
當(dāng)我們?yōu)槠髽I(yè)部署好基礎(chǔ)架構(gòu)服務(wù)后為了安全起見都會啟動windows server 2008自帶的windows 防火墻,并且很多企業(yè)還會單獨部署一些安全解決產(chǎn)品(如ISA)。那么,要很好的完成這些產(chǎn)品的部署,我們就要了解活動目錄的服務(wù)以及DC上的網(wǎng)絡(luò)連接端口,以便大家在部署防火墻產(chǎn)品的時候開放必要的端口來讓我們的企業(yè)合法用戶及時連接服務(wù)。
DC的網(wǎng)絡(luò)連接端口:在這里我解釋為DC上為域用戶和成員計算機提供的與域相關(guān)的應(yīng)用服務(wù)所開放的端口號。
下面我們來具體看看會提供哪些服務(wù)并開放哪些端口:
首先,在DC上打開DNS服務(wù)管理工具,展開正向查找區(qū)域的域名wgs.com(這里以wgs.com域為例),里面有_tcp和_udp這兩項SRV資源記錄,而通過查看SRV資源記錄就可以看到DC上提供活動目錄相關(guān)服務(wù)所開放的連接端口:
a . 選擇_tcp,查看DC上活動目錄相關(guān)服務(wù)所開放的TCP端口
b. 大家可以看到有_ldap(端口為tcp的389)、_kpasswd(端口為tcp的464) 、_kerberos(端口為tcp的88)、_gc(端口為tcp的3268)
c. 選擇_tcp,查看DC上活動目錄相關(guān)服務(wù)開放的UDP端口
d. 大家可以看到有_kerberos(端口為UDP的88) _kpasswd(端口為UDP的464)
小結(jié):以上看到的端口都是需要開放的,各自有不同的作用,并相互配合完成域環(huán)境中的各種業(yè)務(wù)交付:
_ldap(TCP[389])是活動目錄復(fù)制服務(wù)的端口:允許客戶機在指定域中找到ldap服務(wù)器
_gc(TCP[3268])是全局編錄查詢的時候所要使用的服務(wù)端口:允許客戶機找到使用活動目錄根域的全局目錄服務(wù)器
_kerberos(TCP[88])票據(jù)管理服務(wù)的端口:允許客戶機找到對本域的kerberosKDC服務(wù)
_kpasswd(TCP[464])密碼更改相關(guān)服務(wù)端口:允許客戶機找到域中的kerberos改變密碼服
----------------------------------------------------------------------------------------
_kerberos(UDP[88])票據(jù)管理服務(wù)的端口:允許客戶機找到對本域的kerberosKDC服務(wù)
_kpasswd(UDP[464])密碼更改相關(guān)服務(wù)端口:允許客戶機找到域中的kerberos改變密碼服務(wù)
接下來,我們來用一臺加入域的成員計算機使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務(wù),并且觀察一下連接端口:
通過上面兩副截圖大家可以看到當(dāng)192.168.99.11(成員計算機)使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務(wù)時,在192.168.99.2(DC)上運行netstat 命令查看到DC的389端口被成員計算機連接使用。
ok,結(jié)合上面大家了解到的端口,現(xiàn)在我們就可以在跨地域的網(wǎng)絡(luò)中通過發(fā)布活動目錄相關(guān)服務(wù)端口的方式讓互聯(lián)網(wǎng)中的用戶來連接到DC了(加入域/登錄域,并享受域環(huán)境中的資源)。
下面,我們看看如何設(shè)置windows 防火墻來滿足上面的企業(yè)應(yīng)用需求(讓互聯(lián)網(wǎng)中的用戶來連接到DC)。
如上面兩副圖片所示,您的防火墻必須例外設(shè)置 Active Directory 域服務(wù)[389][3268] Kerberos密鑰分發(fā)中心[88][464] 文件復(fù)制[389] 文件和打印機共享[445][139]
在了解到上面的這些必須添加到例外的服務(wù)之后,我們再遇到活動目錄服務(wù)不可用的提示時就可以根據(jù)這些服務(wù)的默認(rèn)端口來判斷問題所在,并采取相應(yīng)措施了。
PS:如果您的服務(wù)器放至在內(nèi)網(wǎng),您要通過端口映射來實現(xiàn)外網(wǎng)用戶對此服務(wù)器的訪問,現(xiàn)在您也可以更具本文中談及的端口來做映射了。
Q:Windows 2008 Server SP1活動目錄+Exchange 2007的組合。請問怎樣像windows 2003那樣用NTbackup 來備份Exchange?
A:備份工具變了,現(xiàn)在2008中使用的是windows server backup工具來實現(xiàn)備份的。具體方法請參考25樓的回答
Q:你好,請問在exchange 2003里怎么設(shè)置日歷共享?并且有相應(yīng)權(quán)限才可以在outlook客戶端上查看?
A:給用戶在相應(yīng)的功用文件夾中設(shè)置創(chuàng)建文件夾的權(quán)限即可,此時用戶就可以在outlook中創(chuàng)建并設(shè)置日歷共享了。
【編輯推薦】
